Archivo de la categoría: Seguridad

Mikrotik Ipsec detrás de router NAT

15 respuestas

Mikrotik Ipsec detrás de un router NATHace unas semanas comenté la forma de crear un túnel entre dos equipos Mikrotik utilizando Ipsec. En aquella ocasión los equipos que establecían el túnel Ipsec eran a su vez los equipos que hacían NAT para el resto de nuestra red.

Esta situación, que es la recomendable, no siempre se produce y por consiguiente, en uno de los extremos, por delante de nuestro equipo Mikrotik tenemos un router que utiliza NAT para trasladar las direcciones ips internas al exterior. Estos routers generan un problema cuando hablamos de Ipsec ya que, al realizar la traslación de direcciones ips, modifica las cabeceras de los paquetes ip haciendo que el host remoto rechace dichos paquetes.

Existen no obstante routers en el mercado, los más nuevos, que soportan Ipsec Passthrough los cuales deberían detectar el tráfico Ipsec y permitir, no sólo que el túnel se establezca (cosa relativamente simple), sino que las tramas cifradas sean validadas por el host remoto y viceversa.

Mikrotik Ipsec ejemplo

Bien, para conseguir que nuestra VPN basada en Mikrotik Ipsec se establezca y funcione debemos  abrir los siguientes puertos hacia la ip del equipo Mikrotik que va a lanzar el túnel:

Port 50 TCP – Encapsulación de Cabeceras (ESP)

Port 51 TCP – Autenticación de Cabeceras (AH)

Port 500 UDP – Intercambio de claves (IKE)

Port 4500 TCP/UDP – Nat Transversal

Una vez configurado el PAT debemos prestar atención a la configuración del Policy Action de nuestro nodo Mikrotik en el cual habilitaremos la opción de NAT-Transversal. Posteriormente como dirección de inicio del túnel src-address usaremos la ip de nuestro equipo mikrotik en el segmento que le une al router, es decir, la misma ip sobre la que hemos redirigido los puertos desde nuestro router mientras que como dst-address usaremos la ip pública del concentrador de túneles.

Acciones de Política Mikrotik ipsec VPN

Finalmente, siempre que sea posible conecta tu equipo Mikrotik a tu operador sin routers intermedios eso te ahorrará quebraderos de cabeza. Por otro lado, la mayoría de los routers ADSL del mercado soportan la configuración en modo bridge, lo cual tampoco es una mala solución.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Los peligros de las redes sociales.

Deja un comentario

Los Peligros de las Redes SocialesCuando te das de alta en cualquiera de las muchas redes sociales a tu alcance ¿eres realmente consciente de la importancia del paso que estás dando? Facebook, twitter, Linkedin, son realmente servicios maravillosos e impresionantes. Gracias a ellos puedes retomar el contacto con amigos de la infancia a los que hacía años habías perdido la pista, puedes compartir fotos, archivos multimedia, etc.

 

Millones de dólares en inversión, cientos de personas puestas al servicio del mantenimiento de estas gigantescas plataformas de comunicación sólo para tí. Sólo para satisfacer la imperiosa necesidad humana de comunicarse.

Sin embargo, desde el momento en el que pones un pie dentro del mundo de las redes sociales dejas de ser una persona “anónima” y comienzas a alimentar estas redes sociales con información personal.

Imagínate en una entrevista de trabajo para un puesto intermedio en una gran empresa. Te has preparado a conciencia, llevas chaqueta y hasta te has peinado. Todo va bien y el entrevistador se ha llevado una grata impresión. El puesto está casi en el bolsillo. Sin embargo, antes de contratar a una persona no sólo se tienen en cuenta sus aptitudes para el puesto sino que también son importantes aspectos sobre su personalidad ya que con toda probabilidad, tenga que trabajar en equipo. Nada más salir por la puerta el entrevistador, que dicho sea de paso tiene Facebook, busca información sobre tí en las redes sociales. Rápidamente encuentra una fotos tuyas con una camiseta en la que aparece una hoja verde de cierta planta con nombre de mujer sujetando la cabeza de otro chaval que parece estar vomitando mientras tú sonríes.

