Redes, Software Libre y Educación

Temarios Vintage

2012-02-14T10:49:00.000+01:00

Vaya... ¡mi gozo en un pozo!

Si en Noviembre me mostraba exultante ante los nuevos temarios que se habían publicado para las oposiciones de profesores de informática (y del resto de especialidades), nuestro nuevo ministro de educación me ha bajado de las nubes.

En palabras del propio ministro, la derogación de los nuevos temarios y la vuelta a los temarios del año 1996 (0 1993 en algunas especialidades) se ha llevado a cabo porque los nuevos temarios eran "muy malos", ya que "no servían para medir los conocimientos (de los aspirantes), ni su actitud pedagógica".

Yo no estoy de acuerdo. Los temarios de informática aprobados en Noviembre sí cubrían todos los temas (o una amplísima mayoría de ellos) que un profesor necesita para trabajar en la Formación Profesional. Los temarios de 1996, evidentemente, no. Los temarios de Noviembre incluían temas como la programación de dispositivos móviles, programación web, XML, LDAP, criptografía, análisis forense, sistemas de alta disponibilidad y un largo etcétera, que ni se mencionan en el temario de 1996. Sin embargo, todos estos temas forman parte de las enseñanzas que los nuevos profesores que se seleccionen en esta oposición tendrán que impartir el próximo curso cuando se incorporen a sus centros. Por tanto, la conclusión es evidente: la vuelta a los temarios de 1996 implica que los profesores seleccionados no habrán demostrado sus conocimientos en los temas con los que tendrán que trabajar en el presente, sino con los temas con los que se trabajaba en el año 1996.

El ministro afirma que los temarios de Noviembre no servían para el sistema de selección del profesorado de "excelencia" que el Gobierno quiere implantar. Sin entrar a valorar esa afirmación, yo le preguntaría, ¿el temario de 1996 sí sirve?

En mi opinión, esta decisión se debe a otros motivos, pero, como no quiero especular, prefiero despedirme con un poco de humor.

Un saludo!

Vídeos de WorldSkills 2011

2011-11-25T09:02:00.001+01:00

¡Hola!

El Ministerio de Educación ha editado unos vídeos muy chulos en los que se resume la experiencia del equipo español de WorldSkills Londres 2011. En ellos puedes ver imágenes de las ceremonias de inauguración y clausura, entrevistas con los participantes y expertos, secuencias de la competición y la entrega de medallas, etc.

¡Espero que los disfrutes!

¡Un saludo!

Oposiciones de informática: nuevos temarios, nuevas oportunidades

2011-11-19T10:57:00.001+01:00

¡¡POR FIN!!

Después de más de 15 años, por fin el Ministerio de educación ha actualizado los temarios de las oposiciones para los profesores de enseñanzas no universitarias. Quizás en algunas especialidades como Historia (hablo desde el desconocimiento, perdonadme si ofendo a alguien por mi atrevimiento) esto no tenga tanta importancia, pero en informática, 15 años son muchos años, y las cosas cambian mucho.

Los nuevos temarios, desde mi punto de vista, sí cubren todos los temas que hoy en día necesita conocer un profesor que vaya a trabajar en la Formación Profesional. Esto, sinceramente, hasta ahora no ocurría en muchas ocasiones... Yo mismo, tras aprobar las oposiciones en 2004, cuando llegué en Septiembre al instituto y mis nuevos compañeros me explicaron lo que tenía que impartir en cada asignatura y cómo se trabajaba en el centro (clases prácticas, poca pizarra y "manos en la masa"), yo me preguntaba "¿por qué c=$!o no me han examinado de esto en las oposiciones?", y luego me tocaba estudiar por mi cuenta, pagándome cursos de mi propio bolsillo en muchas ocasiones, para ponerme al día y poder impartir una formación práctica de calidad.

