Archivo de la etiqueta: Internet

No Funciona Internet ¿Qué hago?

Deja un comentario

No Funciona Internet - ¿Qué hago?Imagina la siguiente situación: te has pasado todo el día trabajando y al llegar a casa NO FUNCIONA INTERNET !. Bueno, pues antes de llamar a tu compañía vamos realizar algunas comprobaciones que pueden ayudarte a identificar la naturaleza del problema e incluso, en algunas situaciones, llegar a solucionarlo.

Comprueba el estado de tu router.

¿Realmente tengo que hacerlo? la respuesta es SI. Asegúrate que está encendido y que todas las luces están en verde. Como supondrás existen multitud de modelos de routers en el mercado pero en todos, los fabricantes han colocado luces que nos indican qué está pasando. Lo habitual es tener algún tipo de luz o señal indicativa sobre la que se puede leer “INTERNET”. Esa será la luz que tenemos que verificar. Generalmente esta luz debería estar en verde y encendida. Si no es así reinicia el router y comprueba tras unos minutos si tu conexión ha vuelto.

Si no funciona internet verifica que no eres el único al que no le funciona. Comprueba que otros ordenadores o dispositivos como móviles o tablets tienen el mismo problema.

No Funciona Internet. Comprueba el estado de tu conexión.

Digamos que tu conexión a Internet es una cadena formada por eslabones. El primer eslabón y más cercano a tí es tu ordenador, luego está el router y detrás de tu router existen una gran cantidad de dispositivos, servidores, protocolos y servicios que hacen posible que puedas acceder a Internet. Cuando no funciona internet tenemos que ir verificando los eslabones de esta red para determinar dónde se encuentra el problema.

Primeramente vamos a empezar realizando algunas verificaciones en el PC. Para ello haz click en el menú inicio, luego ejecutar y dentro de ejecutar teclea el siguiente comando:

cmd

Si lo hemos hecho correctamente aparecerá una ventana con fondo negro tal y como muestra la siguiente imágen:

CMD Windows Shell - No funciona Internet

Desde esta ventana vamos a realizar todas las pruebas que necesitamos para determinar la naturaleza del problema.

Primeramente introduciremos el siguiente comando:

ipconfig

Este comando nos mostrará la información de la configuración tcp/ip de nuestro ordenador. En la salida de este comando tenemos que prestar atención a los campos Dirección IPv4, Máscara de subred y Puerta de enlace predeterminada.

ipconfig No funciona Internet

El primer campo, Dirección IPv4 nos muestra la dirección ip de nuestro PC. Esta dirección debe ser generalmente del tipo 192.168.xxx.xxx mientras que la dirección de la Puerta de enlace predeterminada es la ip del router y  suele ser la primera del rango por ejemplo 192.168.xxx.1.

NOTA: Si al ejecutar el comando ipconfig nuestra dirección ip aparece con los siguientes datos 169.254.xxx.xxx significa que nuestro PC no ha sido capaz de recibir una configuración válida desde el router y nuestro pc se ha autoasignado a sí mismo una ip.

Si nuestro PC tiene una ip autoasignada (169.254.xxx.xxx) puede deberse a dos causas principales:

  • (Conexiones wifi) El pc y el router no están conectando correctamente de forma inalámbrica. Esto puede deberse a que nos hallamos equivocado al introducir la contraseña de nuestra red inalámbrica o bien que el protocolo de encriptación de tu red (WEP, WPA, WPA2, etc.) no se ha negociado correctamente. Solución: Elimina la configuración de tu red wifi del ordenador y vuelve a crearla. Recuerda que necesitarás conocer el nombre de tu red wifi y la contraseña de para poder volver a configurarla.
  • (Conexiones por cable) En este caso sólo tienes que verificar que el cable de red que conecta tu pc y el router está correctamente conectado. Ten en cuenta que tu router tiene varios puertos donde conectar tus dispositivos y sólo uno donde conectar el cable de tu operador. Solución: Asegúrate de que los cables de red están bien conectados detrás del router en el orden que toca.

No Funciona Internet. Verificando tcp/ip.

