Tag Archive | Linux
2011/02/10  

Iptables I

Hola!

Muy buenas a todos/as!

Pretendo hacer una serie de artículos explicando un poco Iptables, ya que es una herramienta con la que puedes hacer multitud de cosas y nunca había escrito sobre ella.

Las pruebas las he echo una Debian 6 recién instalada =)

Para ver el estado de las reglas de Iptables hacemos

root@dragon-debian:~# iptables -L

Con esto nos mostraría las reglas existentes.

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Ahora para habilitar la conexión a un puerto específico haríamos.

root@dragon-debian:~# iptables -A INPUT -p tcp –dport 2222 -j ACCEPT

Cuando tengamos todos los puertos que necesitamos habilitar denegaremos las otras conexiones:

root@dragon-debian:~# iptables -i eth0 -A INPUT -j DROP

Para saber quien intenta conectarse guardaremos todas las conexiones en un log:

root@dragon-debian:~# iptables -I INPUT 5 -m limit –limit 5/min -j LOG –log-prefix “iptables denied: ” –log-level 7

Guardaremos todas las reglas en un fichero:

root@dragon-debian:~# iptables-save
# Generated by iptables-save v1.4.8 on Wed Feb  9 12:13:31 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [71:8488]
-A INPUT -p tcp -m tcp –dport 1337 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 2222 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 22 -j ACCEPT
-A INPUT -i eth0 -j DROP
-A INPUT -m limit –limit 5/min -j LOG –log-prefix “iptables denied: ” –log-level 7
COMMIT
# Completed on Wed Feb  9 12:13:31 2011

Podemos guardar las reglas en un fichero

root@dragon-debian:~# sh -c “iptables-save > /etc/iptables.rules”

Por último para que cuando se reinicie la máquina ya inicie con las reglas de iptables

Editamos el fichero interfaces y lo dejamos mas o menos así:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback
##Cargamos las reglas de Iptables
pre-up iptables-restore < /etc/iptables.up.rules
# The primary network interface
allow-hotplug eth0
#NetworkManager#iface eth0 inet dhcp

Y ya está por hoy

Un saludo

2010/01/10  

Antivirus NOD32 en sistemas Linux

Muy buenas a todos/as!!!

Aunque en sistemas GNU/Linux es mas difícil que se encuentren virus, cada vez, dado que su uso aumenta es posible encontrar algún virus para sistemas GNU/Linux. Naturalmente estos antivirus que hay para Linux también detectan virus para sistemas Windows obviamente.

La página de descargas para NOD32

Descargas NOD32

Los requisitos mínimos para la instalación són:

  • Linux:
    • RedHat, Debian, Ubuntu, Suse, Fedora and Mandriva y la mayoría de las otras RPM
    • kernel 2.6 o superior
    • Librería GNU C 2.3 o superior
    • GTK+ 2.6 o superior
    • LSB 3.1 compatibilidad recomendada

    Consumo de memoria:

    • Linux: 100 MB

    Espacio en disco (Descarga):

    • Linux: 17 MB

    Espacio en disco (Instalación):

    • Linux: 46 MB

Una vez cumplamos los requisitos mínimos podemos empezar con la instalación

Instalando NOD32 en Linux

marc@ubuntu:~$ sudo chmod a+x /home/marc/Descargas/ueav.i386.linux
[sudo] password for marc:
marc@ubuntu:~$ /home/marc/Descargas/ueav.i386.linux

Ahora empieza la instalación:

Esta es la pantalla de instalación de Eset NOD32, le damos a Next

Aceptamos el término de licencia:

Elegimos la instalación personalizada,

Al ser una beta ya nos proporcionan el usuario y password para las actualizaciones, le damos a next

En mi caso, no necesito un proxy para acceder a Internet

Aquí nos sale los usuarios que tendrán permisos para administrar el antivirus

Yo he añadido mi usuario para que pueda configurar el antivirus

Sigamos

Habilitamos el módulo de NOD32, y le damos a advanced Setup

Aquí configuramos donde manadaremos los reportes de ESET

Seguimos

Habilitamos la detección para el software sospechoso

Seguimos

Y por fin tendremos la instalación para empezar

Ls instalación se demorará según tu equipo

Seguimos

Una vez haya acabado nos pedirá reiniciar, lo hacemos y nos ponemos a configurar NOD32 mas a fondo,

Configurando NOD32

Veamos la pantalla principal de NOD32

Esta es la pantalla principal de NOD32 desde donde accederemos a las opciones, empecemos


Ahora en este pantalla vemos que el equipo está en perfectas condiciones! Seguimos

Desde aquí podemos ver las estadísticas generadas por NOD32 como lo acabamos de instalar no nos muestra nada.