Si eres informático y te gusta la educación, estos próximos años van a ser una oportunidad muy buena para poder hacerte profe. Por un lado, el hecho de que los temarios hayan cambiado hace que las posibilidades de antiguos opositores y nuevos aspirantes se igualen, ya que todo el mundo tiene que estudiar nuevos temas y preparar nuevas prácticas. Y por otra parte, parece que la forma de acceso a las plazas también va a cambiar para la próxima convocatoria de 2012, de manera que la experiencia previa como docente va a pesar mucho menos en la nota final, y los exámenes van a ser eliminatorios. Por tanto, las próximas convocatorias van a ser una oportunidad de oro para los nuevos opositores.

Para ser profesor de informática tienes 2 opciones:

La especialidad de Informática, del cuerpo de profesores de enseñanza secundaria, que te permite trabajar dando clase en los ciclos formativos de FP de grado medio y superior, en secundaria y en bachillerato.
La especialidad de Sistemas y Aplicaciones Informáticas, del cuerpo de profesores técnicos de FP, que te permite trabajar dando en clase en los ciclos formativos de FP de grado medio y superior.

Los temarios son algo diferentes, ya que dentro de cada ciclo formativo, las asignaturas que pueden impartir los profesores de secundaria y los técnicos son distintas. Por ello, por ejemplo, los profesores técnicos tienen más temas dedicados al Hardware y los profesores de secundaria más temas dedicados a las Redes y la Seguridad Informática.

Os dejo aquí una versión resumida de los nuevos temarios y os enlazo aquí una versión algo más detallada (secundaria, técnico):

Cuerpo:Secundaria - Especialidad: Informática

1.Representación y comunicación de la información.

2.La unidad central de proceso.

3.Periféricos, soportes y dispositivos de almacenamiento.

4.Sistemas microinformáticos.

5.Sistemas operativos.

6.Implantación de sistemas operativos.

7.Gestión de sistemas operativos.

8.Diseño de bases de datos.

9.Tipos de bases de datos.

10.Bases de datos relacionales.

11.El lenguaje SQL.

12.Sistemas gestores de bases de datos relacionales.

13.Mantenimiento de sistemas gestores de bases de datos relacionales.

14.Programación de bases de datos.

15.Lenguajes de programación.

16.Estructuras de programación.

17.Operaciones con estructuras de almacenamiento.

18.Algoritmos.

19.Análisis y diseño de programas.

20.Programación orientada a objetos.

21.Pruebas y documentación de programas.

22.Plataformas para el desarrollo de aplicaciones.

23.El lenguaje java.

24.El lenguaje C#.

25.El lenguaje XML.

26.Manipulación de documentos XML.

27.Almacenamiento de documentos XML.

28.Entrada/salida de información.

29.Comunicaciones en red.

30.Persistencia de objetos.

31.Creación de interfaces de usuario.

32.HTML y XHTML.

33.Javascript.

34.Arquitecturas de programación Web.

35.El lenguaje PHP.

36.Programación de aplicaciones con acceso a bases de datos.

37.Programación paralela y distribuida.

38.Programación multimedia.

39.Programación de juegos.

40.Programación de dispositivos móviles.

41.La imagen digital como elemento multimedia.

42.El sonido digital como elemento multimedia.

43.Aplicaciones Web.

44.Tipos y arquitecturas de redes.

45.La capa física en arquitecturas de redes.

46.La capa de enlace en arquitecturas de redes.

47.Redes Ethernet.

48.Tecnología inalámbrica en redes de área local y metropolitana.

49.Calidad del servicio y seguridad en despliegues inalámbricos.

50.La capa de red.

51.Encaminamiento estático.

52.Encaminamiento dinámico.

53.Acceso a internet desde LAN.

54.La capa de transporte.

55.Planificación de redes departamentales.

56.Proyectos de diseño, implantación y mantenimiento de redesdepartamentales.

57.Redes convergentes.

58.Monitorización y gestión de alarmas en redes.

59.Protocolo de configuración dinámica DHCP.

60.Servicios de resolución de nombres DNS.

61.Servicios de compartición de archivos.

62.Protocolo HTTP.

63.Correo y mensajería.

64.Servicios multimedia en red.

65.Protocolo LDAP.

66.Sistemas domóticos/inmóticos.

67.Sistemas de control de accesos y presencia.

68.Seguridad informática.

69.Criptografía simétrica y asimétrica.

70.Análisis informático forense.

