viernes, 17 de agosto de 2007

VPN V Abrir los puertos

Llego la hora de realizar los cambios en nuestro Firewall para permitir que nuestro servidor de VPN sea alcanzado por el mundo.

En primer lugar es muy importante tener nuestro servidor completamente actualizado, con todos los parches correspondientes.

En el caso de Windows, conviene evidentemente darse una vuelta por Windows Update, y no esta demás realizar luego un chequeo con el Microsoft Baseline Security Analizer, que realizará una serie de controles sobre el mismo indicándonos además de que si nos falta un parche, cosas como usuarios sin contraseña y demás.

Llendo ahora al firewall, evidentemente estos pasos dependerán del equipo que tengamos como firewall, pero en general se accede desde cualquier maquina de nuestra red, mediante la dirección ip del dispositivo a una opción que habla de port forwarding, lo que mas ni menos quiere decir a que maquina se redireccionaran los pedidos hechos a esos puertos.

Simplemente ponemos los puertos indicados en el articulo anterior de acuerdo al sabor de la Vpn que deseáramos utilizar y como dirección ip la de nuestro servidor.

En cuanto al protocolo, no se habilita aquí, sino que la mayoría de los firewalls domésticos suelen tener una opción de VPN pass trhu o similares, hay que seleccionarla, y seria lo equivalente a habilitar estos protocolos.

Obviamente si nuestro firewall lo permite, podemos trabajar a nivel de protocolo.

Finalmente lo mejor es buscar un tutorial sobre el modelo especifico de firewall que tengamos, de los que hay muchos, dado que esto mismo es lo que se debe hacer para que software como el Emule, funcionen correctamente.

Finalmente os dejo algunos links:

Tutorial Linksys
Tutorial Belkin

Skype sigue con problemas


Desde hace un par de días Skype esta teniendo problemas que impiden conectarse al servicio, al día de hoy (Viernes) indican en su web que han mejorado pero que continúan con problemas.

Conviene estar al tanto del tema si se utilizan sus servicios.

martes, 14 de agosto de 2007

VPN IV Puertos

Como comentabamos en nuestro articulo anterior, debemos abrir un conjunto de puertos en nuestro firewall para permitir comunicarse con el exterior a nuestro servidor de VPN.

Estos puertos dependerán de cual sea el tipo de VPN utilizada:

Para PPTP serán:
  • puerto 1723 protocolo TCP destino la IP del servidor
  • protocolo 47 (GRE) (ojo esto no es un puerto es un protocolo)

Para L2TP/IPSEC serán:

  • puerto 500 protocolo UDP destino la IP del servidor
  • puerto 4500 protocolo UDP destino la IP del servidor
  • protocolo 50 (ESP) (ojo esto no es un puerto es un protocolo)

En próximas entregas veremos como abrir efectivamente estos puertos en un firewall.

jueves, 9 de agosto de 2007

VPN III Puertos, Protocolos y Firewalls

Supongamos que hemos decidido poner a funcionar nuestro servidor VPN.

Para el caso de ejemplo consideraremos un Microsoft 2003 Sever.

También supondremos que tenemos una conexión de banda ancha en nuestro domicilio y un firewall.

El firewall es aquel programa o equipo que nos defiende de posibles accesos no convenientes desde internet.

¿Como conectamos nuestro servidor a nuestro firewall?

La configuración recomendada por Microsoft seria la siguiente.

Aquí vemos que nuestro servidor VPN esta protegido de los ataques de Internet mediante un firewall que se conecta a el y el a su vez se conecta a nuestra red interna.

Sin duda esta configuración es la mejor desde el punto de vista técnico pero tiene un pequeño inconveniente y es que nuestro servidor requeriría dos tarjetas de red, una para conectarse a Internet y otra para conectarse a nuestra red interna. (Mas adelante veremos una variación de esta configuración para funcionar con una sola tarjeta de red)

Fuera de ese detalle es una configuración muy segura, bastante mas que poner nuestro servidor directamente conectado a Internet.

Pero como contrapartida requiere un poco mas de trabajo dado que debemos abrir los puertos y protocolos correspondientes al protocolo elegido en el firewall, de lo contrario las conexiones legitimas a nuestro servidor VPN desde Internet serán rechazadas.

¿Ahora bien, que son los puertos?

Los puertos son números que podemos asociar metaforicamente a la puerta de un apartamento dentro de un edificio, de esta forma una dirección estaría formada por la dirección del edificio mas el número de apartamento, en este caso el puerto.

Según el puerto elegido obtendremos distintos tipos de respuesta.

Siguiendo con esta analogía, un protocolo seria una forma determinada de llamar a la puerta para que nos atiendan =).

En próximas entregas veremos específicamente cuales son los puertos y protocolos usados para VPN así como también como abrirlos en un firewall.

miércoles, 8 de agosto de 2007

VPN II Sabores de las VPN


Normalmente se dice que una VPN es un túnel encriptado entre dos puntos, esta concepción aporta la parte "privada" del nombre. En efecto, si el túnel no estuviera encriptado, no podríamos hablar de privacidad.

Ahora bien para establecer este túnel, ambas puntas del mismo se tienen que poner de acuerdo en dos cosas, como se van a reconocer entre ellas (autenticar) y como una vez reconocidas y autorizadas van a establecer este túnel.

Los protocolos de autentificación serán tratados mas adelante, pero en esta oportunidad me referire a los protocolos utilizados para el túnel.