Seguimos

Aquí es la parte del escaneo, veamos como lo vamos a configurar

Esta es la parte de configuración del análisis, veamos que parámetros tiene y como podemos jugar con ellos

Aquí he marcado que me analice todos los tipos de archivo, seguimos

Marcamos aquí que haga un escaneo utilizando distintos tipos de base de datos de firma de virus, que utilice heurística y, que, además analice las aplicaciones que crea que son del tipo maliciosa. Continuemos

El nivel de limpieza viene establecido de manera predeterminada en un nivel medio, yo lo he marcado como un nivel estricto de limpieza para una mayor efectividad en la limpieza de malware.

Seguimos

SI por ejemplo queremos excluir de la lista algún tipo de extensión, podemos ponerla aquí.

Seguimos

Aquí establecemos un tamaño para los archivos, si marcamos que los archivos de mas de 2MB no se han de analizar pues no lo hará. Además de que podemos excluir las carpetas de sistema para el escaneo.

Seguimos

Aquí ponemos que directorios se van a analizar, yo he marcado que se escaneen todos así tardará más el análisis pero así estaré seguro que no se escapa ningún virus.

Seguimos

En el apartado de protección real también hay varias opciones. Que el escáner esté presente cuando se abre y se cierra un archivo, por ejemplo. Vamos a las opciones avanzadas.

Esto establece que la cache para el análisis está en tantos archivos.

Seguimos

Aquí miraremos las otra opción más.

En el apartado de tools, podemos mirar desde donde descargas los Updates.

Seguimos

Podemos configurar el antivirus para que nos guarde los logs.

Seguimos

El filtro de los logs lo podemos establecer como queramos. En mi caso prefiero que me lo guarde todo.

Seguimos

Aquí ponemos que nos muestre las tareas de sistema.

Seguimos

En el apartado de interfaz yo quiero que me muestre als opciones avanzadas así puedo ver todas las opciones disponibles.

Seguimos

Ponemos que nos muestre las alertas de las cosas que pueda encontrar.

Seguimos

Por último en caso de que tuviéramos que utilizar un proxy para acceder a Internet aquí lo configuraríamos.

Y hasta aquí la instalación y configuración de NOD32 para sistemas GNU/Linux.

Recordad que es una Beta y que os puede dar problemas.

Un saludo

2009/11/10  

MD5, SHA1 funciones de hash

Es algo bastante extendido en Internet. MD5 y SHA1 sirve para comprobar la integridad de un fichero.

Es decir si ese fichero ha podido ser modificado o no.

Naturalmente es un tema bastante importante ya que, con este tipo de métodos podemos verificar que realmente estamos descargando y usando algo que proviene de la fuente original y no ha sido modificado por terceros.

Empezaremos por MD5 de echo es el más conocido y extendido por Internet.

Que es MD5?

Es uno de los algoritmos de reducción criptográficos diseñados por el profesor Ronald Rivest del MIT (Massachusetts Institute of Technology, Instituto Tecnológico de Massachusetts). Fue desarrollado en 1991 como reemplazo del algoritmo MD4 después de que Hans Dobbertin descubriese su debilidad.A pesar de su amplia difusión actual, la sucesión de problemas de seguridad detectados desde que, en 1996, Hans Dobbertin anunciase una colisión de hash plantea una serie de dudas acerca de su uso futuro.

Como comentaba antes, MD5 es el sistema más utilizado.

Comprobando MD5 en Windows

Veamos un ejemplo:

Nos queremos descargar una ISO de Debian, por ejemplo vamos a la página de descargas.

Pagina de descargas de Debian

Nos descargamos la ISO.

La página de descargas ya nos ofrece un fichero para comprobar las firmas que es este:

Fichero MD5

Vamos a sacar el MD5 de la imagen del CD de Debian en Windows. Yo lo he echo con el programa MD5SUM.

