Archivo por meses: noviembre 2012

UC560 Primeros pasos.

uc560 Primeros PasosHoy vamos a describir los primeros pasos para configurar nuestra uc560. La Cisco Unified Communications 560 es la solución más completa de Cisco para la mediana empresa ya que cubre en un único dispositivo todas las necesidades de comunicación.

Así pues, este equipo nos ofrece funcionalidades de centralita ip, Firewall, Voicemail, voicemail to email así como la posibilidad de elegir entre múltiples configuraciones que incluyan puertos BRI, acceso a la PSTN o E1/T1.

Lo primero que necesitamos es descargar de la web de Cisco el Cisco Configuration Assistant para ello necesitaremos una cuenta Cisco. Durante la redacción de este post la versión más actualizada es la 3.2. Aunque existen versiones en Español es recomendable utilizar la última disponible en la web.

Configurando un nuevo sitio para la uc560.

Antes de arrancar el CCA es conveniente tener una ip del mismo rango que nuestra uc560. Por defecto la ip es la 192.168.10.1/24 por lo que le pondremos a nuestro PC una ip del mismo segmento de red. Luego procederemos a la creación del nuevo sitio como muestra siguiente imagen:

CCA creamos nuevo sitio para nuestra uc560

Una vez detectada tendremos que introducir las credenciales. Por defecto el nombre de usuario es cisco al igual que la contraseña. Una vez dentro nos aparecerá el asistente de configuración pero antes de configurar nada es recomendable instalar el último Software Pack así como los idiomas que necesitamos para los teléfonos.

Una vez más necesitaremos una cuenta CISCO para poder realizar la descarga. Hay que tener cuidado al descargar el Software Pack ya que tenemos que bajar el adecuado para nuestra uc560. Mientras redactaba este post la última versión del Software Pack para la uc560 es la 8.6.1.

Llegados a este punto, aunque el asistente para la actualización del software nos permite instalar el Software Pack y el archivo de idiomas, es recomendable que lo hagamos por partes. Así pues primero actualizaremos el Software Pack y finalmente instalaremos el paquete de idiomas.

Las versiones más recientes de Software Pack y paquetes de idiomas para los equipos de la gama uc500 se encuentran en este link.

Proceso de actualización Software Pack.

Proceso instalación Software Pack

Proceso de instalación del paquete de idiomas.

Proceso instalación paquete idiomas uc560

Una vez terminados estos dos procesos estaremos en condiciones de comenzar nuestra configuración no obstante, no está de más realizar un backup de la configuración en este momento para poder volver a este estado inicial de la configuración sin tener que hacer un factory reset.

Realizando Backup de unidad uc560

Hasta aquí este post con los primeros pasos. Espero que haya sido de utilidad.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Mikrotik ipsec VPN

En este artículo vamos a unir dos sedes remotas utilizando Mikrotik ipsec VPN. Ésta solución nos servirá para interconectar dos sedes remotas de manera segura a través de internet. Para nuestra configuración seguiremos este diagrama:

Ejemplo Mikrotik ipsec VPN

Configuración Mikrotik ipsec VPN.

Antes de comenzar debemos de tener en cuenta algunas consideraciones, la primera es que las redes LAN en cada oficina deben ser diferentes, en caso contrario, aunque se establezca el túnel, los paquetes no se transmitirán al otro extremo. Por otro lado, hay que verificar que las ips públicas de cada sede se ven a través de un ping. Finalmente debes de tener cuidado si estás detrás de un router adsl o similar que utilice NAT ya que tendrías que configurar ipsec en modo ESP y no AH además de abrir el puerto 500 en udp para que el intercambio de claves pueda llevarse a cabo.

Lo primero que debemos hacer es configurar los interfaces. Configuraremos primeramente el interface LAN de la primera sede siguiendo nuestro esquema:

Interface LAN MKT ipsec VPN

A continuación configuraremos el interface WAN.

Configuración WAN MKT ipsec VPN

Luego crearemos una política ipsec que nos permita levantar un tunnel.

Politica General Mikrotik ipsec

Acciones de Política ipsec VPN

Para terminar la configuración en el apartado ipsec tenemos que añadir la configuración del extremo opuesto del túnel, así como la forma en la que vamos a validarnos contra dicho extremo.

Peer Configuration ipsec VPN

Por último, sólo nos quedaría configurar una política NAT que convierta las direcciones ips de la LAN local en direcciones válidas en la red remota.