Si bien teóricamente hay mas, en la practica, y sobre todo si queremos utilizar clientes o servidores Microsoft, hay dos sabores. PPTP o L2TP/IPSEC.

PPTP, point to point tunnel protocol es un sabor mas clásico y por lo tanto mas compatible (sobre todo con clientes Microsoft viejos), en cambio L2TP/IPSEC, layer two tunnel protocol en conbinación con IPSEC es un sabor mas nuevo pero sin duda mas seguro a la hora de satisfacer nuestro gusto en seguridad.

¿En que estriba la diferencia?

Pues bien en L2TP/IPSEC, no solo debe autentificarse quien pide la conexión, sino que previamente el equipo desde el que se pide la conexión debe autentificarse mediante una clave (certificado) previamente compartida por lo que, al momento de autentificarse el usuario ya estamos dentro de un canal computacionalmente seguro agregando un gran obstáculo a la hora de que nuestro túnel sea intervenido.

Además los algoritmos de encriptación son mas fuertes que en el caso de PPTP.

¿Ahora bien en que caso elegir uno u otro sabor?

Si tenemos clientes viejos (Windows 98,etc) o si no queremos complicarnos con la distribución de certificados PPTP es nuestra opción.

Si en cambio tenemos clientes relativamente modernos (Windows 2000) mi opción sin duda pasa por L2TP/IPSEC.

Un probable factor que también incidiría es si estamos tras un NAT, pero de ello hablaremos mas adelante.

En próximas entregas seguiremos desarrollando este tema.

martes, 7 de agosto de 2007

Dinosaurios y sobrinos


Resulta que Cartoon Network esta transmitiendo una serie de dinosaurios, a la que se hizo afecto mi sobrino de 5 años. A raíz de este hecho me llamo para pedirme "que buscara en Internet" (con 5 años!) una lista de dinosaurios con sus nombres.

Como me resulto bastante difícil encontrar una buena pagina que contara con la representación gráfica de gran cantidad de ellos con su correspondiente clasificación y una resolución aceptable para imprimir, recomiendo esta pagina para aquellos tíos que quieran quedar bien con sus sobrinos :).

Virtual Private Networks (VPN I)


Las VPN o redes privadas virtuales en castellano, designan a la técnica consistente en crear un enlace a través de alguna red publica (Internet) de forma que los computadores de ambas puntas del enlace se interconecten como si dispusieran de un enlace privado entre ellos.

Llendo a un ejemplo concreto, supongamos que en nuestro hogar o nuestra oficina, disponemos de un enlace permanente a Internet, si configuramos adecuadamente el firewall, esta técnica nos permitirá trabajar desde un shoping por ejemplo de forma segura y accediendo a todos nuestros recursos (impresoras, etc) como si estuviéramos físicamente en casa o en la oficina.

En la siguiente serie de comentarios explicare los aspectos principales del conjunto de técnicas utilizadas y finalmente expondré un caso practico.

Impresionante enlance


En este enlace podemos ver combinadas y en tiempo real el resultado de aplicar estadísticas de diversas fuentes.

Deja helado el presionar "Ahora" y ver como va el mundo segundo a segundo.

También ver que la cantidad de abortos va muy cerca con las muertes por todas las otras causas. Ignoro como se hicieron esas proyecciones pero si son reales causa escalofríos.

viernes, 3 de agosto de 2007

Cuidado con las redes WiFi públicas

Como recoje El Reg Hardware, en este articulo se hizo una demostración pública de un método que permite a un atacante acceder a nuestras cuentas en Gmail, Hotmail, o practicamente cualquier otro servicio web 2.0 si accedemos a Internet a través de una red inalámbrica pública (por ejemplo las disponibles en los centros comerciales).

El problema se presenta cuando nosotros entramos a una pagina, por ejemplo http://www.gmail.com, ponemos nuestro usuario y contraseña y nos logueamos. Si bien inmediatamente el servicio pasa a ser bajo https, lo que quiere decir que esta encriptado y nuestros datos a partir de ese punto son seguros, en el ínterin se produce un intercambio de cookies con nuestra identidad.

Esa cookie no encriptada es la que puede capturar alguien con un programa especial (sniffer) e instalarla en su pc para, a partir de ese momento acceder a nuestras cuentas de correo como si fuera nosotros por un tiempo indeterminado.

Por ahora la única defensa seria acceder directamente a paginas seguras, es decir desde el principio utilizar por ejemplo https://www.gmail.com, o incluso usar algún agregado para aquellos que usamos Firefox como por ejemplo CustomizeGoogle, que comentare en una próxima entrega, este tipo de agregado de forma automatica cambian nuestra url para forzar la utilización de protocolos seguros, en este caso para las paginas de Google.

miércoles, 1 de agosto de 2007

Como poner un icono en tu pagina web

Resulto que publique una pagina web en un hosting y al escribir la url en el navegador me aparecía el icono del hosting. (de la misma forma que a usted le debe aparecer este icono en su barra ahora)

Luego de investigar un poquito encontré esta página donde explica de forma clara y rápida como hacer para poner un icono personalizado en nuestras paginas web.

Lo único que hay que agregar es que la inserción de código HTML al principio de la pagina no es nescesaria para ver el icono si usamos Firefox (para bajarlo hay un boton al costado de este post) como navegador, dado que si el archivo favicon.ico esta en la raíz del sitio lo carga automáticamente.