Un blog mas

Bitácora de vuelo

Herramientas de Cifrado y Firma Digital

26 noviembre, 2015 2 comentarios
Email, RSS Follow
Email

El mejor método para evitar que personas no deseadas tengan acceso a nuestros datos es protejerlos con algoritmos fuertes de cifrado, por suerte en estos tiempos, y con las herramientas adecuadas, dicha tarea es extremadamente sencilla siempre y cuando se conozcan algunos detalles. Es por ello que este post tiene su razon de ser, lugar donde les mostraremos estas herramientas de cifrado y firma digital disponibles para correr sobre Windows, Linux y Mac.

En primer lugar debemos separar los métodos en dos grupos. El primero en nuestra lista es el Cifrado Simétrico, por lejos el método mas conocido y utilizado, en donde como su nombre lo indica, se utiliza una misma clave (preacordada) para cifrar y descifrar el mensaje.

Diapositiva2

Si lo que queremos es una aplicación bien user-friendly que corra sobre Windows y Mac, AxCrypt es LA HERRAMIENTA. En dos minutos descargamos de aquí e instalamos la última versión disponible (a la fecha 1.7.3156). AxCrypt nos agrega en el menú contextual una serie de herramientas para cifrar, editar, y descifrar archivos.

Diapositiva4

La utilización de Cifrado Asimetrico difiere un poco, ya que en este caso se trabaja con un juego de claves, una pública y otra privada, que se generan y asocian en el proceso inicial. Como su nombre lo indica, la parte pública se encuentra disponible en todo momento por cualquier usuario que la desee, y en contrapartida, la clave privada se guarda para que solo esté disponible por su dueño y creador. En definitiva un usuario dispone de UNA clave privada que se utilizará para descifrar los archivos cifrados con SU clave pública, y tantas claves públicas de otras personas como su anillo de confianza disponga, y con las que se cifraran los mensajes para que solo el dueño de su parte privada pueda descifrarlo.

Diapositiva5

GnuPG es la solución, y su versión para Windows Gpg4Win el grupo de aplicaciones que incluye a Kleopatra para administrar las claves, y GpgEX quien agrega en el menú contextual las operaciones posibles sobre los archivos. La última versión la podemos descargar de aquí y se instala en unos pocos pasos, uno de los cuales nos permite generar el juego de llaves pública/privada.

A continuación les dejo un par de diapositivas con las intrucciones para crear, exportar, importar y verificar las claves de nuestro anillo.

Diapositiva6

Diapositiva8

Diapositiva9

Diapositiva10

Desde el menú contextual implementado con GpgEX, y teniendo disponibles las claves necesarias, podemos cifrar y descifrar los archivos directamente.

Diapositiva11

Diapositiva12

La Función Resúmen, suma de comprobación o Hash son una representación compacta de un conjunto de datos, los cuales fueron sometidos a la aplicación de un algoritmo computable, y retornan un valor finito representativo. Los métodos mas utilizados en la actualidad son el MD5 (no recomendado por la facilidad de obtener coliciones o valores identicos para diferentes entradas), SHA1 y SHA256.

Diapositiva13

GpgEX permite obtener el hash (MD5, SHA1 o SHA256) de un archivo mediante el menú contextual. El algoritmo de generación de hash se puede predefinir desde la configuración del Kleopatra.

Diapositiva14

La firma digital se aplica con un procedimiento similar al de cifrado asimétrico pero invirtiendo el rol de las claves. La información se firma con MI clave privada y es verificada con MI clave pública disponible por el receptor del mensaje.

Diapositiva15

Con GpgEX, este proceso se incluye en el menú contextual, agregando las operaciones de firma y verificación como vemos en las siguientes imágenes.

Diapositiva16

Diapositiva17

Con todo este material estamos en condiciones de saltar al próximo post, donde vamos a enviar correo electrónico Firmado y Cifrado, con Thunderbird + Enigmail para plataformas Windows y Linux, y K9-Mail + APG para sistemas Android.

Saludos!

Dell OpenManage Server Administrator (OMSA) 7.4 en XenServer 6.2 y 6.5

9 abril, 2015 Sin comentarios
Email, RSS Follow
Email

Dell OpenManage Server Administrator (OMSA) es un agente de software que proporciona una solución para la para gestión de dispositivos DELL a través de un software web que se accede vía browser.