MKT ipsec VPN NAT rule

MKT ipsec NAT Action

Con esto habremos configurado el primer equipo Mikrotik, si has llegado hasta este punto la configuración del otro peer no te resultará complicada ya que sólo tienes que realizar la configuración en el sentido inverso.

Puedes obtener más información sobre Mikrotik e ipsec en este enlace: http://wiki.mikrotik.com/wiki/Manual:IP/IPsec

 

 

Ingeniería Social

Sobre la ingeniería SocialLa Ingeniería Social es una rama del hacking que concentra sus esfuerzos en lo que ellos creen que es el eslabón más débil de la cadena de seguridad de una empresa: el usuario. Esta ha sido, durante años, la forma más sencilla de obtener una contraseña, los datos de una cuenta bancaria o conseguir instalar algún tipo de troyano en el ordenador de algún usuario.

Mediante el engaño la Ingeniería Social consigue el acceso que de otra forma sería muy laborioso obtener. Utilizando medios que le hablan directamente a tu subconsciente, te seduce y distorsiona tu realidad hasta que acabas cayendo en la trampa.

Algunos ejemplos de Ingeniería Social.

Existen multitud de ejemplos de Ingeniería Social y tú, como usuario de internet, has sufrido y sufres continuamente intentos más o menos elaborados de acceder a tus datos, tus contraseñas, etc.

Uno de los médios más utilizados por la Ingeniería Social es el correo electrónico. Aún hoy en día es frecuente recibir un correo electrónico enviado por una persona que quiere conocernos. En otro casos es una chica que nos envía una fotografía. El caso es que, este tipo de correos, van dirigidos a una región de tu cerebro que quiere aferrarse a la única posibilidad entre un millón de que dentro de ese correo haya realmente una fotografía.

Por otro lado están los anuncios que te asaltan en la web asegurándote que, de verdad que si, eres el visitante un millón. Alertas de seguridad que te obligan a hacer click para proteger tu ordenador y formularios web en los que da igual si haces click en cancelar o aceptar, ambas opciones instalan, modifican o alteran tu sistema.

Sé que estos ejemplos parecen muy infantiles y posiblemente crees tener superado este peligro. Efectivamente, este tipo de Ingeniería Social no tiene un público objetivo concreto, sólo trata se llegar al mayor número de personas.

Sin embargo, la verdadera Ingeniería Social tiene un público objetivo concreto, una empresa o un sujeto, y es aquí donde los hackers parten con ventaja. Te conocen, conocen tu empresa y conocen tus gustos. Han hablado contigo por teléfono, te han llamado por tu nombre y se han presentado como técnico de una agencia de telefonía o representante de una empresa de regalos de navidad y van a enviarte una cesta para degustación de forma totalmente gratuita. El caso es que, para enviártela, te han dado la dirección de una web para que te registres, para que pongas tus datos.

El atacante estudia cual será la mejor forma de abordar a su víctima. El teléfono, el correo electrónico o incluso la visita personal. ¿Quién no ha visto las contraseñas en un post-it?

Según Kevin Mitnick, la ingeniería social se basa en cuatro pilares:

  1. Todos queremos ayudar. Llama a alguien por teléfono y coméntale que si se registra en una determinada web donarás un euro a los niños huérfanos de Singapore.
  2. El primer movimiento es siempre de confianza hacia el otro. En un principio nadie tiene porqué desconfiar sobre todo si llamas de una ONG.
  3. No nos gusta decir NO. Muchas personas son incapaces de decir que no a determinadas peticiones correctamente formuladas.
  4. A todos nos gusta que nos alaben. Principalmente los ataques de ingeniería social  hacen que el atacado piense que tiene el control de la situación y que no corre ningún peligro.

Todos estamos expuestos a este tipo de peligros. El caso más reciente de ingeniería social que me he encontrado llegó en forma de correo electrónico a una empresa. Dicho email provenía de una dirección de hotmail del tipo nombreapellido@hotmail.com. El asunto contenía el siguiente texto: A la Atención del Departamento de RR.HH. El contenido del email era una carta de presentación en la que, esta supuesta persona, explicaba que estaba buscando empleo describía una serie de capacidades y aptitudes. Finalmente indicaba que adjuntaba su curriculum vitae en formato word con foto reciente.

Inexplicablemente, la persona que recibió el email se sintió impulsada a abrir el correo. Después de leer que el adjunto contenía una foto automáticamente trató de abrirlo. Sin embargo, por razones de seguridad, los documentos de word que contienen macros no pueden ser abiertos por los usuarios de dicha empresa. Al resultarnos muy extraño que un fichero de estas características contuviera macros decidimos reenviar el correo a los laboratorios de nuestro antivirus el cual confirmó que se trataba de un archivo de word que contenía un código malicioso.