71.Seguridad de las comunicaciones en redes departamentales.

72.Cortafuegos.

73.Proxies.

74.Acceso remoto seguro a redes.

75.Sistemas de alta disponibilidad.

Cuerpo: profesores técnicos de FP - Especialidad: Sistemas y Aplicaciones Informáticas

1.Representación y comunicación de la información.

2.Cajas y placas base para el ensamblaje de sistemas microinformáticos.

3.Los microprocesadores.

4.La memoria interna.

5.Soportes de almacenamiento.

6.Sistema gráfico.

7.Dispositivos periféricos.

8.Ensamblado y mantenimiento de sistemas microinformáticos.

9.Chequeo y diagnóstico de equipos y componentes.

10.Equipamiento informático específico.

11.Centros de proceso de datos.

12.Hardware específico para soluciones empresariales.

13.Normativa de prevención de riesgos laborales y protecciónambiental.

14.Instalación y configuración de sistemas operativos.

15.Administración de sistemas operativos.

16.Mantenimiento del sistema informático.

17.Administración de usuarios y grupos.

18.Aseguramiento de la información.

19.Intérpretes de comandos.

20.Implantación de dominios.

21.Administración de dominios.

22.Sistemas de archivos compartidos.

23.Servicios de directorio.

24.Bases de datos relacionales.

25.El lenguaje SQL.

26.Lenguajes de programación.

27.Estructuras de programación.

28.Algoritmos y estructuras de datos.

29.Programación orientada a objetos.

30.La plataforma y el lenguaje Java.

31.Programación de aplicaciones con acceso a bases de datos.

32.Gestión de documentos XML.

33.HTML y XHTML.

33.Interfaces de usuario.

35.Accesibilidad de los interfaces de usuario.

36.Usabilidad de los interfaces de usuario.

37.Javascript.

38.Creación de componentes visuales.

39.Arquitecturas de programación Web.

40.Manipulación de imágenes.

41.Edición de audio y video.

42.Aplicaciones ofimáticas.

43.Aplicaciones Web.

44.Sistemas de planificación de recursos empresariales (ERP) y degestión de

relacionescon clientes (CRM).

45.Adaptación y personalización de Sistemas ERP-CRM.

46.Redes de datos.

47.Redes cableadas.

48.Redes inalámbricas.

49.Direccionamiento IP.

50.Aplicaciones y servicios en red.

51.Interconexión de redes privadas y redes públicas.

52.Redes privadas Virtuales.

53.Servicios DHCP Y DNS.

54.Servidores Web.

55.Correo y mensajería.

56.Sistemas domóticos/inmóticos.

57.Sistemas de control de accesos y presencia.

58.Seguridad en sistemas informáticos.

59.Vulnerabilidades en sistemas informáticos.

60.Seguridad en redes informáticas.

¡Un saludo!

Configurar una VPN de acceso remoto con OpenVPN

2011-11-15T09:14:00.000+01:00

Hola!

En esta entrada vamos a ver cómo configurar una VPN de acceso remoto utilizando OpenVPN, una solución libre que permite implementar VPNs basadas en SSL/TLS.

El escenario

Supongamos que la siguiente figura representa la red de nuestra organización, en la que tenemos varios servidores internos que no queremos que sean accesibles desde Internet y, por tanto, están protegidos por el cortafuegos de nuestra red local. Sin embargo, uno de nuestros empleados debe conectarse de forma remota y utilizar estos servicios, pero debido a su criticidad no queremos abrir un puerto y que se conecte directamente desde Internet. En este escenario podemos utilizar OpenVPN para configurar de forma sencilla una VPN de acceso remoto, de forma que todo el tráfico entre el cliente y el servidor VPN viaje cifrado a través de Internet.

Manos a la obra

Para este ejemplo, tanto el router que conecta nuestra red local con Internet como el cliente VPN son máquinas Debian, pero la configuración es prácticamente igual con otros SOs.

Tras instalar OpenVPN en ambas máquinas (puede compilarse el código fuente o instalarse el paquete del repositorio), hay que decidir cómo se va a realizar la autenticación de los extremos y el cifrado. La forma más sencilla de configuración es usar una clave compartida (pre-shared key), mientras que el uso de certificados ofrece una solución más robusta. Veamos primero cómo sería la configuración usando la clave compartida.