Lo primero que tenemos que tener en cuenta es que una vez que subimos información a Internet perdemos el control sobre la misma. Darse de alta en algunas de las redes sociales más famosas es tan sencillo como poner nuestro nombre, apellido, fecha de nacimiento, email y una contraseña. Sin embargo, darnos de baja en la mayoría de los casos es una tarea imposible.

Efectivamente, eres una persona adulta que sabe separar el tipo de información que publicas en las redes sociales sin embargo, la mayoría de los usuarios de estos servicios, jóvenes en su mayoría, desconocen muchos de los peligros que acechan en las redes sociales. Pero como adulto deberías echar un vistazo a los nuevos Términos y Condiciones de Facebook. No obstante, son precisamente las personas jóvenes las que, por ignorancia, comprometen su imagen compartiendo información que de ningún modo debe ser compartida a través de un medio como Internet.

Peligros de las Redes Sociales: el Sexting.

El sexting es una práctica que consiste en tomarse fotografías en poses sensuales. Como ya hemos comentado, al subir contenido a Internet estamos cediendo totalmente el control sobre dicho contenido el cual puede acabar en las manos equivocadas.

Grooming. Acoso sexual en las Redes Sociales

El Grooming es el acoso a menores con fines sexuales. Los jóvenes que sufren este tipo de acoso se ven obligados a enviar fotografías y vídeos con contenido sexual a sus acosadores.

Bulling en las Redes Sociales

Finalmente el Bulling es el acoso a menores sin fines sexuales. Los jóvenes que sufren Bulling se ven sometidos a contínuas vejaciones por parte de sus acosadores.

Espero que este artículo te haya servido para tener una visión más amplia sobre las redes sociales y los posibles riegos que entrañan.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

Image courtesy of [Stuart Miles] / FreeDigitalPhotos.net

Ingeniería Social

Deja un comentario

Sobre la ingeniería SocialLa Ingeniería Social es una rama del hacking que concentra sus esfuerzos en lo que ellos creen que es el eslabón más débil de la cadena de seguridad de una empresa: el usuario. Esta ha sido, durante años, la forma más sencilla de obtener una contraseña, los datos de una cuenta bancaria o conseguir instalar algún tipo de troyano en el ordenador de algún usuario.

Mediante el engaño la Ingeniería Social consigue el acceso que de otra forma sería muy laborioso obtener. Utilizando medios que le hablan directamente a tu subconsciente, te seduce y distorsiona tu realidad hasta que acabas cayendo en la trampa.

Algunos ejemplos de Ingeniería Social.

Existen multitud de ejemplos de Ingeniería Social y tú, como usuario de internet, has sufrido y sufres continuamente intentos más o menos elaborados de acceder a tus datos, tus contraseñas, etc.

Uno de los médios más utilizados por la Ingeniería Social es el correo electrónico. Aún hoy en día es frecuente recibir un correo electrónico enviado por una persona que quiere conocernos. En otro casos es una chica que nos envía una fotografía. El caso es que, este tipo de correos, van dirigidos a una región de tu cerebro que quiere aferrarse a la única posibilidad entre un millón de que dentro de ese correo haya realmente una fotografía.

Por otro lado están los anuncios que te asaltan en la web asegurándote que, de verdad que si, eres el visitante un millón. Alertas de seguridad que te obligan a hacer click para proteger tu ordenador y formularios web en los que da igual si haces click en cancelar o aceptar, ambas opciones instalan, modifican o alteran tu sistema.

Sé que estos ejemplos parecen muy infantiles y posiblemente crees tener superado este peligro. Efectivamente, este tipo de Ingeniería Social no tiene un público objetivo concreto, sólo trata se llegar al mayor número de personas.

Sin embargo, la verdadera Ingeniería Social tiene un público objetivo concreto, una empresa o un sujeto, y es aquí donde los hackers parten con ventaja. Te conocen, conocen tu empresa y conocen tus gustos. Han hablado contigo por teléfono, te han llamado por tu nombre y se han presentado como técnico de una agencia de telefonía o representante de una empresa de regalos de navidad y van a enviarte una cesta para degustación de forma totalmente gratuita. El caso es que, para enviártela, te han dado la dirección de una web para que te registres, para que pongas tus datos.