Una vez que hemos verificado la configuración ip de nuestro ordenador vamos a verificar que tiene conexión con nuestro router. Para ello, en nuestra ventana de comandos vamos a introducir el siguiente comando:

ping 192.168.1.1

Nota: detrás del comando ping debemos escribir la dirección ip tenemos que escribir la dirección ip de la Puerta de Enlace Predeterminada, es decir, la dirección de nuestro router.

Respuesta correcta comando ping:

Salida comando ping

Respuesta incorrecta comando ping:

error comando ping

Si no hemos obtenido una respuesta correcta del comando ping tendrás que volver sobre tus pasos en esta guía, no obstante, si finalmente no consigues hacer que el router te responda siempre puedes llamar a tu proveedor de internet. Aunque el tramo de red entre tu pc y el router no está bajo su responsabilidad, siempre te pueden echar una mano.

Finalmente, si has obtenido una respuesta positiva por parte del router con el comando ping es el momento de ir un paso más allá de tu router y verificar la conectividad con algún servidor que esté en internet como google. Para ello volveremos a usar el comando ping pero esta vez contra una de las ips de google:

ping 74.125.132.94

Si la respuesta del comando ping es negativa este sería un buen momento para llamar a tu operador de internet.

Si la respuesta del comando ping es positiva significa que tenemos conexión a internet porque somos capaces de alcanzar un destino externo a nuestra red con el comando ping.

Sin embargo, es posible que, aunque google nos responda al comando ping aún no seamos capaces de navegar. No te preocupes porque aún no está todo perdido, de hecho, vamos por el buen camino. Descansa 5 minutos, date una vuelta por la habitación, prepárate un buen café o un té porque lo vas a necesitar si continúas leyendo esta guía.

 Tengo PING pero sigo sin navegar. ¿Qué hago mal?

No funciona internet pero tenemos ping a servidores que están detrás de nuestro router. Por lo tanto estamos “conectados”. ¿Qué puede estar pasando? En esta situación sólo se me ocurren tres posibles causas, la primera es que nuestros servidores DNS no estén funcionando, la segunda es que nuestra pila de comunicaciones TCP/IP esté corrupta y la última que algún malware nos esté fastidiando. Pero no te asustes todavía y vayamos por partes.

  1. Resolución de nombres DNS.

La resolución de nombres es el proceso por el cual cuando tecleas en el navegador una dirección web ésta se transforma en una dirección ip. Mientras que las personas usamos nombres de direcciones los ordenadores dentro de una red utilizan direcciones ip. Podríamos decir entonces que existe un sistema que humaniza las direcciones ip para que a las personas nos sea más sencillo recordar las direcciones de las páginas. Por ejemplo, es más sencillo recordar www.google.es que la ip 74.125.132.94. Este servicio se llama DNS y existen servidores (servidores DNS) encargados de realizar para nosotros esta conversión.

¿Cómo podemos verificar que nuestros servidores DNS están funcionando? pues de nuevo a través del comando ping, sólo que esta vez, en lugar de hacer un ping a una ip lo haremos a un nombre:

ping www.google.es

respuesta ping www.google.es

Como se puede observar en la imagen, cuando hacemos ping a www.google.es realmente estamos haciendo ping a una ip. Es nuestro servidor DNS el que se encarga de realizar las consultas oportunas para convertir ese nombre en una ip.

Si nuestro servidor DNS no está funcionando obtendríamos la siguiente respuesta:

No funciona Internet - Error DNS

Para saber qué servidor tenemos configurado como DNS tenemos que ejecutar el siguiente comando:

ipconfig /all

salida comando ipconfig modificador all

En la salida del comando buscaremos la línea Servidores DNS. Por regla general, la dirección ip de nuestro servidor DNS coincidirá con la dirección ip de nuestra Puerta de enlace predeterminada, es decir, nuestro router. Es posible, no obstante, que en el apartado servidores DNS aparezcan otras ips que no sean las de vuestro router. Este hecho no tiene mayor importancia siempre que dichos servidores DNS sean los de vuestro operador de internet o algunos conocidos. Podeis modificar los servidores DNS en las propiedades de la tarjeta de red. Si tenéis alguna duda con respecto a qué servidores DNS podéis usar éstos son los de google: 8.8.8.8.

