16/9/09

No mas entradas...

Así es, ya no mas entradas en este blog, he decidido empezar un nuevo blog y la dirección es 0sairux0.blogspot.com, espero verlos por allí. ;-)...

4/10/08

Clickjacking

Clickjacking es el tema "de moda", una vulnerabilidad descubierta por Jeremiah Grossman y Robert Hansen que afecta a TODOS los navegadores actuales (menos a links, lynkx y parecidos) y permite a un atacante tomar control de los vínculos que nuestro navegador con solo visitar un sitio malicioso. El bug no tiene relación con JavaScript así que deshabilitarlo no ayudará de mucho.


El problema es grave y no parece resolverse con un simple parche, con esta vulnerabilidad un atacante puede forzar a hacer click en cualquier vinculo (sitios con virus, spyware… o anuncios…) sin que el usuario se dé cuenta de lo que está sucediendo.

Para poner un ejemplo sencillo un atacante podría por ejemplo obligarnos a visitar enlaces de AdSense (aumentando las ganancias del usuario malicioso), se podría ofertar automáticamente en sitios como MercadoLibre o eBay, robar nuestra información personal, bancaria, etc… Con el hecho de hacernos visitar la url que ellos decidan las acciones que nos podemos realizar sin darnos cuenta solo son limitadas por la imaginación del atacante.

Jeremiah Grossman y Robert Hansen , ya se han puesto en contacto con las empresas responsables de los principales navegadores Microsoft, Mozilla y Apple para solucionar el problema aunque advierten que no hay una solución sencilla hasta el momento pero están trabajando en una.

Algunas cosas que podemos hacer para protegernos:

1. Los usuarios de Firefox + NoScript están a salvo del Clickjacking.
2. Los usuarios de navegadores en modo texto (Links, Lynx, w3m…) están a salvo.
3. Los usuarios de Opera están a salvo del Clickjacking, siempre que sigan los siguientes pasos:
* Deshabilitar todas las opciones en Herrramientas -> Avanzado -> Contenidos.
* Escribir “opera:config” en la barra de direcciones. Buscar “Extensions” y deshabilitar “iFrames” (…aunque yo no encuentro “iFrames” en mi Opera 9.50 para Linux!?).
4. Los usuarios de Explorer, Safari y Chrome no disponen de ninguna protección totalmente eficaz frente al Clickjacking.


Fuente



15/9/08

Copiar y crackear no es la solución...

Muchos creen que realizando copias no autorizadas de programas privativos de alguna manera están aportando a una buena causa. No importa cuánto ni por qué detesten a Microsoft u otros, ayudar a la difusión de sus programas es ayudarlos a consolidar su posición y, peor aún, poner a más usuarios bajo su control.

Muchos programas privativos actúan como verdaderos “candados” que se cierran sobre quienes los usan. Esto se logra por diversos medios:

  • Formatos cerrados: Cuando un programa almacena la información del usuario bajo un formato desconocido, está capturándola. De esta manera el usuario dependerá del programa para acceder a la información que le pertenece, pudiendo serle muy difícil y costoso optar por alguna alternativa futura.
  • Funciones restringidas, ocultas e indeseables: A veces algunas funciones son arbitrariamente restringidas, en favor de los intereses del productor. Las funciones de “exportación” son un buen ejemplo, en relación con el punto anterior. También es común encontrar funciones “ocultas“, que se ejecutan sin el conocimiento del usuario (muchas veces, invadiendo su privacidad).
  • Control de la evolución: El desarrollador del sistema privativo es el único que puede realizar modificaciones sobre el mismo. Esto incluye el añadir nuevas funciones o reparar errores. Muchas veces se incorpora una mejora útil en una nueva versión para imponer nuevas restricciones (condiciones de licenciamiento abusivas, funciones ocultas, etc.) a los usuarios.

Nótese que el factor económico (el precio de la licencia del programa) no es relevante en ninguno de estos puntos, aunque en algunos casos puede ser un factor más a considerar.