Lo podemos descargar de aqui:

MD5SUM

Después de descargarlo y probarlo nos sale esto:

comprobar_md5

Como veis nos da el hash, ahora vamos a comprobarlo con el hash que nos ofrecen:

md5_comprobado

Si miráis en la web que os he pasado antes la de Fichero MD5. Podemos ver que la firma ofrecida y la que hemos comprobado son iguales. Es decir, la ISO que tenemos es totalmente original.

Comprobando MD5 en Ubuntu:

Primero de todo instalaremos un paquete que nos hace falta:

sudo apt-get install sleuthkit

Instalamos el paquete y ya podemos comprobar la integridad del fichero.

md5_ubuntu

Con esto obtenemos el hash MD5 en Ubuntu

Comprobando MD5 en MAC OS X

En MAC utilizaremos una herramienta que nos comprueba el hash, lo podemos encontrar aquí:

MD5

Lo utilizamos y calculamos el hash MD5 que queramos:

MD5_mac_os_x

Ahora vamos por el SHA1.

Aunque no tan utilizado como el MD5, se tiende a migrar ya hacia el SHA1.

es un sistema de funciones hash criptográficas relacionadas de la Agencia de Seguridad Nacional de los Estados Unidos y publicadas por el National Institute of Standards and Technology (NIST). El primer miembro de la familia fue publicado en 1993 es oficialmente llamado SHA. Sin embargo, hoy día, no oficialmente se le llama SHA-0 para evitar confusiones con sus sucesores. Dos años más tarde el primer sucesor de SHA fue publicado con el nombre de SHA-1. Existen cuatro variantes más que se han publicado desde entonces cuyas diferencias se basan en un diseño algo modificado y rangos de salida incrementados: SHA-224, SHA-256, SHA-384, y SHA-512 (llamándose SHA-2 a todos ellos).

Vamos a ver como podemos comprobar la firma SHA1.

En la misma imagen de Debian.

Primero vemos como la página nos ofrece las firmas de hash

Hashes SHA1

Comprobando firmas sha1 en Windows

Para hacer la comprobación de sha1 nos tenemos que descargar el ejecutable, lo podemos encontrar aqui:

Sha1sum

Lo ejecutamos y comprobamos la firma

sha1_windows

Ya tenemos nuestra firma SHA1 que podemos comprobar con nuestro fichero.

Comprobando Sha1 en Ubuntu.

Con el paquete que instalamos antes no haría falta instalar nada más.

Miremos como se hace:

sha1_ubuntu

Ya tenemos nuestra firma en sha1.

Comprobando Sha1 en MAC OS X

Por último en mac, para hacerlo utilizaremos la librería de openssl +sha1

veamos el comando sería así:

/usr/bin/openssl sha1 fichero

Asi que veamos un ejemplo:

sha1_mac_osx

Y hasta aquí todo, espero que desde ahora vigiléis lo que os bajais.

Saludos

2009/09/07  

Integrando máquinas Linux y MAC OS X al Active Directory

Todo comenzó cuando fuí a ver el AD MOVIES en Barcelona allí vi por primera vez a dos grandes entes, Carles Martín product manager de Quest y Chema Alonso, raulista de la red. Allí en el AD MOVIES Quest mostró sus productos de los que me quedé prácticamnete enamorado de la sencillez con la cual se podían llevar a cabo operaciones con el Active Directory.

Unos de los productos con los que me quedé ensimismado, fué con VAS. O lo que es lo mismo Vintela Authentication Services. Este producto nos permite integrar máquinas Linux y MAC OS X como si fueran clientes Windows en Active Directory de manera que podemos hasta establecer GPO’s y demás. Ya hace años que se pueden integrar máquinas MAC OS X y Linux al dominio sin tener este producto.

MAC OS X en dominio

Linux en dominio

Bueno una vez he dado una pequeña introducción empezaremos..

Primero de todo que es Vintela?

With more than 500 enterprise customers and more than 3 million installed seats including some of the largest and most complex environments on the planet, only Quest can address the authentication needs of highly diverse organizations.

Quest Authentication Services (formerly Vintela Authentication Services) enables organizations to extend the security and compliance of Active Directory to Unix, Linux, and Mac platforms and enterprise applications. It addresses the compliance need for cross-platform access control, the operational need for centralized authentication and single sign-on, and enables the unification of identities and directories for simplified identity and access management.

