Muy buenas a todos/as!

En mis andaduras de configurción del Firewall de Windows 7, me encontraba con el problema de que a veces no sabía si un paquete estaba recibiendo un DROP un allow. Los firewalls en general conocen 3 estados para la decisión con un paquete:

Allow: El paquete mediante una regla preestablecida deja pasar hacia fuera

Drop:Se deniega el paso del paquete y no manda respuesta de ello

Reject:Se deniega el paso de ese paquete, manda un ICMP como destino inalcanzable

El log de Firewall de Wndows 7 es bastante sencillo de interpretar, así que mientras hacía mis pruebas y al mas estilo Unix, con Cygwin me hice un sh para ir comprobando los paquetes. Para activar el LOG en Firewall hemos de ir a la utilidad wf.msc con permisos de administrador.

Si obervamos la imagen tenemos que ir al menú de Propiedades de Firewall

Aqui tenemos los 3 perfiles del firewall, cada perfil se establece en un área de red que heos definido cuando nos conectamos a una red. En el caso de dominio normalmente  si trabajas en dominio en una empresa, privado en casa, por ejemplo y público en todo aquel sitio que no conozcas ni sea de tu confianza.

Aunque puede que cada pefil debería d estar configurado de una manera especial, creo que es bueno configurar el Firewall lo mas restringivo posible en todas las áreas, siendo así una medida de mitigación contra posibles ataques del exterior.

En el apartado de inicio de sesión:

Para cada uno de estos dominios, hemos de activar que registre los paquetes descartados y correctos. El log se guarda por defecto en:

/Windows/System32/LogFiles/Firewall/pfirewall.log

Como trabajo mucho con Cygwin, con un simple tail, podríamos ir viendo como se van registrando los paquetes:

#!/bin/bash

#Shell que hace un tail de las conexiones del Firewall

tail -f /cygdrive/c/Windows/System32/LogFiles/Firewall/pfirewall.log

Una utilidad mas por si hay alguien que queire probarlo

Muy buenas a todos/as!

Cuando me encontraba leyendo el libro de Sergio de los Santos “Máxima Seguridad en Windows” sabría que acabaría formateando el ordenador para acabar de instalarlo totálmente seguro y a mi gusto, con las recomendaciones de lo que supone para mi ahora una guía de como configurar un Windows de manera segura y sin antivirus .

Una de las muchas cosas que cambié es el tema del Firewall que viene integrado con Sistema en Windows 7, por defecto en los 3 perfiles, dominio, público y privado todo me basé en listas blancas para permitir la salida de programas hacia la red. Uno de los problemas que tuve es que, me quedé sin conexión a  Internet con VMWare. El problema de VMWare en Windows 7e s que las interfaces de red, vmnet, te las asigna como redes públicas y por lo tanto te quedas sin acceso a Internet.

Una solución para tener conexión a Internet es mediante un script en Power Shell que Windows no asigne las interfaces de red como públicas.

Podemos ver como Windows asigna las interfaces de red como públicas.

Te marca la red como red desconocida

El script en Power Shell es el siguiente:

# see <a href="http://msdn2.microsoft.com/en-us/library/bb201634.aspx">http://msdn2.microsoft.com/en-us/library/bb201634.aspx</a>
#
# *NdisDeviceType
#
# The type of the device. The default value is zero, which indicates a standard
# networking device that connects to a network.
#
# Set *NdisDeviceType to NDIS_DEVICE_TYPE_ENDPOINT (1) if this device is an
# endpoint device and is not a true network interface that connects to a network.
# For example, you must specify NDIS_DEVICE_TYPE_ENDPOINT for devices such as
# smart phones that use a networking infrastructure to communicate to the local
# computer system but do not provide connectivity to an external network.
#
# Usage: run in an elevated shell (vista/longhorn) or as adminstrator (xp/2003).
#
# PS&gt; .\fix-vmnet-adapters.ps1