Distribuir copias no autorizadas de programas privativos es como hacer copias de candados. El espejismo es creer que la cerradura del candado es la débil protección anti-copia del programa y que la llave es el “crack“. Nada más errado: la llave es el control del programa, que sigue estando en poder quien posee su código fuente. Se haya pagado o no por una licencia de uso.


Fuente: El blog de Javier Smaldone

8/9/08

La mascota de PHP

Por que un elefante es la mascota de PHP ?

A lo mejor sabes mucho o poco de PHP, pero a lo mejor no saben por que escogieron un elefante como mascota, bueno pues aquí les dejo esta imagen que lo explica muy fácil...

Log-in en Fedora Directory Server para Clientes Linux


Fedora Directory Server nació en 1999 como Netscape Directory Server. En 2004, Red Hat compró Nestcape Directory Server con un compromiso: mantenerlo como proyecto Open Source. En la actualidad existen Red Hat Directory Server como versión empresarial y Fedora Directory Server como versión libre.

Algunas carácteristicas clave del FDS(Fedora Directory Server) son:
-Usa el Manejador de Bases de Datos Berkeley para almacenar sus datos.
-Replicación Multimaestro (MMR), dando una alta disponibilidad al Servicio de Directorio.
-Escalabilidad: Miles de operaciones por segundo, miles de clientes concurrentes, millones de entradas y cientos de gygabytes de datos.
-Autentificación de usuarios y transporte de datos de forma segura(SSL v3, TLS y SASL).
-Sincronización de usuarios y grupos con el Microsoft Active Directory.

Para instalar el Fedora Directory Server siga este corto manual
Despúes de tener instalado el Servicio de Directorio, ingresemos a la consola de Administración ejecutando:

cd /opt/fedora-ds;
./startconsole -u admin -a http://siona.localhost.localdomain:26492/

En la consola se pueden ver 2 pestañas, una denominanada Servers and Applications y la otra Users and Groups. La primera provee funciones de gestión para los Servidores de Directorio y Administración, y la segunda para Usuarios y Grupos.

Empezemos por crear un usuario ingresando sus datos y prestando especial atención a los atributos NT User y Posix User, pues ambos permiten que FDS actúe como un Servidor de login centralizado para entornos Windows y Linux.

Ahora, creemos un usuario llamado Pepe Perez cuyo nombre de usuario sea peperez, despúes de hacer esto, vamos al atributo Posix User y definimos el user ID, el group ID, el home Directory y el shell del usuario con los valores 333, 333, /home/peperez y /bin/bash respectivamente. Antes de configurar estos valores, aseguremonos de que user ID y group ID no estén ya en uso.

Esta es toda la configuración necesaria para que FDS actúe como un Servidor de login centralizado.

El siguiente paso es configurar el Cliente para acceder al Servidor, para ello necesitamos hacer 4 cosas:

1- Instalar los modulos nss_ldap y pam_ldap.
2- Modificar el NS cambiando el archivo de configuración /etc/nsswitch.conf para permitir LDAP.
3- Modificar /etc/ldap.conf para adaptar el entorno.
4- Modificar la configuración de PAM para permitir autentificación en LDAP con SSH.

Probablemente los modulos nss y pam ya estén instalados, visualizemos los sus archivos de configuración /lib/libnss_ldap.so.2 y /lib/security/pam_ldap.so; en caso de que no los encontremos, entonces habrá que instalar los paquetes.

El cliente que vamos a usar para hacer el logín es Ubuntu 8.0.4 , el cuál tiene instalados los paquetes por defecto. En caso de no encontrarlos, hay que instalarlos con el manejador de paquetes, que en el caso de debian sería apt-get.

Modifiquemos el archivo /etc/nsswitch.conf para permitir LDAP como opción. Cambiar las directivas password, group y shadow:

passwd: files ldap
group: files ldap
shadow: files ldap

Luego, editemos el archivo /etc/ldap.conf incluyendo lo siguiente:

base dc=localhost, dc=localdomain
host IP del host

Donde la directiva localhost es el nombre del servidor FDS, localdomain es el dominio LDAP seleccionado durante la instalación y host es la dirección IP del servidor.