A lo que en castellano podríamos decir que..

Con una clientela de más de 500 empresas y más de 3 millones de asientos instalados incluyendo algunos de los entornos más grandes y complejas del planeta, sólo Quest puede abordar la autenticación de las necesidades de las organizaciones de muy diverso.

Quest Authentication Services (anteriormente Vintela Authentication Services) permite a las organizaciones extender la seguridad y el cumplimiento de Active Directory para Unix, Linux, y Mac, y aplicaciones empresariales. Se aborda la necesidad de cumplimiento de cruz-plataforma de control de acceso, la necesidad operacional de autenticación centralizada y single sign-on, y permite la unificación de identidades y directorios de identidad simplificada y administración del acceso.

Bueno primero de todo tendríamos que ir a la página de Quest y descargarnos la herramienta, requiere registro
Instalación de Vintela en el Controlador de Dominio
Una vez nos lo hemos descargado nos vamos a nuestro controlador de dmominio e instalamos Vintela.
vintela
Eso nos saldrá cuando metamos la ISO de Vintela. Le damos a Install
vintela_2
Ahora le damos a Install, y una vez hayamos acabado la instalación le damos a configure de esta misma pantalla.
No saldrá un asistente,
vintela_3
Aquí tenemos 3 opciones. La mas completa es la que ya está escogida en la imagen , aunque tenéis que poner la que os vaya mejor y necesiteis.
Llegará un momento en el asistente que nos pedirá la licencia.
vintela_4
En mi active directory ya había creado un usuario llamado pruebas.
Vamos a ver sus propiedades.
vintela_5
Si os fijáis hay una pestañita que pone Unix Account, vamos a ella.
vintela_6
Aquó podeis ver información del usuario en entornos Unix.
Por defecto trae una shell sh, yo se la he cambiado a bash.
Aunque esto podeis cambiarlo en el menu de configuraciones de Vintela.
vintela_22
Integrando Cliente VAS en Linux.
Para nuestra prueba he cogido Red Hat pero podéis cojer la que queráis.
Dentro de la ISO que nos hemos descargado hay una carpeta llamada Client. Esa carpeta la tendremos que instalar en todas las máquinas a las que queramos integrar al active dorectory.
Dentro de la carpeta Client buscamos Linuxx86 que es la arquitectura que utilizo
Como root desde un terminal ejecutamos install.sh
Empezará el proceso de instalación:
vintela_8
Llegará un momento que nos pondrá para que le indiquemos el nombre del dominio al que lo queremos unir:
vintela_9
Una vez le hayamos dicho el dominio nos pedirá validaciñon de administrador del dominio, y completará el proceso,
vintela_10
Ahora nos vamos al contr0lador de dominio al apartado de Computers a ver que nos sale.
vintela_11
Como podeis ver la máquina Red Hat se ha subido al dominio como si fuera un equipo Windows. Vamos a ver sus propiedades,
vintela_12
Como podéis ver es un Linux.
Ahora nos loguearemos en la máquina Red Hat con el usuario pruebas del dominio.
vintela_13
Y ahora hagamos una comprobación:
vintela_14
Como podéis ver el usuario NO existe localmente en Red Hat.
Instalación de Cliente en MAC OS X.
Vamos a la carpeta Client del mac os x y nos dedicamos a instalarlo.
vintela_7
Después de esto, nos vamos al Finder y buscamos la aplicación Directory Utility.app
vintela_16
Ahora le indicamos cual es nuestro nombre de dominio y le damos nuestras credenciales.
vintela_17
Ahora nos hará unas comprobaciones.
vintela_18
Luego empezará a aplicar los cambios.
vintela_19
Ahora nos vamos otra vez al controlador de Dominio y miramos si la máquina está al igual que con el Red Hat.
vintela_20
Como podéis ver si que nos ha subido la máquina al igual que con el Red Hat
Ahora haremos login en el MAC OS X con el user del dominio que se llama pruebas.
vintela_15
Ahora vamos a hacer la comprobación pertinente.
vintela_21
Y hasta aquí todo.
Este es tan solo UNO de los fantásticos productos de que dispone Quest.
Saludos
« Older Posts