# boilerplate elevation check

$identity = [Security.Principal.WindowsIdentity]::GetCurrent()
$principal = new-object Security.Principal.WindowsPrincipal $identity
$elevated = $principal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)  

if (-not $elevated) {
    $error = "Sorry, you need to run this script"
    if ([System.Environment]::OSVersion.Version.Major -gt 5) {
        $error += " in an elevated shell."
    } else {
        $error += " as Administrator."
    }
    throw $error
}

function confirm {
$host.ui.PromptForChoice("Continue", "Process adapter?",
[Management.Automation.Host.ChoiceDescription[]]@("&amp;No", "&amp;Yes"), 0) -eq $true
}

<!-- Adkit freestyle placement -->[adkit: zone="freestyle" limit="1" list="0"] <br><br><br> [netshelter]# adapters key
pushd 'hklm:\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}' 

# ignore and continue on error
dir -ea 0  | % {
    $node = $_.pspath
    $desc = gp $node -name driverdesc
    if ($desc -like "*vmware*") {
        write-host ("Found adapter: {0} " -f $desc.driverdesc)
        if (confirm) {
new-itemproperty $node -name '*NdisDeviceType' -propertytype dword -value 1
        }
    }
}
popd

# disable/enable network adapters
gwmi win32_networkadapter | ? {$_.name -like "*vmware*" } | % {

# disable
    write-host -nonew "Disabling $($_.name) ... "
    $result = $_.Disable()
    if ($result.ReturnValue -eq -0) { write-host " success." } else { write-host " failed." }
    # enable
    write-host -nonew "Enabling $($_.name) ... "
    $result = $_.Enable()
    if ($result.ReturnValue -eq -0) { write-host " success." } else { write-host " failed." }
}

Este script se ha power shell se ha de ejecutar con Power Shell.

Las redes VMNet se ha de marcar el Y para aplicar la configuración.

ya tenemos las redes como enabled

Y hasta aquí la solución al problema

Referencias

Saludos!

Muy buenas a todos/as!

Desde siempre cuando nos hemos dedicado al mantenimiento de sistemas, nos hemos encontrado con los procesos svchost. Nadie a primera vista que son estos procesos. Para poder saber de que se encargan exactamente podemos usar svchostviewer.

Svchostviewer está alojado en codeplex, podemos descargarlo de aquí.

Cuando lo ejecutamos empieza a recopilar información de nuestro sistema de los procesos svchost

Aquí podemos ver los diferentes procesos svchost a que se dedican exactamente. Además nos da una descripción de que significa el proceso.

También tenemos dos opciones mas con svchostviewer

Podemos abrir los servicios de Windows, por si queremos detener o iniciar alguno.

Y también podemos sacar un report de los svchost de la máquina

Ya tenemos un report de los svchost de la máquina.

Sin duda una aplicación interesante.

Un saludo

Muy buenas a todos/as!

Tenemos varias maneras de comprobar la seguridad de Internet Explorer. Hoy os traigo una utilidad de Microsoft para comprobar la seguridad de Internet Explorer e incluso poder exportar los resultados.

La utilidad se llama IEZoneAnalyzer

Algunas imágenes sobre la utilidad.

Desde la utilidad podemos acceder a todas las zonas que hay en Internet Explorer.

Ahora por ejemplo, cambiaremos la página de Inicio

Ya tenemos la página cambiada en Internet Explorer.

Ahora exportaremos la configuración de una zona, para poder revisar la configuración.

Ya no hay excusa para volver a configurar la seguridad de Internet Explorer.

Un saludo

Muy buenas a todos/as!

Siguiendo con la entrada de ayer, en la que creábamos la imagen de DaRT, para poder usarla.

Grabamos la imagen ISO en un CD y arrancamos desde él.

Cuando inciamos el CD, nos pregunta si queremos habilitar conexión de red.

En nuestro caso le dado a Yes.

Si queremos poder buscar cosas dentro de nuestro PC local, tendremos que habilitarlo.

Elegimos la configuración del teclado.

Como cuando iniciamos un CD de recovery, DaRT buscará las instalaciones existentes en la máquina.

Igual que con un CD de recuperación, tenemos las mismas opciones y, además tenemos las opciones ofrecidas por DaRT al final.

Elegimos la ultima opción

Si necesitamos editar el registro podemos hacerlo desde aquí.

Tenemos también disponible un explorador de archivos.