Dentro de una empresa, los usuarios, servidores, elementos de red, etc. forman una cadena. En esta cadena el usuario suele ser el eslabón más débil tal y como afirma la Ingeniería Social.

Image courtesy of [Idea go] / FreeDigitalPhotos.net

 

Cómo proteger mi red wifi de intrusos.

Cómo Proteger mi Red Wifi de Intrusos¿Cómo puedo proteger mi red wifi?. Esta es, sin duda, una de las preguntas que se hacen los usuarios de redes inalámbricas. Lo que más preocupa a los usuarios es que utilicen su conexión de forma fraudulenta para acceder a internet, sin embargo, lo que más debería preocuparnos es que intenten acceder a nuestros datos, capturar nuestras contraseñas o utilizar nuestra conexión para cometer algún delito. Lamentablemente hay que comenzar indicando que las redes inalámbricas, debido al medio que utilizan para transmitir la información (el aire), son inseguras.

Por lo tanto, lo único que podemos hacer es  intentar retrasar el momento en el que algún extraño consiga acceder, o en el mejor de los casos, que hayamos puesto el listón tan alto que finalmente el atacante desista y lo intente con otra de las redes a su alcance.

Como hemos dicho nuestro medio de transmisión es el aire y por lo tanto nuestros datos, mejor o peor protegidos, circulan por este medio. A continuación vamos a indicar una serie de medidas que podemos poner en práctica para poner las cosas más difíciles:

Medidas para proteger mi red wifi.

Ocultar el SSID.

El SSID es el nombre de tu red wifi y aparece en la ventana de redes inalámbricas disponibles cuando alguien busca redes wifi dentro de su alcance. El nombre de la red SSID por defecto se incluye en los paquetes que nuestro router lanza al aire a no ser que le indiquemos que no lo haga. No obstante, un usuario experimentado puede fácilmente conocer el SSID de tu red aunque esté oculto.

Indicaciones para el SSID.

Como hemos dicho el SSID es el nombre de tu red inalámbrica. Por ello no debería “publicar” datos como tu nombre, tu dirección, etc. Ten en cuenta que, si alguien quiere conectarse concretamente a tu red, el SSID puede funcionar como un indicador luminoso guiando al atacante hasta tu router. Nombres de SSIDs como “Antonio Pérez” o “Paqui 2B” pueden dar demasiadas pistas a un intruso.

Otro nombre que debes evitar para tu SSID es la marca del router, nombres como “Netgear” o “Thompson” hacen que un atacante pueda conocer el modelo de tu router y tratar de utilizar algún error de esta marca para intentar ganar el acceso a tu red wifi.

Mi recomendación es que utilices nombres genéricos como “miwifi”, “casa”, “wifi”, etc.

Cifrado wifi.

Existen varias formas de cifrar los datos que viajan por tu red. Este cifrado hará que, aunque nuestros datos vuelen por el aire pudiendo ser escuchados nadie que no tenga la clave pueda interpretarlos.

A la hora de configurar nuestra red tenemos diferentes opciones de cifrado ordenadas de menor a mayor seguridad:

  • NONE: Sin cifrado. Sé que piensas que eres guay por compartir tu conexión a internet pero, si alguno de tus invitados anónimos hace alguna trastada en internet, los señores de azul van a llamar a TÚ casa. En ese momento les cuentas lo guay y solidario que eres.
  • WEP (Wired Equivalent Protocol): Este protocolo de encriptación nació en 1999 y para 2001 ya era fácilmente descifrable. Muchas redes aún lo utilizan por razones de compatibilidad con otros dispositivos antiguos. Para un posible atacante un cifrado WEP es una invitación al salón de tu casa.
  • WPA (Wifi Protected Access): Comenzó su andadura en 2001 y trataba de corregir las vulnerabilidades conocidas del protocolo WEP.
  • WPA2 (Wifi Protected Access 2): Aparece en 2004 y hasta la actualidad es el protocolo más seguro.

Elegir una clave para nuestro wifi.

Si has leído el apartado sobre el cifrado estoy seguro que utilizarás como mínimo WPA para cifrar tu red. Tanto WPA como WPA2 se basan en el protocolo PSK (Pre-Shared Key), es decir, una frase de seguridad que es conocida por todos los equipos que se conectan a la red. En este tipo de protocolos nuestra contraseña puede ser de hasta 63 caracteres, por ello, no te limites a escribir tu DNI o tu número de teléfono. Escribe una frase contundente que te resulte sencilla de recordar como por ejemplo un refrán y añade al final un año por ejemplo.