Generación del secreto compartido

Lo primero que hay que hacer es generar la clave compartida en el servidor:

# openvpn --genkey --secret secreto.key

Esta orden nos genera la clave que utilizaremos para autenticar a los extremos de la VPN:

#

# 2048 bit OpenVPN static key

#

-----BEGIN OpenVPN Static key V1-----

aa638955325e31a3e04c1a34a8d48b82

c6eb052373a9b8d09f91356560474bd1

...

6480510df1fe5e05493f30a7601ab46b

e995995dd215eada0341156da5bfb993

-----END OpenVPN Static key V1-----

A continuación habrá que pasar este fichero al cliente.

Configuración del servidor

Tras mover el secreto compartido al directorio /etc/openvpn crearemos el archivo /etc/openvpn/servidor.cfg con el siguiente contenido:

dev tun

ifconfig 10.0.0.1 10.0.0.2

secret secreto.key

Las direcciones 10.0.0.1 y 10.0.0.2 de la directiva ifconfig son las que se asignarán a las interfaces virtuales del túnel: 10.0.0.1 para el servidor y 10.0.0.2 para el cliente. Puedes elegir las direcciones que prefieras, pero no deben coincidir con el direccionamiento utilizado en la red local.

A diferencia de otras soluciones más complejas como OpenSwan, basada en IPSec, OpenVPN utiliza un único puerto para todo el tráfico, por lo que la gestión en el cortafuegos es más sencilla. El puerto por defecto es el 1194 UDP (puede cambiarse este puerto con la directiva port nuevo_puerto), por lo que basta con que abrir este puerto para poder establecer la VPN.

Configuración del cliente

Tras copiar a la máquina cliente el secreto compartido y moverlo al directorio /etc/openvpn, crearemos el archivo /etc/openvpn/cliente.cfg con el siguiente contenido:

remote 80.154.67.89

dev tun

ifconfig 10.0.0.2 10.0.0.1

route 192.168.2.0 255.255.255.0 10.0.0.1

secret secreto.key

La dirección 80.154.67.89 de la directiva remote es la IP pública del servidor VPN, necesaria para que el cliente comience el establecimiento de la VPN. La directiva route añadirá a la tabla de encaminamiento del cliente una entrada que permita acceder a los recursos de la red local remota (en el ejemplo 192.168.2.0/24). Con esta configuración, el único tráfico que será cifrado y que se enviará a través del túnel, será el que vaya dirigido a la red local remota, mientras que el resto del tráfico se enviará sin cifrar de forma tradicional.

Establecimiento de la VPN

Para establecer la VPN hay que arrancar OpenVPN en ambos extremos:

# openvpn --config /etc/openvpn/servidor.conf (En el servidor)
# openvpn --config /etc/openvpn/cliente.conf (En el cliente)

Una vez establecida la VPN, se habrá creado una interfaz virtual de tipo túnel en ambas máquinas, que simulan un enlace PPP:

# ifconfig 

...

tun0      Link encap:UNSPEC  direcciónHW 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  

          Direc. inet:10.0.0.2  P-t-P:10.0.0.1  Másc:255.255.255.255

          ACTIVO PUNTO A PUNTO FUNCIONANDO NOARP MULTICAST

...

Y en la tabla de encaminamiento veremos las nuevas entradas que permiten el tráfico con la máquina 10.0.0.1 (el servidor VPN) y con la red local remota (192.168.2.0):

# route -n

Tabla de rutas IP del núcleo

Destino         Pasarela        Genmask         Indic Métric Ref    Uso Interfaz

10.0.0.1      0.0.0.0         255.255.255.255 UH    0      0        0 tun0

192.168.2.0    10.0.0.1      255.255.255.0   UG    0      0        0 tun0

192.168.1.0     0.0.0.0         255.255.255.0   U     1      0        0 eth1

0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth1

A partir de este momento, el cliente ya podría utilizar los recursos de la red local remota de forma segura, ya que todo el tráfico iría cifrado a través del túnel.