Como ya hacíamos con ERD Commander o Hirens boot, podíamos cambiar el password de las cuentas de la máquina.

DaRT dispone de un Wizard para solventar algunos problemas con los que nos podamos encontrar.

Con las debugging tools somos capaces de poder analizar los .dump que nos salen cuando ahy un pantallazo azul

Como hemos habilitado la red, podríamos asignarle la Ip que quisiéramos aquí.

Si hemos perdido algún archivo porque ha sido eliminado por error, podemos intentar recuperarlo.

A veces en entorno corporativo, la instalación de un Hotfix puede provocar un mal funcionamiento de alguna aplicación. Podríamos quitarlo desde aquí.

Si nos ocurre que perdemos el gestor de arranque, podemos recuperarlo desde aquí.

Si por lo que sea necesitamos de reprar los archivos de sistema en Windows podemos usar SFC incluído como utilidad.

Para que no puedan recuperar nuestra información podemos usar esta utilidad y hacer un wipe al disco duro.

Si necesitaramos buscar cualquier archivo en la máquina disponemos de un file search

Podemos obtener la información del equipo desde aquí

También tenemos una utilidad para la búsqueda del Malware, además podemos actualizar in situ, para poder encontrar los últimos virus

Como avisábamos en el POST anterior, comos capaces de habilitar las conexiones remotas.

Y hasta aquí las utilidades disponibles en DaRT.

Un saludo

Muy buenas a todos/as!

Si alguna vez nos ha tocado estar reparando PC’s, hemos tenido al final que armarnos con un kit para poder hacer casi de todo, de manera que no tengas problemas para solventar un problema que te encuentres.

Seguro que a todos os suena Hirens Boot, con este CD lleno de utlidades conseguimos solventar un amplio abanico de problemas.

Desde Microsoft ya está disponible DaRT, con esta utilidad nos facilitamos el area de protección y administración en el área de TI.

En este artículo veremos como crear la ISO de DaRT.

Para descargar DaRT podemos hacerlo desde aquí.

Una vez descargado el ejecutable instalamos DaRT.

Como casi cualquier instalación en Windows, le damos a Next.

DaRT necesita de archivos de neustro CD de Windows con el que instalamos el PC. Así que se los facilitamos meiante nuestro disco de instalación de Windows 7.

Nos avisa de que ahora procederá a la extración de archivos y que puede tardar unos minutos.

Podemos ver el proceso de extración de archivos y copiados del mismo.

Igual que si trabajaramos con MMC, podemos habilitar características de administración.

Sobretodo en entorno corporativo, si queremos acceder de manera remota podemos habilitarlo =)

Si nos da un pantallazo azul y necesitamos hacer debugging, podemos usar las Debugging tools de Microsoft, si las tenemos instaladas en el PC, podemos imoportarlas a DaRT.

Muchas veces el problema puede venir por el malware, que tengamos. Podemos aprovechar para actualizar las bases para poder hacer un scan mas tarde.

Si tenemos algún hardware que no venga en el startup de Windows, podemos importar el .inf aquí.

Aquí es dodne se creará la imagen de DaRT de manera temporal, si queremos añadir mas archivos podemos hacerlo.

Le ponemos el nombre a la ISO que vamos a crear.

Vemos el proceso de creación de la ISO.

Si ya tenemos el DVD listo para grabar podemos hacer que se grabe ya directamente.

Y finalmente ya tenemos  la ISO creada.

En el siguiente capítulo, podemos ver como trabajamos con DaRT

Un saludo

Muy buenas a todos/as!

Que razón tenía Chema Alonso, cuando decía que con las versiones de Windows Vista y Windows 7, se nos facilitaba la vida en usabilidad del sistema operativo.

Hay mucha gente que a veces se vuelve loca buscando archivos en su windows. así que explicaremos que se pueden hacer diferentes tipos de búsquedas.

Recordemos el cuadro de búsqueda:

Así a simple vista no parece que se pueda hacer mucho pero veamos:

Esto sería la típica búsqueda simple, buscaríamos la palabra para el archivo que necesitamos encontrar.

