Su red está en constante evolución a medida que integrar más las aplicaciones empresariales y la consolidación de servidores. En ese entorno, es, por tanto, convertirse en extremadamente complejo para mantener la seguridad total en el borde de la red, mientras que los usuarios (empleados o subcontratistas, ya sea en el hogar, la oficina o de viaje) están trabajando con clientes y socios. Ellos necesitan tener acceso a la empresa y servidores de aplicaciones de forma rápida, fácil y segura.
La presentación de TheGreenBow VPN IPSec de cliente TheGreenBow IPSec VPN Client es una demanda de clientes IPSec VPN, compatible con la mayoría popular y gateways VPN con herramientas de red para desplegar la seguridad en grandes y medianas empresas. Altamente eficiente y fácil de configurar, el IPSec VPN Client también permite peer-to-peer VPN.
TheGreenBow VPN IPSec de cliente características
* Fácil conexión del panel * Software de control de acceso (password) * Protocolo Tunneling * NAT-Trasversal * IP encapsular la seguridad * Fuerte de cifrado * Fuerte autenticación de usuario * Modo Híbrido * Modo-Config * Rango de IP * Modo de Conexión * Gateway VPN Multi vendorIPSec Cliente * Flexible software de despliegue * Token USB y SmartCardIPSec Cliente VPN * Token certificados de gestión * Instalar silencioso y oculto Interface * VPN Configuración de protección * Vigilado de importación y exportación de funciones * Asistente para configuración de VPN * Funciona como un Servicio * Todas las versiones de Windows (incl. Vista) IPSec VPN Client * Localizados en varios idiomas
Mediante los túneles SSH podemos asegurar casi todo tipo de protocolos, al conectarnos a una red insegura, como puede ser la red WiFi de un hotel, restaurante o las típicas redes públicas que algunos ayuntamientos ofrecen de forma gratuita (que por cierto, no sé cuanto durará), estamos expuesto a diferentes ataques por parte de otros usuarios conectados a la misma red.
El escenario por norma general es poner la tarjeta en modo “promiscuo” y estar mirando todos los paquetes que pasan por nuestra tarjeta de red, que puede tratarse de información sensible, desde usuarios y claves hasta números de cuentas bancarias.
Para éste ejemplo he usado un servidor VPS de tipo “budget” (precios bajos – prestaciones bajas) para realizar el artículo. Lo primero será asegurarnos de que el servidor SSH, en mi caso OpenSSH, está correctamente configurado para soportar los túneles.
Procedemos a mirar la configuración del servicio SSH en /etc/ssh/sshd_config y buscamos las siguientes directivas:
Donde el primer parámetro activa el redireccionamiento y encapsulación de los diferentes protolocos basado en TCP y el segundo hace que la conexión se mantenga de forma continua, normalmente después de un tiempo, que suele ser aproximadamente unas dos horas, la conexión TCP se desconecta de forma automática.
Una vez editado el fichero de configuración, procedemos a reiniciar el servicio:
/etc/init.d/ssh restart
En otros sistemas operativos como CentOS, los demonios se encuentran en rc.d.
El siguiente paso es conectarnos y crear el túnel en el puerto que pasaremos como argumento al cliente ssh:
>ssh -D 8080 mad@servidor-personal.com
Con el comando de arriba, estamos creando un túnel en el puerto 8080 de nuestro propio equipo hacia el servidor SSH. Si queremos aprovechar el puerto y navegar de forma segura, tendremos que configurar nuestro navegador para al conectarse a los servidores web, use como servidor SOCKS nuestro propio equipo local y el puerto 8080.
Por ejemplo en Firefox se hace en la Configuración de Red:
Después de guardar los cambios, es recomendable reiniciar el navegador. El proceso es similar en la mayoría de los demás navegadores, para crear el túnel SSH, si estamos en Windows, en la parte final de artículo encontrarás otros artículos de apoyo para hacerlo desde Windows mediante el cliente SSH PuTTy.
Podemos ver un claro ejemplo si empleamos un sniffer, en éste caso WireShark, las diferencias entre el envío de datos cifrados y en claro.
En el ejemplo de arriba los datos están cifrados, mientras que en el de abajo no.
El uso de túneles no se limita sólo al ámbito web, podemos tunelizar cualquier protocolo, si queremos acceder de forma segura a nuestro servidor de correo, también podemos tunelizar POP, SMTP, IMAP y demás.
En éste ejemplo, estamos haciendo un túnel desde el puerto 2000 del servidor-personal al puerto 25 del servidor SMTP de gmail.com. El uso es ilimitado, sólo depende de nuestra imaginación.
Nota: No hace falta tener un VPS o un servidor dedicado, podemos usar nuestro propio equipo que tenemos en casa, claro está, que habrá que mantenerlo encendido continuamente.
INTECO-CERT presenta el informe «Análisis de tráfico con Wireshark» que pretende servir de apoyo a administradores y técnicos de seguridad a la hora de analizar tráfico para detectar problemas o ataques de red.