Finalmente, configuramos SSH para permitir autenticación desde la fuente LDAP. Para ello agregamos 3 líneas al archivo /etc/pam.d/sshd

auth sufficient /lib/security/pam_ldap.so
account sufficient /lib/security/pam_ldap.so
password sufficient /lib/security/pam_ldap.so

Eso es todo lo necesario para una configuración básica.

Por
Raul Chavarría
Samir Cespedes
Estudiantes de Administración de Redes
SENA - Regional Antioquia
2008
©

28/8/08

Instalacion de Fedora Directory Server (FDS)









Cuando empezamos con la instalacion del FDS en el sistema operativo de Fedora 8 nos encontramos con el problema de que el comando YUM no estaba funcionando; intentamos solucionar dicho problema pero despues tomamos la desición de hacerlo en Debian ya que la documentación que encontramos para hacerlo estaba mucho mejor.

Entonces empezamos con dicha instalacion en Debian... y aunque el aprendisaje fue bueno; despues de darle casi tres días, decidimos nuevamente volver al sistema operativo de Fedora 9 con un nuevo manual que simplificaba todos los pasos y problemas que se nos presentaron con el montaje en Debian.

Para aquellos gomosos de Debian aca les dejamos un pequeño manual sobre el montaje de FDS en Debian, esparamos que tengan exito con dicha instalacion, de ser asi por favor envienos sus comentarios al Blog.

CLIC ACA PARA IR AL MANUAL

Y para aquellos que quieran una solucion mas rapida les aconsejamos que sigan estos cortos pasos en Fedora 9.
Dirígete hacia esta página http://directory.fedoraproject.org/ y entra en la sección de download, ahí encontraras los paquetes necesarios para instalar la herramienta directory server de fedora, en nuestro caso el paquete que nos sirvió fue el siguiente fedora-ds-1.0.4-1.FC6.i386.opt.rpm; descargalo para poder realizar la configuración.
Después de que termina la descarga instala el paquete con el siguiente comando:

#rpm –Uvh fedora-ds-1.0.4-1.FC6.i386.opt.rpm

Modifica los archivos de configuracion en las siguientes rutas:

#vim /etc/hosts/

Añade la IP de tu equipo y el domino que especificaras en el directory server.

#vim /etc/resolv.conf

Agrega en la linea search el nombre de tu equipo y en la linea nameserver la ip de tu equipo.

Ubicate en la siguiente ruta:

#cd /opt/fedora-ds

Y alli ejecuta

#./setup/setup

Y listo empezara la instalación...

Escrito por:
Samir A. Céspedes
Juan Guillermo
Alejandra

10/8/08

versiones de kernerl

LINUX

ultimas versiones del kernel:

Ultima version estable del kernel: 2.6.26
Ultima version alpha de la serie 2.6: 2.6.27-rc1
Ultima version estable de la serie 2.4: 2.4.36.6
Ultima version alpha de la serie 2.4: 2.2.26
Ultima version estable de la serie 2.2: 2.2.27-rc2

Ultima actualizacion 31/07/2008 08:51:02

Directorio Activo

Requisitos de instalación de un Dominio

Para crear un Controlador de Dominio hay que cumplir, por lo menos, con los siguientes requisitos recomendados:

Tener cualquier versión Server de Windows 2000 o 2003 (Server, Advanced Server o Datacenter Server),en el caso de 2003 server, tener instalado el service pack 1 en la máquina.

Protocolo TCP/IP instalado y configurado manualmente, es decir, sin contar con una dirección asignada por DHCP.

Tener un servidor de nombre de DNS, para resolver la dirección de los distintos recursos físicos presentes en la red.

Poseer más de 250 MB en una unidad de disco formateada en NTFS.

Maestros de A.D.