Si escribimos el término de búsqueda que queremos encontrar nos saldrá la opción de fecha y tamaño, si le damos a fecha:

Podemos buscar por fecha, si tenemos muchos archicos que se llaman igual, podemos discrimar la búsquedas así

También podemos buscar directamente por tipo, en este caso he buscado directamente por extensión de Thunderbird

Cada vez que se busca en una ubicación se hace un índice del directorio, aquí podemos mirar que tiene en el índice guaradado Windows

Si tenemos que hacer una búsqueda 100 veces, podemos guardarnos la búsqueda y así directamente tendremos los resultados sin esperar a tener que hacer la misma búsqueda una y otra vez

Hemos visto que se puede buscar por extensión, en cambio si queremos buscar por nombre, podemos hacerlo

Si estamos buscando la palabra Izarc en la carpeta Descargas, y sabemos que se puede encontrar en otra ubicación, le damos a personalizar y buscamos directamente en la otra carpeta que queramos.

Si el archivo tiene aplicado una etiqueta, podemos aplicársela a la búsqueda

Y por último también podemos buscar por tamaño, podemos decir por ejemplo enorme o buscar por cantidad, es decir 10 Megas, 1 GB

Existen mas filtros por ejemplo buscar por links dentro de archivos.

Seguro que ahora encontráis los archivos mas rápidos.

Muy buenas a todos/as

La herramienta de captura de tráfico de red Wireshark es súper conocida. Además de ser muy útil, gracias a sus filtrados, que es multiplataforma y sus datos de exportación. Trabaja muy pero que muy bien.

Aunque también existe Microsoft Network Monitor. Esta herramienta parece que, si se mejoran algunos aspectos puede ser una alternativa muy, muy buena.

Así que nada probadla, y ya me diréis.

Un saludo

Bueno ahora que ya trabajo con MAC OS X  a fondo me he dado cuenta de que muchas veces necesitamos trabajar con varios sistemas de ficheros a la vez.  Investigando se pueden encontrar como siempre, una alternativa gratuita y otra de pago. Se que se pueden hacer carpetas comaprtidas…pero y un pen drive o directamente un HD externo con este sistema de ficheros…

Veamos…

Empecemos primero con la versión de pago..

MAC DRIVE 8

Este software lo podemos descargar desde aquí:

Descargar MAC DRIVE 8

Una vez instalado podemos tener una trial de 6 días.

Vamos a probarlo..

Iniciamos el programa..

Esta es la interfaz de MAC DRIVE 8. Le damos a Explore Mac disks

Ahora miramos que discos a detectado MAC DRIVE 8.

Como podeis ver todos los discos duros son iguales menos el que se llama “informática” que tiene un simbolito rojo.

Vamos a ver el contenido del disco duro que está con formateado en mac os x.

Podemos ver el contenido del disco duro, pero, podemos copiar cosas al disco duro?

Sí! Efectívamente podemos copiar cosas a la partición HFSJ.

Es decir, este software nos da permisos de lectura/escritura en particiones HJFS

Además de grabar CD’s y reparar particiones.

Ahora que ya lo hemos visto, veamos que nos ofrece la versión gratuíta.

HFSExplorer

La página oficial nos ofrece  información sobre el producto además de un enlace para descargar el software

HFSExplorer

Instalamos el Software y lo probamos, veamos la página principal.

Parece un explorador de archivos, pero no vemos nuestro disco duro de MAC OS X vamos a cargarlo.

Con esto lanzaremos el asistente para cargar la partición en HJFS.

Si os fijáis en la imagen tenemos un botón automágico que nos dice Autodetect, vamos a darle!

Parece ser que sí que ha encontrado la partición… le damos a aceptar. Esto montará la partición y nos saldrá de la siguiente manera:

Podeis ver como está montada la partición además de mostrarme todos los archivos.

Hagamos la prueba de llevarnos un archivo

Elegimos la ubicación donde dejaremos el archivo.

Como podemos ver nos hace una rpegunta de si queremos crear un enlace simbólico.

Finalmente podremos extraer el archivo

Y nada, como podeis ver tenemos las dos alternativas la de pago y la gratuita.

La elección es nuestra!