Seguramente todo administrador de redes ha tenido que enfrentarse alguna vez a una pérdida del rendimiento de la red que gestiona. En ese caso sabrá que no siempre es sencillo, por falta de tiempo y recursos o por desconocimiento de las herramientas apropiadas, tener claros los motivos por los que esto ha sucedido. En ocasiones, incluso se ha podido llegar a perder la conectividad o bien ciertos equipos han podido desconectarse sin motivo aparente.
En cualquier caso, conocer el origen del incidente es el primer paso para poder tomar las contramedidas necesarias y conseguir una correcta protección. En este punto, los analizadores de tráfico pueden resultar de gran utilidad para detectar, analizar y correlacionar tráfico identificando las amenazas de red para, posteriormente, limitar su impacto. Con tal propósito, existen en el mercado dispositivos avanzados como el appliance MARS (Monitoring, Analysis and Response System) de Cisco o IDS/IPS basados en hardware de diversos fabricantes. Pero estas soluciones no siempre están al alcance de todas las empresas ya que su coste puede que no cumpla un principio básico de proporcionalidad (el gasto es superior al beneficio obtenido) y, por lo tanto, no se justifique su adquisición.
Por ello, y para cubrir las necesidades de entidades con infraestructuras tecnológicas más modestas, INTECO-CERT presenta esta «Guía de análisis de tráfico con Wireshark». Tiene por objeto sensibilizar a administradores y técnicos de las ventajas de auditar la red con un analizador de tráfico, principalmente utilizando la herramienta libre Wireshark. Además, ofrece ejemplos prácticos de ataques en redes de área local bastante conocidos y que actualmente siguen siendo uno de los mayores enemigos en los entornos corporativos.
El manual guía se encuentra disponible en la siguiente dirección web:
En Windows, al igual que en Linux, el ip-forwarding viene desabilitado por defecto, para poder habilitar esta utilidad muy necesaria para realizar enrutamientos, se realiza de la siguiente manera:
Vamos a regedit.exe, para esto escribimos “regedit”, sin comillas en Ejecutar, con esto nos lanza el Editor de Registro. Luego editamos el siguiente registro:
En algunas ocasiones necesitamos acceder a algún servicio o aplicación que usa un puerto diferente al que por defecto tenemos permitido.
Imaginemos que estamos usando en nuestro trabajo nuestro portatil con Ubuntu y queremos actualizar repositorios o usar facebook, messenguer, etc … Estos servicios usan un puerto determinado que en principio si no podemos usar directamente se debe a la existencia en la red de un firewall que esta capando un puerto determiando.
Pues bien utilizando SSH , nos enseñana como podremos crear un tunel sobre dicho servidor externo y evitar el firewall, usando nuestra máquina como servidor local y redireccionando todas las salidas sobre el puerto especificado, es bastante sencillo y nos saltaremos el cortafuegos gustosamente:
El ejemplo que vamos a utilizar es el saltarnos un firewall, en nuestra red que capa el puerto que utiliza ubuntu para actualizar unos repositorios en un host concreeto.
Imaginemos que deseaba agregar el repositorio UbuntuGis para instalar algunos paquetes del mismo (Grass y Quantum GIS entre otros), pero al añadirlo:
sudo add-apt-repository ppa:ubuntugis/ppa
Si hay un firewal en la red que capa dicho puerto obtendriamos el siguiente error:: Executing: gpg –ignore-time-conflict –no-options –no-default-keyring –secret-keyring /etc/apt/secring.gpg –trustdb-name /etc/apt/trustdb.gpg –keyring /etc/apt/trusted.gpg –primary-keyring /etc/apt/trusted.gpg –keyserver keyserver.ubuntu.com –recv 6B827C12C2D425E227EDCA75089EBE08314DF160 gpg: requesting key 314DF160 from hkp server keyserver.ubuntu.com gpgkeys: HTTP fetch error 7: couldn’t connect to host gpg: no valid OpenPGP data found. gpg: Total number processed: 0
Executing: gpg –ignore-time-conflict –no-options –no-default-keyring –secret-keyring /etc/apt/secring.gpg –trustdb-name /etc/apt/trustdb.gpg –keyring /etc/apt/trusted.gpg –primary-keyring /etc/apt/trusted.gpg –keyserver keyserver.ubuntu.com –recv 6B827C12C2D425E227EDCA75089EBE08314DF160gpg: requesting key 314DF160 from hkp server keyserver.ubuntu.comgpgkeys: HTTP fetch error 7: couldn’t connect to hostgpg: no valid OpenPGP data found.gpg: Total number processed: 0
* Está capando el puerto 11371, el que usa el servidor de claves en la dirección: keyserver.ubuntu.com
Ahora bien para solucionar esto mediante un tunel con SSH hariamos lo siguiente:
1. Editamos el fichero /etc/hosts (como superusuario), en concreto la siguiente línea: 127.0.0.1 localhost keyserver.ubuntu.com
2. Guardamos y teniendo en cuenta que disponemos un servidor externo con un servidor SSH y sin restricciones en cuanto a firewall se refiere, lanzamos SSH con un tunel sobre el puerto 11371 local y redireccionando la salida sobre la dirección especificada (keyserver.ubuntu.com) y el mismo puerto. Tan sencillo como la siguiente línea (en este caso estoy usando el servidor de mi universidad, y nombre_usuario el nombre de mi usuario en el servidor ts.uco.es):