2. Pila TCP/IP corrupta.

A veces es posible que las librerías y las entradas del registro que hacen referencia a los parámetros de tcp/ip (Pila de comunicaciones) estén corruptos. Para solucionar este problema tan solo hay que ejecutar el siguiente comando y reiniciar el pc. De esta forma nuestra conexión volverá a estar como el primer día.

netsh int ip reset resetlog.txt

3. Software malicioso en nuestro PC.

Finalmente ésta puede ser una de las causas que provoquen que nuestro PC no sea capaz de alcanzar destino alguno en internet. Determinados programas modifican parámetros en nuestro sistema y en determinadas ocasiones pueden provocar que el pc no se conecte. Ante este tipo de incidencia lo más recomendable antes de formatear es acudir a algún servicio técnico de los que tenemos en Puerto Real.

Consideraciones finales.

El propósito de esta guía es ayudarte a identificar el motivo por el cual no tienes internet y ayudarte a solucionarlo antes de llamar a tu operador. Se ha intentado describir todos los pasos de forma sencilla y amena, no obstante, si no te ves capaz de seguir los pasos ponte en contacto directamente con tu operador de internet o contacta con alguna tienda de informática de tu confianza. La modificación de la configuración de las propiedades de red de tu pc puede hacer que pierdas la conexión a internet. No obstante, si no tienes internet, poco o nada puedes perder. Es precisamente en estos casos donde esperamos que esta guía te sea de utilidad.

Finalmente, la casuística aquí descrita agrupa el 80% de los casos por los que, habitualmente, un pc no es capaz de navegar por internet. Existe por lo tanto un 20% de casos para los que esta guía no es útil.

Image courtesy of [dan] / FreeDigitalPhotos.net

Mikrotik ipsec VPN

53 respuestas

En este artículo vamos a unir dos sedes remotas utilizando Mikrotik ipsec VPN. Ésta solución nos servirá para interconectar dos sedes remotas de manera segura a través de internet. Para nuestra configuración seguiremos este diagrama:

Ejemplo Mikrotik ipsec VPN

Configuración Mikrotik ipsec VPN.

Antes de comenzar debemos de tener en cuenta algunas consideraciones, la primera es que las redes LAN en cada oficina deben ser diferentes, en caso contrario, aunque se establezca el túnel, los paquetes no se transmitirán al otro extremo. Por otro lado, hay que verificar que las ips públicas de cada sede se ven a través de un ping. Finalmente debes de tener cuidado si estás detrás de un router adsl o similar que utilice NAT ya que tendrías que configurar ipsec en modo ESP y no AH además de abrir el puerto 500 en udp para que el intercambio de claves pueda llevarse a cabo.

Lo primero que debemos hacer es configurar los interfaces. Configuraremos primeramente el interface LAN de la primera sede siguiendo nuestro esquema:

Interface LAN MKT ipsec VPN

A continuación configuraremos el interface WAN.

Configuración WAN MKT ipsec VPN

Luego crearemos una política ipsec que nos permita levantar un tunnel.

Politica General Mikrotik ipsec

Acciones de Política ipsec VPN

Para terminar la configuración en el apartado ipsec tenemos que añadir la configuración del extremo opuesto del túnel, así como la forma en la que vamos a validarnos contra dicho extremo.

Peer Configuration ipsec VPN

Por último, sólo nos quedaría configurar una política NAT que convierta las direcciones ips de la LAN local en direcciones válidas en la red remota.

MKT ipsec VPN NAT rule

MKT ipsec NAT Action

Con esto habremos configurado el primer equipo Mikrotik, si has llegado hasta este punto la configuración del otro peer no te resultará complicada ya que sólo tienes que realizar la configuración en el sentido inverso.

Puedes obtener más información sobre Mikrotik e ipsec en este enlace: http://wiki.mikrotik.com/wiki/Manual:IP/IPsec

 

 

Ingeniería Social

Deja un comentario

Sobre la ingeniería SocialLa Ingeniería Social es una rama del hacking que concentra sus esfuerzos en lo que ellos creen que es el eslabón más débil de la cadena de seguridad de una empresa: el usuario. Esta ha sido, durante años, la forma más sencilla de obtener una contraseña, los datos de una cuenta bancaria o conseguir instalar algún tipo de troyano en el ordenador de algún usuario.

Mediante el engaño la Ingeniería Social consigue el acceso que de otra forma sería muy laborioso obtener. Utilizando medios que le hablan directamente a tu subconsciente, te seduce y distorsiona tu realidad hasta que acabas cayendo en la trampa.