Un saludo

Es decir si ese fichero ha podido ser modificado o no.

Naturalmente es un tema bastante importante ya que, con este tipo de métodos podemos verificar que realmente estamos descargando y usando algo que proviene de la fuente original y no ha sido modificado por terceros.

Empezaremos por MD5 de echo es el más conocido y extendido por Internet.

Que es MD5?

Es uno de los algoritmos de reducción criptográficos diseñados por el profesor Ronald Rivest del MIT (Massachusetts Institute of Technology, Instituto Tecnológico de Massachusetts). Fue desarrollado en 1991 como reemplazo del algoritmo MD4 después de que Hans Dobbertin descubriese su debilidad.A pesar de su amplia difusión actual, la sucesión de problemas de seguridad detectados desde que, en 1996, Hans Dobbertin anunciase una colisión de hash plantea una serie de dudas acerca de su uso futuro.

Como comentaba antes, MD5 es el sistema más utilizado.

Comprobando MD5 en Windows

Veamos un ejemplo:

Nos queremos descargar una ISO de Debian, por ejemplo vamos a la página de descargas.

Pagina de descargas de Debian

Nos descargamos la ISO.

La página de descargas ya nos ofrece un fichero para comprobar las firmas que es este:

Fichero MD5

Vamos a sacar el MD5 de la imagen del CD de Debian en Windows. Yo lo he echo con el programa MD5SUM.

Lo podemos descargar de aqui:

MD5SUM

Después de descargarlo y probarlo nos sale esto:

Como veis nos da el hash, ahora vamos a comprobarlo con el hash que nos ofrecen:

Si miráis en la web que os he pasado antes la de Fichero MD5. Podemos ver que la firma ofrecida y la que hemos comprobado son iguales. Es decir, la ISO que tenemos es totalmente original.

Comprobando MD5 en Ubuntu:

Primero de todo instalaremos un paquete que nos hace falta:

sudo apt-get install sleuthkit

Instalamos el paquete y ya podemos comprobar la integridad del fichero.

Con esto obtenemos el hash MD5 en Ubuntu

Comprobando MD5 en MAC OS X

En MAC utilizaremos una herramienta que nos comprueba el hash, lo podemos encontrar aquí:

MD5

Lo utilizamos y calculamos el hash MD5 que queramos:

Ahora vamos por el SHA1.

Aunque no tan utilizado como el MD5, se tiende a migrar ya hacia el SHA1.

es un sistema de funciones hash criptográficas relacionadas de la Agencia de Seguridad Nacional de los Estados Unidos y publicadas por el National Institute of Standards and Technology (NIST). El primer miembro de la familia fue publicado en 1993 es oficialmente llamado SHA. Sin embargo, hoy día, no oficialmente se le llama SHA-0 para evitar confusiones con sus sucesores. Dos años más tarde el primer sucesor de SHA fue publicado con el nombre de SHA-1. Existen cuatro variantes más que se han publicado desde entonces cuyas diferencias se basan en un diseño algo modificado y rangos de salida incrementados: SHA-224, SHA-256, SHA-384, y SHA-512 (llamándose SHA-2 a todos ellos).

Vamos a ver como podemos comprobar la firma SHA1.

En la misma imagen de Debian.

Primero vemos como la página nos ofrece las firmas de hash

Hashes SHA1

Comprobando firmas sha1 en Windows

Para hacer la comprobación de sha1 nos tenemos que descargar el ejecutable, lo podemos encontrar aqui:

Sha1sum

Lo ejecutamos y comprobamos la firma

Ya tenemos nuestra firma SHA1 que podemos comprobar con nuestro fichero.

Comprobando Sha1 en Ubuntu.

Con el paquete que instalamos antes no haría falta instalar nada más.

Miremos como se hace:

Ya tenemos nuestra firma en sha1.

Comprobando Sha1 en MAC OS X

Por último en mac, para hacerlo utilizaremos la librería de openssl +sha1

veamos el comando sería así:

/usr/bin/openssl sha1 fichero

Asi que veamos un ejemplo:

Y hasta aquí todo, espero que desde ahora vigiléis lo que os bajais.

Saludos