Las operaciones que utilizan single master replication van junto a roles específicos en el forest o el domain. Estos roles se llaman operations master roles. Para cada operations master role, solamente el domain controller que tiene el rol puede realizar los cambios asociados del directorio. El domain controller que es responsable de un rol en particular se llama operations master para ese rol. Active Directory almacena la información acerca de qué domain controller cumple un rol específico.

Active Directory define cinco operations master roles, cada uno de los cuales tiene una localización por defecto.
Operations master roles son a nivel forest o nivel domain.

Roles Forest-wide.
Únicos en el forest, los roles forest-wide son:

Schema master. Controla todas las actualizaciones al schema. El schema contiene la definición de clases de objetos y atributos que se utilizan para crear todos los objetos de Active Directory, como usuarios, computadoras e impresoras.

Domain naming master. Controla la adición o el retiro de domains en el forest. Cuando usted agrega un nuevo domain al forest, solamente el domain controller que tiene el rol domain naming master puede agregar el nuevo domain.

Hay solamente un schema master y un domain naming master por forest.

Roles Domain-wide. Único a cada domain en el forest, los roles domain-wide son:

Primary domain controller emulator (PDC). Actúa como un PDC Windows NT para soportar a los backup domain controllers (BDCs) corriendo Microsoft Windows® NT en domains en modo mixto.
Este tipo de domain tiene domain controllers corriendo Windows NT 4.0. El PDC emulator es el primer domain controller que usted crea en un nuevo domain.

Relative identifier master. Cuando se crea un nuevo objeto, el domain controller crea un nuevo security principal. Eso representa al objeto y asigna al objeto un unique security identifier (SID). El SID consiste en un domain SID, el cual es igual para todos los security principals creados en el domain, y un relative identifier (RID), el cual es único para cada security principal creado en el domain. El RID master asigna bloques de RIDs a cada domain controller en el domain. El domain controller, entonces, asigna el RID a los objetos que se crean del bloque asignado de RIDs.

Infrastructure master. Cuando los objetos se mueven de un domain a otro, el infrastructure master actualiza las referencias al objeto en ese domain y la referencia al objeto en el otro dominio. La referencia del objeto contiene el object globally unique identifier (GUID), distinguished name, y el SID. Active Directory actualiza periódicamente el distinguished name y el SID en la referencia del objeto para reflejar los cambios realizados al objeto real; por ejemplo, movimientos en y entre domains y la eliminación del objeto.

Cada domain en el forest tiene sus propios PDC emulator, RID master e infrastructure master.

Las GPO (Politícas de Grupo)


Las GPO son una serie de derechos que se pueden habilitar o deshabilitar a una cuenta de usuario o equipo por medio del directorio activo.
Cuando se aplica un derecho para el equipo este surge efecto al reiniciar la pc.
- Ejemplo GPO en equipo: Puede reiniciar el equipo.
Cuando se aplica un derecho para la cuenta de usuario este surge efecto al reiniciar la sesión.
-Ejemplo GPO en cuenta de usuario: El usuario no puede acceder a Panel de Control.

Nota: Las GPO se aplican a las unidades organizativas y también son heredadas, en las unidades organizativas se aplica la GPO que este más cerca.

Unidades Organizativas del Directorio Activo



Las unidades organizativas son contenedores del D.A. en los cuales podemos agrupar objetos (cuentas de usuario, cuentas de equipo y otras unidades organizativas), y además podemos aplicar GPO en estos contenedores para asi tener una administración mucho mas concreta. Una gran ventaja de estas unidades organizativas es que nos permite delegar el control para así poder dividir las tareas administrativas.
En las U.O. se crean los nombres LDAP el cual identifica a un objeto en todo el dominio.
Ejemplo: sairux del dominio redes.local
OU=samir DC=redes DC=local

Las U.O. permiten:

Permiten organizar objetos en un dominio.
Nos permiten delegar control administrativo.
Simplifican la administración de los recursos comúnmente agrupados.