Configuración usando certificados

Para este escenario, con un sólo cliente de acceso remoto, la configuración basada en secreto compartido es suficiente, pero siempre es preferible usar certificados en lugar de claves compartidas. En la siguiente guía se detalla la configuración de cliente y servidor para un escenario de VPN de acceso remoto utilizando certificados X.509 y la configuración de una VPN sitio a sitio usando también certificados X.509.

Guía de configuracion Openvpn

View more documents from Jesus Moreno Leon

Un saludo!

Educación pública y movilidad social

2011-11-02T10:20:00.002+01:00

¡Hola!

Leyendo el artículo Movilidad social y educación pública, de Iñaki Iriarte, me he animado a buscar cifras y estadísticas que muestren la influencia de la educación en la movilidad social.

¿Qué es la movilidad social?

A lo largo de su vida, las personas pueden mejorar sus condiciones de vida o empeorarlas, y si todo el mundo tuviera las mismas posiblidades de subir o bajar, estaríamos en una sociedad en la que de verdad existiría la igualdad de oportunidades.

Una forma de medir la movilidad social es comprobar si los padres ricos tienen hijos ricos y los padres pobres tienen hijos pobres, o si el nivel socieconómico de los padres no influye en el de los hijos. Es decir, ¿pueden hacerse ricos los hijos de padres pobres?

Movilidad social en el mundo

La siguiente gráfica, obtenida del estudio Intergenerational Mobility in Europe and North America de la London School of Economics, muestra una comparativa de la movilidad social en 8 países diferentes:

Como puede observarse, los países nórdicos presentan una mayor movilidad social, mientras Estados Unidos y Reino Unido son los que tienen una tasa inferior. Es decir, que el sueño americano es mucho más posible en Copenhague que en New York, parafraseando a Richard Wilkinson.

Datos muy similares obtienen los investigadores del estudio Mobility in the United States in comparativeperspective,que realiza una comparación del nivel de persistencia de la movilidad social, de forma que:

Un nivel de persistencia igual a 1 significa que no importa cuánto te esfuerces en la vida, ya que vas a mantenerte en el nivel socieconómico de tus padres.
Un nivel de persistencia igual a 0 representa una sociedad meritocrática, en la que el nivel de tus padres no influye absolutamente y sólo subirás o bajarás en la escala social de acuerdo a tus méritos.

Según el estudio, Estados Unidos es el país con mayor nivel de persistencia, con un 0.45, mientras que Dinamarca, Noruega y Finlandia son los países con menores tasas, con 0.12, 0.17 y 0.18, respectivamente. La media de los países estudiados ronda el 0.25.

Más impactante aún es la conclusión del informe Understanding Mobility in America, en el que se afirma que los hijos de familias con pocos ingresos tienen un 1% de probabilidad de convertirse en ciudadanos con ingresos superiores al resto de la población (en concreto, de alcanzar el top 5% respecto al nivel de ingresos), mientras que los hijos de las familas ricas tienen un 22% de lograr esta misma situación.

Movilidad social en España

Los únicos datos oficiales que he conseguido localizar han sido los de los estudios de la OCDE (OECD Economic Surveys: Finland 2008, OECD Economic Surveys: United Kingdom 2009), que confirman los datos de los artículos anteriores y sitúan a España en un nivel de persistencia algo superior al 0,3.

Movilidad social y educación

Todos los estudios mencionados afirman que la educación es el parámetro más importante a la hora de mejorar la movilidad social. Por ejemplo, en el informe de la London School of Econocmics podemos encontrar las siguientes conclusiones:

"La fortaleza de la relación entre educación e ingresos familiares, especialmente para el acceso a la educación superior, se encuentra en el corazón de los bajos niveles de movilidad social de Gran Bretaña. Si se desea mejorar la movilidad social intergeneracional, estos datos sugieren claramente que desde edades tempranas, incluyendo la edad preescolar, Gran Bretaña necesita adoptar una estrategia para igualar las oportunidades"

"Para mejorar esta situación necesitamos también realizar mejoras en las escuelas de las comunidades más pobres y ofrecer ayudas económicas para impulsar la educación post-obligatoria"

Además, si nos fijamos en los datos de los diferentes informes, podemos observar que los países con mejores tasas de movilidad social son aquellos que cuentan con una educación pública de calidad. Y todo lo contrario ocurre en aquellos países en los que la educación pública queda relegada al papel de servicio social para los más pobres, en los que los niveles de movilidad social son paupérrimos.