El atacante estudia cual será la mejor forma de abordar a su víctima. El teléfono, el correo electrónico o incluso la visita personal. ¿Quién no ha visto las contraseñas en un post-it?

Según Kevin Mitnick, la ingeniería social se basa en cuatro pilares:

  1. Todos queremos ayudar. Llama a alguien por teléfono y coméntale que si se registra en una determinada web donarás un euro a los niños huérfanos de Singapore.
  2. El primer movimiento es siempre de confianza hacia el otro. En un principio nadie tiene porqué desconfiar sobre todo si llamas de una ONG.
  3. No nos gusta decir NO. Muchas personas son incapaces de decir que no a determinadas peticiones correctamente formuladas.
  4. A todos nos gusta que nos alaben. Principalmente los ataques de ingeniería social  hacen que el atacado piense que tiene el control de la situación y que no corre ningún peligro.

Todos estamos expuestos a este tipo de peligros. El caso más reciente de ingeniería social que me he encontrado llegó en forma de correo electrónico a una empresa. Dicho email provenía de una dirección de hotmail del tipo nombreapellido@hotmail.com. El asunto contenía el siguiente texto: A la Atención del Departamento de RR.HH. El contenido del email era una carta de presentación en la que, esta supuesta persona, explicaba que estaba buscando empleo describía una serie de capacidades y aptitudes. Finalmente indicaba que adjuntaba su curriculum vitae en formato word con foto reciente.

Inexplicablemente, la persona que recibió el email se sintió impulsada a abrir el correo. Después de leer que el adjunto contenía una foto automáticamente trató de abrirlo. Sin embargo, por razones de seguridad, los documentos de word que contienen macros no pueden ser abiertos por los usuarios de dicha empresa. Al resultarnos muy extraño que un fichero de estas características contuviera macros decidimos reenviar el correo a los laboratorios de nuestro antivirus el cual confirmó que se trataba de un archivo de word que contenía un código malicioso.

Dentro de una empresa, los usuarios, servidores, elementos de red, etc. forman una cadena. En esta cadena el usuario suele ser el eslabón más débil tal y como afirma la Ingeniería Social.

Image courtesy of [Idea go] / FreeDigitalPhotos.net

 

Cómo proteger mi red wifi de intrusos.

2 respuestas

Cómo Proteger mi Red Wifi de Intrusos¿Cómo puedo proteger mi red wifi?. Esta es, sin duda, una de las preguntas que se hacen los usuarios de redes inalámbricas. Lo que más preocupa a los usuarios es que utilicen su conexión de forma fraudulenta para acceder a internet, sin embargo, lo que más debería preocuparnos es que intenten acceder a nuestros datos, capturar nuestras contraseñas o utilizar nuestra conexión para cometer algún delito. Lamentablemente hay que comenzar indicando que las redes inalámbricas, debido al medio que utilizan para transmitir la información (el aire), son inseguras.

Por lo tanto, lo único que podemos hacer es  intentar retrasar el momento en el que algún extraño consiga acceder, o en el mejor de los casos, que hayamos puesto el listón tan alto que finalmente el atacante desista y lo intente con otra de las redes a su alcance.

Como hemos dicho nuestro medio de transmisión es el aire y por lo tanto nuestros datos, mejor o peor protegidos, circulan por este medio. A continuación vamos a indicar una serie de medidas que podemos poner en práctica para poner las cosas más difíciles:

Medidas para proteger mi red wifi.

Ocultar el SSID.

El SSID es el nombre de tu red wifi y aparece en la ventana de redes inalámbricas disponibles cuando alguien busca redes wifi dentro de su alcance. El nombre de la red SSID por defecto se incluye en los paquetes que nuestro router lanza al aire a no ser que le indiquemos que no lo haga. No obstante, un usuario experimentado puede fácilmente conocer el SSID de tu red aunque esté oculto.

Indicaciones para el SSID.

Como hemos dicho el SSID es el nombre de tu red inalámbrica. Por ello no debería “publicar” datos como tu nombre, tu dirección, etc. Ten en cuenta que, si alguien quiere conectarse concretamente a tu red, el SSID puede funcionar como un indicador luminoso guiando al atacante hasta tu router. Nombres de SSIDs como “Antonio Pérez” o “Paqui 2B” pueden dar demasiadas pistas a un intruso.