Algunos ejemplos de Ingeniería Social.

Existen multitud de ejemplos de Ingeniería Social y tú, como usuario de internet, has sufrido y sufres continuamente intentos más o menos elaborados de acceder a tus datos, tus contraseñas, etc.

Uno de los médios más utilizados por la Ingeniería Social es el correo electrónico. Aún hoy en día es frecuente recibir un correo electrónico enviado por una persona que quiere conocernos. En otro casos es una chica que nos envía una fotografía. El caso es que, este tipo de correos, van dirigidos a una región de tu cerebro que quiere aferrarse a la única posibilidad entre un millón de que dentro de ese correo haya realmente una fotografía.

Por otro lado están los anuncios que te asaltan en la web asegurándote que, de verdad que si, eres el visitante un millón. Alertas de seguridad que te obligan a hacer click para proteger tu ordenador y formularios web en los que da igual si haces click en cancelar o aceptar, ambas opciones instalan, modifican o alteran tu sistema.

Sé que estos ejemplos parecen muy infantiles y posiblemente crees tener superado este peligro. Efectivamente, este tipo de Ingeniería Social no tiene un público objetivo concreto, sólo trata se llegar al mayor número de personas.

Sin embargo, la verdadera Ingeniería Social tiene un público objetivo concreto, una empresa o un sujeto, y es aquí donde los hackers parten con ventaja. Te conocen, conocen tu empresa y conocen tus gustos. Han hablado contigo por teléfono, te han llamado por tu nombre y se han presentado como técnico de una agencia de telefonía o representante de una empresa de regalos de navidad y van a enviarte una cesta para degustación de forma totalmente gratuita. El caso es que, para enviártela, te han dado la dirección de una web para que te registres, para que pongas tus datos.

El atacante estudia cual será la mejor forma de abordar a su víctima. El teléfono, el correo electrónico o incluso la visita personal. ¿Quién no ha visto las contraseñas en un post-it?

Según Kevin Mitnick, la ingeniería social se basa en cuatro pilares:

  1. Todos queremos ayudar. Llama a alguien por teléfono y coméntale que si se registra en una determinada web donarás un euro a los niños huérfanos de Singapore.
  2. El primer movimiento es siempre de confianza hacia el otro. En un principio nadie tiene porqué desconfiar sobre todo si llamas de una ONG.
  3. No nos gusta decir NO. Muchas personas son incapaces de decir que no a determinadas peticiones correctamente formuladas.
  4. A todos nos gusta que nos alaben. Principalmente los ataques de ingeniería social  hacen que el atacado piense que tiene el control de la situación y que no corre ningún peligro.

Todos estamos expuestos a este tipo de peligros. El caso más reciente de ingeniería social que me he encontrado llegó en forma de correo electrónico a una empresa. Dicho email provenía de una dirección de hotmail del tipo nombreapellido@hotmail.com. El asunto contenía el siguiente texto: A la Atención del Departamento de RR.HH. El contenido del email era una carta de presentación en la que, esta supuesta persona, explicaba que estaba buscando empleo describía una serie de capacidades y aptitudes. Finalmente indicaba que adjuntaba su curriculum vitae en formato word con foto reciente.

Inexplicablemente, la persona que recibió el email se sintió impulsada a abrir el correo. Después de leer que el adjunto contenía una foto automáticamente trató de abrirlo. Sin embargo, por razones de seguridad, los documentos de word que contienen macros no pueden ser abiertos por los usuarios de dicha empresa. Al resultarnos muy extraño que un fichero de estas características contuviera macros decidimos reenviar el correo a los laboratorios de nuestro antivirus el cual confirmó que se trataba de un archivo de word que contenía un código malicioso.

Dentro de una empresa, los usuarios, servidores, elementos de red, etc. forman una cadena. En esta cadena el usuario suele ser el eslabón más débil tal y como afirma la Ingeniería Social.

Image courtesy of [Idea go] / FreeDigitalPhotos.net

 

Cómo proteger mi red wifi de intrusos.