Infraestructura del D.A. (Directorio Activo)

BOSQUE: Es la infraestructura completa de Active Directory; conjunto de arboles.

ARBOL: Son conjuntos de dominios con relaciones de confianza entre si.

DOMINIOS: Son unidades Organizacionales (básica) de la estructura lógica de D.A.

UNIDADES ORGANIZATIVAS: (carpetas) Permiten organizar objetos en un dominio, permitiendo así delegar control administrativo, simplificando la administración de los recurso agrupados.

OBJETOS: Es cualquier cosa que tenga entidad en el directorio. Puede ser un programa, un usuario, un equipo entre otros.

El Directorio Activo provee los siguientes servicios:

DHCP

DNS

SNTP

LDAP

KERBEROS

Herramientas administrativas

Usuarios y equipos: Crea y administra los usuarios y equipos del D.A.

Sitios y servicios: Crea y administra los sitios del D.A.

Dominios y confianzas: Crea y administra la confianza entre dos dominios o más.

12/5/08

Subneting

Como no traje el libro que el profesor Fernando Alonso Quintero pidio para que trajeramos los lunes y viernes de cada semana me coloco este ejercicio de subneting:

1-7 subredes
2-Cantdidad maxima de host 5.000

Solucion:
*Para obtener esta cantidad de host en una sola subred escoji una direccion ip case A
*El numero magico para la operacion es el 4
*2 a la 4 es 16 y se resta 2 que son las ip para id y broadcast, esto da el total de subredes
*2 a la 24 (numero bits para host) menos 4 que es el numero magico esto da como resultado 2 a la 20 que es igual1.o48.576 menos dos que son el id y el broadcast.
La mascara por defecto para una ip clase A es 255.0.0.0 pero al cojer 4 bits prestados esta queda en 255.240.0.0


Direccion 10.0.0.0

Primer subred:
ID: 10.0.0.0
1 HOST: 10.0.0.1
ULTIMO HOST: 10.15.255.254
BROADCAST: 10.15.255.255
MASCARA: 255.240.0.0


Segunda subred:
ID: 10.15.0.0
1 HOST: 10.15.0.1
ULTIMO HOST: 10.31.255.254
BROADCAST: 10.31.255.255
MASCARA: 255.240.0.0

Tercera subred:
ID: 10.32.0.0
1 HOST: 10.32.0.1
ULTIMO HOST: 10.47.255.254
MASCARA: 255.240.0.0

Cuarta subred:
ID:10.48.0.0
1 HOST: 10.48.0.1
ULTIMO HOST: 10.63.255.254
MASCARA: 255.240.0.0

Quinta subred:
ID: 10.64.0.0
1 HOST: 10.64.0.1
ULTIMO HOST: 10.79.255.254
BROADCAST: 10.79.255.255
MASCARA: 255.240.0.0

Sexta subred:
ID: 10.80.0.0
1 HOST: 10.80.0.1
ULTIMO HOST: 10.95.0.0
BROADCAST: 10.95.0.1
MASCARA: 255.240.0.0


Septima subred:
ID: 10.96.0.0
1 HOST: 10.96.0.1
ULTIMO HOST: 10.111.255.254
BROADCAST: 10.111.255.255
MASCARA: 255.240.0.0

24/4/08

Reconocimiento de Linux

Para nivelar el aprendizaje que tuvimos en windows hoy 24 de Abril el profesor Fernando quizó darnos una clase de Linux para que aprendiéramos sobre algunas diferencias que tienen los dos sistemas operativos.

Nos hablo sobre la interfaz gráfica de Linux y sobre el terminal, allí también nos puso a trabajar con algunos comandos propios del sistema para que empezáramos a reconocer dichos comandos, se trabajaron al rededor de 20 comandos al igual que en windows.

Fue muy bueno trabajar con este sistema operativo ya que al trabajar con otras herramientas se aprende más y es muy bueno tener la opción de trabajar en distintos sistemas operativos.