Por último modifica esta clave periódicamente.

Filtrado MAC.

Todos los elementos que coexisten en una red tienen un identificador único que les permite comunicarse con otros elementos. Este identificador también conocido como MAC es la dirección física del adaptador wifi en nuestro caso.

Ya que este identificador es único, es decir, no hay dos iguales en el mundo, podemos indicarle a nuestro router cuales son las direcciones físicas (MACs) de nuestros dispositivos con las que puede comunicarse. Esta medida implica que, cada vez que conectemos un nuevo dispositivo a nuestra red, tengamos que darlo de alta manualmente en nuestro router.

Actualiza el Firmware de tu router.

El router es el que te proporciona acceso wifi a internet. Independientemente de la marca, cada fabricante publica mejoras en forma de actualizaciones de firmware para sus equipos. La mayoría de los routers proporcionan un apartado en su configuración que hace referencia a la búsqueda automáticas de actualizaciones.

Estas actualizaciones pueden dotar a nuestro router de nuevas características así como solucionar posibles problemas de seguridad que hayan sido detectados.

Consideraciones finales.

Tal y como he comentado al principio las redes inalámbricas no son seguras. Si realmente quieres estar seguro apaga el wifi y usa sólo el cable.

Modificar la configuración de tu router es algo que debes hacer sólo si tienes los conocimientos necesarios. Si no estás seguro de cómo hacerlo ponte en contacto con tu operador o contacta con alguna empresa de informática.

 

Image courtesy of [Master Isolated] / FreeDigitalPhotos.net

 

OpenVPN y Mikrotik.

Mikrotik logoEn este artículo veremos cómo funciona el binomio OpenVPN y Mikrotik. Openvpn es una de las soluciones más utilizadas en el mundo Linux para establecer túneles de manera segura . Esta solución nos permite a través de certificados conectar tanto usuarios del tipo RoadWarriors como sedes remotas.

En el siguiente ejemplo usaremos un equipo Mikrotik RB750 como cliente ovpn para unir una sede remota a la oficina principal.

El primer paso es copiar los tres archivos que debe haber generado el servidor OpenVPN para el cliente. Tendremos un certificado con la clave pública de la Autoridad de Certificación, un certificado con la clave pública del cliente y finalmente un certificado con la clave privada del cliente.

Openvpn y Mikrotik | Copia de certificados.

Una vez copiados debemos importar dichos certificados para poder usarlos para establecer el túnel. Para ello podemos ir al terminal y ejecutar los siguientes comandos:

/certificate
import file=client1.crt
import file=client1.pem
import file=ca.crt

Acto seguido verificamos que los certificados han sido importados correctamente con el comando:

/certificate print

Antes de seguir con la configuración debemos saber si nuestro servidor OpenVPN está configurado con el driver TAP o TUN. Ambos son drivers de bajo nivel desarrollados para el kernel de Linux. Sin embargo mientras que TUN trabaja con tramas IP, TAP lo hace con tramas ethernet. ¿En qué nos afecta esto? básicamente si nuestro servidor OpenVPN está configurado como TUN trabajaremos enrutando el tráfico a la VPN y si es TAP tendremos que hacer una configuración en modo BRIDGE.

 A la hora de la configuración  crearemos un nuevo interface con la siguiente configuración:

interface ovpn-client add name=”ovpn-out1″ connect-to[IP_DESTINO] port [PUERTO] mode=[si el enlace es TUN selecciona “ip” si es TAP selecciona “ethernet” user=”nobody” password=”” profile=default certificate=[CERTIFICADO IMPORTADO] auth=sha1 cipher=blowfish128

mikrotik interface ovpn-client

Finalmente tenemos que definir qué tráfico debe encaminarse el túnel.

ip firewall nat add action=masquerade chain=srcnat out-interface=ovpn-out1 dst-address=[LAN_SEDE_REMOTA]

NOTA: No olvides añadir una regla de NAT si quieres permitir que los usuarios de la sede remota puedan salir a internet.

ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway to-addresses=0.0.0.0

A partir de aquí podemos utilizar todo el potencial que OpenVPN y mikrotik ponen a nuestro alcance como priorizar determinado tipo de trafico que cruce nuestro túnel o visualizar en tiempo real qué ancho de banda tenemos disponible. Así mismo nos podría resultar de utilidad definir reglas en el firewall que limite el tipo de tráfico que utiliza nuestro túnel.

Más información: Mikrotik Wiki.