2 respuestas

Cómo Proteger mi Red Wifi de Intrusos¿Cómo puedo proteger mi red wifi?. Esta es, sin duda, una de las preguntas que se hacen los usuarios de redes inalámbricas. Lo que más preocupa a los usuarios es que utilicen su conexión de forma fraudulenta para acceder a internet, sin embargo, lo que más debería preocuparnos es que intenten acceder a nuestros datos, capturar nuestras contraseñas o utilizar nuestra conexión para cometer algún delito. Lamentablemente hay que comenzar indicando que las redes inalámbricas, debido al medio que utilizan para transmitir la información (el aire), son inseguras.

Por lo tanto, lo único que podemos hacer es  intentar retrasar el momento en el que algún extraño consiga acceder, o en el mejor de los casos, que hayamos puesto el listón tan alto que finalmente el atacante desista y lo intente con otra de las redes a su alcance.

Como hemos dicho nuestro medio de transmisión es el aire y por lo tanto nuestros datos, mejor o peor protegidos, circulan por este medio. A continuación vamos a indicar una serie de medidas que podemos poner en práctica para poner las cosas más difíciles:

Medidas para proteger mi red wifi.

Ocultar el SSID.

El SSID es el nombre de tu red wifi y aparece en la ventana de redes inalámbricas disponibles cuando alguien busca redes wifi dentro de su alcance. El nombre de la red SSID por defecto se incluye en los paquetes que nuestro router lanza al aire a no ser que le indiquemos que no lo haga. No obstante, un usuario experimentado puede fácilmente conocer el SSID de tu red aunque esté oculto.

Indicaciones para el SSID.

Como hemos dicho el SSID es el nombre de tu red inalámbrica. Por ello no debería “publicar” datos como tu nombre, tu dirección, etc. Ten en cuenta que, si alguien quiere conectarse concretamente a tu red, el SSID puede funcionar como un indicador luminoso guiando al atacante hasta tu router. Nombres de SSIDs como “Antonio Pérez” o “Paqui 2B” pueden dar demasiadas pistas a un intruso.

Otro nombre que debes evitar para tu SSID es la marca del router, nombres como “Netgear” o “Thompson” hacen que un atacante pueda conocer el modelo de tu router y tratar de utilizar algún error de esta marca para intentar ganar el acceso a tu red wifi.

Mi recomendación es que utilices nombres genéricos como “miwifi”, “casa”, “wifi”, etc.

Cifrado wifi.

Existen varias formas de cifrar los datos que viajan por tu red. Este cifrado hará que, aunque nuestros datos vuelen por el aire pudiendo ser escuchados nadie que no tenga la clave pueda interpretarlos.

A la hora de configurar nuestra red tenemos diferentes opciones de cifrado ordenadas de menor a mayor seguridad:

  • NONE: Sin cifrado. Sé que piensas que eres guay por compartir tu conexión a internet pero, si alguno de tus invitados anónimos hace alguna trastada en internet, los señores de azul van a llamar a TÚ casa. En ese momento les cuentas lo guay y solidario que eres.
  • WEP (Wired Equivalent Protocol): Este protocolo de encriptación nació en 1999 y para 2001 ya era fácilmente descifrable. Muchas redes aún lo utilizan por razones de compatibilidad con otros dispositivos antiguos. Para un posible atacante un cifrado WEP es una invitación al salón de tu casa.
  • WPA (Wifi Protected Access): Comenzó su andadura en 2001 y trataba de corregir las vulnerabilidades conocidas del protocolo WEP.
  • WPA2 (Wifi Protected Access 2): Aparece en 2004 y hasta la actualidad es el protocolo más seguro.

Elegir una clave para nuestro wifi.

Si has leído el apartado sobre el cifrado estoy seguro que utilizarás como mínimo WPA para cifrar tu red. Tanto WPA como WPA2 se basan en el protocolo PSK (Pre-Shared Key), es decir, una frase de seguridad que es conocida por todos los equipos que se conectan a la red. En este tipo de protocolos nuestra contraseña puede ser de hasta 63 caracteres, por ello, no te limites a escribir tu DNI o tu número de teléfono. Escribe una frase contundente que te resulte sencilla de recordar como por ejemplo un refrán y añade al final un año por ejemplo.

Por último modifica esta clave periódicamente.

Filtrado MAC.

Todos los elementos que coexisten en una red tienen un identificador único que les permite comunicarse con otros elementos. Este identificador también conocido como MAC es la dirección física del adaptador wifi en nuestro caso.