Otro nombre que debes evitar para tu SSID es la marca del router, nombres como “Netgear” o “Thompson” hacen que un atacante pueda conocer el modelo de tu router y tratar de utilizar algún error de esta marca para intentar ganar el acceso a tu red wifi.

Mi recomendación es que utilices nombres genéricos como “miwifi”, “casa”, “wifi”, etc.

Cifrado wifi.

Existen varias formas de cifrar los datos que viajan por tu red. Este cifrado hará que, aunque nuestros datos vuelen por el aire pudiendo ser escuchados nadie que no tenga la clave pueda interpretarlos.

A la hora de configurar nuestra red tenemos diferentes opciones de cifrado ordenadas de menor a mayor seguridad:

  • NONE: Sin cifrado. Sé que piensas que eres guay por compartir tu conexión a internet pero, si alguno de tus invitados anónimos hace alguna trastada en internet, los señores de azul van a llamar a TÚ casa. En ese momento les cuentas lo guay y solidario que eres.
  • WEP (Wired Equivalent Protocol): Este protocolo de encriptación nació en 1999 y para 2001 ya era fácilmente descifrable. Muchas redes aún lo utilizan por razones de compatibilidad con otros dispositivos antiguos. Para un posible atacante un cifrado WEP es una invitación al salón de tu casa.
  • WPA (Wifi Protected Access): Comenzó su andadura en 2001 y trataba de corregir las vulnerabilidades conocidas del protocolo WEP.
  • WPA2 (Wifi Protected Access 2): Aparece en 2004 y hasta la actualidad es el protocolo más seguro.

Elegir una clave para nuestro wifi.

Si has leído el apartado sobre el cifrado estoy seguro que utilizarás como mínimo WPA para cifrar tu red. Tanto WPA como WPA2 se basan en el protocolo PSK (Pre-Shared Key), es decir, una frase de seguridad que es conocida por todos los equipos que se conectan a la red. En este tipo de protocolos nuestra contraseña puede ser de hasta 63 caracteres, por ello, no te limites a escribir tu DNI o tu número de teléfono. Escribe una frase contundente que te resulte sencilla de recordar como por ejemplo un refrán y añade al final un año por ejemplo.

Por último modifica esta clave periódicamente.

Filtrado MAC.

Todos los elementos que coexisten en una red tienen un identificador único que les permite comunicarse con otros elementos. Este identificador también conocido como MAC es la dirección física del adaptador wifi en nuestro caso.

Ya que este identificador es único, es decir, no hay dos iguales en el mundo, podemos indicarle a nuestro router cuales son las direcciones físicas (MACs) de nuestros dispositivos con las que puede comunicarse. Esta medida implica que, cada vez que conectemos un nuevo dispositivo a nuestra red, tengamos que darlo de alta manualmente en nuestro router.

Actualiza el Firmware de tu router.

El router es el que te proporciona acceso wifi a internet. Independientemente de la marca, cada fabricante publica mejoras en forma de actualizaciones de firmware para sus equipos. La mayoría de los routers proporcionan un apartado en su configuración que hace referencia a la búsqueda automáticas de actualizaciones.

Estas actualizaciones pueden dotar a nuestro router de nuevas características así como solucionar posibles problemas de seguridad que hayan sido detectados.

Consideraciones finales.

Tal y como he comentado al principio las redes inalámbricas no son seguras. Si realmente quieres estar seguro apaga el wifi y usa sólo el cable.

Modificar la configuración de tu router es algo que debes hacer sólo si tienes los conocimientos necesarios. Si no estás seguro de cómo hacerlo ponte en contacto con tu operador o contacta con alguna empresa de informática.

 

Image courtesy of [Master Isolated] / FreeDigitalPhotos.net

 

Privacidad en WhatsApp.

Deja un comentario

Privacidad en WhatsApp.Hace unos días el gerente de una gran empresa me preguntaba sobre la privacidad en WhatsApp. En su mano izquierda sostenía su smartphone mientras que, con la derecha, seguía de manera compulsiva respondiendo mensajes.