Instalación de OMSA en XenServer 6.2

Lo primero que debemos obtener es la imagen que se descarga desde el sitio oficial de Dell, hoy en día corresponde a la versión 7.4.

wget http://downloads.dell.com/FOLDER02019315M/1/OM-SrvAdmin-Dell-Web-LX-7.4.0-866.XenServer62_A00.iso

Instalar la iso en el servidor Dell con SO XenServer 6.2

xe-install-supplemental-pack OM-SrvAdmin-Dell-Web-LX-7.4.0-866.XenServer62_A00.iso

Abrir el firewall y arrancar los servicios

cd /opt/dell/srvadmin/etc
./autoconf_cim_component.sh -p 5986
service iptables save
/etc/init.d/openwsmand restart
/etc/init.d/sfcb restart
iptables -I RH-Firewall-1-INPUT -p tcp --destination-port 5986 -j ACCEPT
cd /opt/dell/srvadmin/sbin
./srvadmin-services.sh start

Instalar el cliente web

wget -q -O - http://linux.dell.com/repo/hardware/latest/bootstrap.cgi | bash
yum -y install *Meta-Package srvadmin-webserver*
/opt/dell/srvadmin/sbin/srvadmin-services.sh start

Instalación de OMSA en XenServer 6.5

Primero debemos deshabilitar temporalmente el repositorio de Citrix. Lo movemos para no perderlo definitivamente y utilizamos un repo alternativo

mv /etc/yum.repos.d/Citrix.repo /root/Citrix.repo
yum clean all
wget -q -O - http://linux.dell.com/repo/hardware/latest/bootstrap.cgi | bash

Instalamos el OMSA y abrimos el puerto 1311 en el firewall para conectarnos desde el exterior

yum --enablerepo=base install srvadmin-all
nano /etc/sysconfig/iptables

La siguiente linea debe ser agregada antes de la que menciona icmp-host-prohibited:

-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 1311 -j ACCEPT

Restarteamos/arrancamos los servicios involucrados

service iptables restart
 
/opt/dell/srvadmin/sbin/srvadmin-services.sh start

y movemos el repo original a la ubicación normal

mv /root/Citrix.repo /etc/yum.repos.d

continua leyendo…

Planificación y rotación de backups completos e incrementales con BackupPc

11 marzo, 2015 Sin comentarios
Email, RSS Follow
Email

Respondiendo a la necesidad de mantener mayor cantidad de instancias de backup sin el espacio necesario en disco, nos pusimos a investigar los parámetros de Schedule que el BackupPc ofrece, y por suerte siguen sumando estrellas.

FullPeriod: Cantidad de días entre backups completos. El valor por default es 6.97 que establece el período en una semana.

IncrPeriod: Cantidad de días entre backups incrementales. El valor por default es 0.97 y representa un backup incremental por día.

FullKeepCnt: Cantidad de Backups Completos que se mantienen antes de ser eliminados. Si se le pasa un array de números, BackupPC los interpreta de la siguiente manera (suponiendo que el FullPeriod está seteado en una semana):

– El #1 representa la cantidad de Backups Completos a mantener cada 1 semana.
– El #2 representa la cantidad de Backups Completos a mantener cada 2 semanas.
– El #3 representa la cantidad de Backups Completos a mantener cada 4 semanas.
– El #4 representa la cantidad de Backups Completos a mantener cada 8 semanas.
– El #5 representa la cantidad de Backups Completos a mantener cada 16 semanas.
– y así siempre con intervalos de 2^n * FullPeriod

Entonces, si queremos guardar todos los Backpus completos de los últimos dos meses, un backup completo cada dos semanas por 4 meses mas, y por último un backup completo por mes hasta completar las 48 semanas, se podría definir la variable de la siguiente manera:

FullKeepoCnt = [8, 8, 6];

O sea, guardamos 8 backups semanales, 8 bi-semanales y 6 tetra-semanales (si dichas palabras existen), cubriendo 8 + 16 + 24 = 48 semanas en total

continua leyendo…

Potenciando Nmap con scripts (NSE)

9 marzo, 2015 Sin comentarios
Email, RSS Follow
Email

Gran parte del arsenal para recopilación de información en auditorías o pentesting son Nmap, y aunque la mayoría lo conoce para escaneo de redes, puertos y servicios, no todo el mundo tiene presente sus características potenciadas mediante el uso de scripts (NSE).

Estos scripts o NSE (Nmap Scripting Engine) son pequeños addons escritos en Lua que se aplican a diferentes usos, como por ejemplo búsqueda de vulnerabilidades, con solo invocarlos directamente o por medio de las categorías por las cuales se encuentran agrupados.

Las categorias mas comunes son:

  • Auth: Verifica procesos de autenticación.
  • brute: Obtención de información por medio de fuerza bruta.
  • discovery: Recuperación de información de equipos.
  • dos: Relacionados con ataques del tipo DoS.
  • external: Script que utilizan servicios de terceras partes.
  • intrusive: Utiliza scripts que son considerados intrusivos para la víctima o target.
  • safe: ejecuta scripts «seguros» en cuanto a la intrusión de sistemas.
  • vuln: Verifica la existencia de las vulnerabilidades más conocidas.