Ya que este identificador es único, es decir, no hay dos iguales en el mundo, podemos indicarle a nuestro router cuales son las direcciones físicas (MACs) de nuestros dispositivos con las que puede comunicarse. Esta medida implica que, cada vez que conectemos un nuevo dispositivo a nuestra red, tengamos que darlo de alta manualmente en nuestro router.

Actualiza el Firmware de tu router.

El router es el que te proporciona acceso wifi a internet. Independientemente de la marca, cada fabricante publica mejoras en forma de actualizaciones de firmware para sus equipos. La mayoría de los routers proporcionan un apartado en su configuración que hace referencia a la búsqueda automáticas de actualizaciones.

Estas actualizaciones pueden dotar a nuestro router de nuevas características así como solucionar posibles problemas de seguridad que hayan sido detectados.

Consideraciones finales.

Tal y como he comentado al principio las redes inalámbricas no son seguras. Si realmente quieres estar seguro apaga el wifi y usa sólo el cable.

Modificar la configuración de tu router es algo que debes hacer sólo si tienes los conocimientos necesarios. Si no estás seguro de cómo hacerlo ponte en contacto con tu operador o contacta con alguna empresa de informática.

 

Image courtesy of [Master Isolated] / FreeDigitalPhotos.net

 

OpenVPN y Mikrotik.

15 respuestas

Mikrotik logoEn este artículo veremos cómo funciona el binomio OpenVPN y Mikrotik. Openvpn es una de las soluciones más utilizadas en el mundo Linux para establecer túneles de manera segura . Esta solución nos permite a través de certificados conectar tanto usuarios del tipo RoadWarriors como sedes remotas.

En el siguiente ejemplo usaremos un equipo Mikrotik RB750 como cliente ovpn para unir una sede remota a la oficina principal.

El primer paso es copiar los tres archivos que debe haber generado el servidor OpenVPN para el cliente. Tendremos un certificado con la clave pública de la Autoridad de Certificación, un certificado con la clave pública del cliente y finalmente un certificado con la clave privada del cliente.

Openvpn y Mikrotik | Copia de certificados.

Una vez copiados debemos importar dichos certificados para poder usarlos para establecer el túnel. Para ello podemos ir al terminal y ejecutar los siguientes comandos:

/certificate
import file=client1.crt
import file=client1.pem
import file=ca.crt

Acto seguido verificamos que los certificados han sido importados correctamente con el comando:

/certificate print

Antes de seguir con la configuración debemos saber si nuestro servidor OpenVPN está configurado con el driver TAP o TUN. Ambos son drivers de bajo nivel desarrollados para el kernel de Linux. Sin embargo mientras que TUN trabaja con tramas IP, TAP lo hace con tramas ethernet. ¿En qué nos afecta esto? básicamente si nuestro servidor OpenVPN está configurado como TUN trabajaremos enrutando el tráfico a la VPN y si es TAP tendremos que hacer una configuración en modo BRIDGE.

 A la hora de la configuración  crearemos un nuevo interface con la siguiente configuración:

interface ovpn-client add name=”ovpn-out1″ connect-to[IP_DESTINO] port [PUERTO] mode=[si el enlace es TUN selecciona “ip” si es TAP selecciona “ethernet” user=”nobody” password=”” profile=default certificate=[CERTIFICADO IMPORTADO] auth=sha1 cipher=blowfish128

mikrotik interface ovpn-client

Finalmente tenemos que definir qué tráfico debe encaminarse el túnel.

ip firewall nat add action=masquerade chain=srcnat out-interface=ovpn-out1 dst-address=[LAN_SEDE_REMOTA]

NOTA: No olvides añadir una regla de NAT si quieres permitir que los usuarios de la sede remota puedan salir a internet.

ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway to-addresses=0.0.0.0

A partir de aquí podemos utilizar todo el potencial que OpenVPN y mikrotik ponen a nuestro alcance como priorizar determinado tipo de trafico que cruce nuestro túnel o visualizar en tiempo real qué ancho de banda tenemos disponible. Así mismo nos podría resultar de utilidad definir reglas en el firewall que limite el tipo de tráfico que utiliza nuestro túnel.

Más información: Mikrotik Wiki.