El auge de smartphones y la imperiosa necesidad del ser humano de comunicarse ha elevado a la categoría de indispensable esta pequeña aplicación de mensajería. Términos como “whasappear” se han colado en nuestro vocabulario mientras vemos cómo en la cola del pan, a la salida del colegio o en la oficina la gente se comunica a través de mensajes y alegremente envía fotografías.

¿Y qué hay de malo en estar conectado con tus familiares y amigos? No tiene nada de malo sin embargo, al igual que las autoridades advierten sobre el consumo de determinados productos, alguien nos debería advertir sobre las consecuencias que el uso de determinados programas tiene sobre nuestra intimidad.

 La Privacidad en WhatsApp de los mensajes enviados y recibidos a través de esta aplicación brilla por su total ausencia.

El pasado Septiembre esta aplicación fue retirada de la Applestore por padecer graves problemas de seguridad. Estos problemas, por ejemplo, permitían que usuarios que estuvieran conectados a tu red wifi pudieran ver todos los mensajes que se enviaban o recibían ya que éstos se transmitían en texto plano. Era posible también, en determinadas versiones de Android, suplantar la identidad de una cuenta de Whatsapp y enviar mensajes a tu jefe o a tu novia. Esto mismo era posible si alguien tenía acceso a la dirección MAC de tu iphone.

Cuatro días más tarde el equipo de WhatsApp sacó una nueva versión que corregía estos errores, al menos en parte. A partir de ahora todos los mensajes enviados viajarían cifrados por lo que, aún en el caso de ser interceptados, nadie podría leerlos. Sin embargo, el protocolo de cifrado de dichos mensajes data de 1984 y utiliza como llave para el cifrado los datos de la cuenta por lo que, si somos capaces de capturar el momento de conexión de la aplicación al servidor que es cuando se negocia el cifrado, podremos leer todo lo que dicho terminal envíe o reciba.

Pero la posibilidad de que un usuario malintencionado pudiera leer nuestros mensajes no es lo más preocupante. Lo más preocupante sobre la falta de privacidad en WhatsApp es que todos los mensajes e imágenes que envíes pasarán a ser propiedad de WhatsApp Inc. Una maravillosa compañía con sede en los EE.UU. Un gran país donde la intimidad de los usuarios no se encuentra precisamente recogida en su Declaración de Independencia.

Todas nuestras conversaciones, las imágenes enviadas, su localización geográfica y el momento exacto en el que fueron tomadas. Nuestra agenda y el modelo de smartphone se almacena en la base de datos del programa. Base de datos que es sincronizada de forma periodica con WhatsApp Inc. Donde nuestros datos se cruzan para elaborar una inmensa red social oculta a nuestros ojos al objeto de obtener datos para el estudio de nuestras conductas. Dichos datos posteriormente son susceptibles de ser vendidos al mejor postor.

¿Cómo puedo aumentar mi privacidad en WhatsApp?

WhatsApp es una herramienta que está de moda y entiendo que quieras seguir utilizándola. Por eso a continuación te informo sobre los consejos básicos de utilización emitidos por la OSI (Oficina de Seguridad del Internauta).

  1. No enviar mensajes ofensivos y tratar con educación a los contactos.
  2. Cuidar la imagen: No enviar fotos ni videos comprometidos.
  3. No suministrar a través de la aplicación información privada, datos bancarios, número PIN del móvil o tus contraseñas de acceso a otros servicios/aplicaciones.
  4. Atención a las redes WI-FI utilizadas para enviar “whatssApp’s”. Si no están debidamente protegidas o son redes WI-FI públicas, pueden ser capturadas las informaciones intercambiadas con los contactos.
  5. Atención a los mensajes en cadena, aunque provengan de un contacto fiable.
  6. Antes de abrir un fichero es recomendable analizarlo con un antivirus.
  7. Elimina el historial de las conversaciones.
A esta lista de consejos yo añadiría un par de recomendaciones para mitigar la falta de privacidad en WhatsApp:
  • No envíes fotos de ningún tipo a través de esta aplicación, usa el correo electrónico.
  • Añade a tu estado una frase como la siguiente:
WhatsApp NO es seguro. Para proteger nuestro derecho a la intimidad no envíes fotos ni mensajes personales.

 

Image courtesy of [Stuart Miles] / FreeDigitalPhotos.net