Cada una de las categorías esta formada por decenas de scripts, los cuales pueden ser ejecutados directamente. Un ejemplo concreto sería ejecutar nmap para listar los equipos que poseen unidades compartidas con acceso anónimo o con un usuario específico. Para ello el script smb-enum-shares dentro de la categoría discovery es ideal.

$ sudo nmap -f -sS -sV --script smb-enum-shares 10.245.3.111
Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-09 15:34 ART
Nmap scan report for 10.245.3.111
Host is up (0.0012s latency).
Not shown: 995 filtered ports
PORT     STATE SERVICE     VERSION
135/tcp  open  msrpc       Microsoft Windows RPC
139/tcp  open  netbios-ssn
445/tcp  open  netbios-ssn
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows
 
Host script results:
| smb-enum-shares: 
|   ERROR: Enumerating shares failed, guessing at common ones (NT_STATUS_ACCESS_DENIED)
|   ADMIN$
|     Anonymous access: 
|   C$
|     Anonymous access: 
|   IPC$
|     Anonymous access: READ
|   USERS
|_    Anonymous access: 
 
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 40.32 seconds

continua leyendo…

Upgradeando pfSense a 2.2 ahora con Paravirtualización sobre XenServer

3 marzo, 2015 3 comentarios
Email, RSS Follow
Email

La versión 2.2 del pfSense esta basada en un FreeBSD 10, el cual sí tiene un kernel que soporta la paravirtualización por XenServer. Las versiones anteriores de pfSense de la serie 2.1.x, estaban basadas en FreeBSD 8.3 con un kernel que solo era posible correr sobre XenServer con Full Virtualization.

La virtualización completa nos restringe varias características sobre el sistema operativo invitado no solo en cuanto a la performance de la VM, sino tambien a la propia usabilidad del sistema, como por ejemplo la posibilidad de apagar (de manera correcta) una máquina virtual, visualizar la información de su estado (versión del sistema operativo, IPs asignadas), compartición del portapapeles, migración en caliente entre equipos físicos, y alguna otra que en este momento no recuerdo.

Upgrade de 2.1.5 a 2.2

El kernel 10.1 de FreeBSD utilizado por la versión 2.2 del pfSense incluye drivers PVHVM para XenServer. Esto causa que se cambien automáticamente los nombres de disco y dispositivos de red durante el proceso de actualización.

El cambio de nombres en los dispositivos de disco ocasiona una falla en el booteo del sistema, esto se puede evitar mediante la ejecución del script /usr/local/sbin/ufslabels.sh que reemplaza los nombres de los dispositivos por etiquetas UFS en el fstab.

La única solución para el cambio de dispositivos de red es su reasignación manual.

Instalación de XenTools

Para instalar las Xentools nos apoyamos en este post que resumimos a continuación.

1.- Instalación de las tools

# pkg install xe-guest-utilities

2.- Habilitar las guest-utilities

# echo "xenguest_enable=\"YES\"" >> /etc/rc.conf.local
# ln -s /usr/local/etc/rc.d/xenguest /usr/local/etc/rc.d/xenguest.sh

3.- Arrancar el servicio manualmente o rebootear el sistema

# service xenguest start

Nota:
El upgrade de la versión 2.1.5 a la versión 2.2 generó un problema de velocidad de ruteo entre la LAN y la WAN que ralentiza todo el tráfico que sale a trevés del pfSense. La solución presentada en este post y aplicada por nosotros con total éxito se basa en deshabilitar las funciones de offload de la VIF en el XenServer.

1.- Identificar el uuid de la VIF de la LAN

# xe vm-vif-list vm=pfSense
uuid ( RO) : dfe2faad-a967-52c7-54f5-a4dba2da1e
vm-name-label ( RO): pfSense
device ( RO): 2
MAC ( RO): 32:5e:ae:f4:c6:35
network-uuid ( RO): c2c62fee-6d27-6064-f7bb-aafd624f5484
network-name-label ( RO): Network 2 - WAN-01
 
uuid ( RO) : 2bcb5dac-2a86-c7b7-cb59-4acd93eb95
vm-name-label ( RO): pfSense
device ( RO): 1
MAC ( RO): 22:4d:f5:81:c6:13
network-uuid ( RO): 6c5d7926-7f31-7c10-b4d2-e1e21f5a829d
network-name-label ( RO): Network 1 - WAN-02
 
uuid ( RO) : 5591ecfa-80a6-2322-5e1d-884c9c173f
vm-name-label ( RO): pfSense
device ( RO): 0
MAC ( RO): 46:dc:cb:87:71:5d
network-uuid ( RO): 19ff9ebf-427f-5363-4a67-28cc24c23710
network-name-label ( RO): Network 0 - LAN-01

continua leyendo…

Stop SOPA