¿Repercute en la sociedad la movilidad social?

Los países que tienen una mayor movilidad social y, por tanto, ofrecen una mayor igualdad de oportunidades a sus ciudadanos, tienen una mayor calidad de vida que repercute en una menor tasa de asesinatos, de enfermedades mentales, de obesidad, de encarcelamientos, de embarazos no deseados en adolescentes o de abuso de drogas, entre otros muchos parámetros:

Y tú, ¿en qué tipo de sociedad quieres vivir?

¡Un saludo!

Webinar: smartphones que amenzan tu red

2011-10-29T10:12:00.000+02:00

Hola!

La gente de AirTight Networks ha organizado un Webinar gratuito para mostrar cómo proteger la red corporativa de todos los dispositivos inteligentes, (smartphones, tablets...) personales que se llevan los empleados al trabajo. Será el miércoles 2 de Noviembre a las 11:00 AM Pacific Time, que en España son las 20:00. Aquí tienes toda la información y el registro.

La verdad es que leyendo la presentación del evento, me he acordado mucho de la genial charla "Malware en la empresa" que Pedro Sánchez impartió este Febrero en Sevilla durante la Gira Up To Secure. Durante la charla, Pedro nos contó un caso real de un trabajador de un banco muy importante que decidió llevarse su portátil Mac al trabajo y conectarlo a la red corporativa... con unas consecuencias dramáticas. Os dejo aquí las diapositivas de la ponencia, por si a alguien le interesa echar un vistazo:

Mac os x & malware en tu empresa

View more presentations from Eventos Creativos

iPhone, Droids, Tablets: Smartphones que amenazan tu red

En la cultura BYOD (bring your own device, lleva tu propio dispositivo) en la que vivimos hoy día, hay 3 veces más dispositivos personales en el espacio de tu red que dispositivos corporativos. Para hacer aún peor las cosas, los usuarios autorizados muchas veces solo necesitan sus credenciales para conectar sus dispositivos no autorizados a tu red WPA/802.1x sin tu conocimiento ni autorización, exponiendo al resto de equipos de la red a amenazas de seguridad, malware y fuga de datos.

En este webinar interactivo aprenderás:

Las limitaciones de las prácticas comunes de seguridad que suelen aplicarse.
Cómo identificar smartphones conectados a tu red
Definir una política de acceso y forzar a los smartphones que la cumplan
Establecer controles para restringir el acceso de dispositivos personales a la red corporativa.

Un saludo!

Nessus: detectando malas configuraciones

2011-10-28T06:05:00.000+02:00

Hola!

Éste es el segundo post de la serie Top 10 de cosas que no conocías sobre Nessus que está publicando David Letterman, de Tenable Security, y que yo iré traduciendo (y resumiendo) por aquí. En el artículo anterior, hay más de una forma de hacer las cosas, estudiamos los beneficios de realizar un análisis con credenciales, y hoy vamos a ver cómo usar Nessus para descubrir malas configuraciones que puedan llevar a comprometer la seguridad de nuestros sistemas.

Nessus detecta malas configuraciones

Cuando yo trabajaba de administrador de sistemas [cuenta David Letterman], una de las tareas más difíciles era mantener las mismas configuraciones en todos los sistemas (o grupos de sistemas similares). Los sistemas cambiaban, se aplicaban actualizaciones, la gente hacía cambios a las 3:00 de la madrugada para corregir un problema de emergencia... todo ello contribuyendo a que las configuraciones se escaparan de las políticas en las que yo había trabajado tan duro para crearlas e implementarlas. Afortunadamente, Nessus permite auditar de forma consistente las configuraciones de tus equipos:

Ejecutar órdenes de shell Linux/Unix: dentro de la configuración de una política de auditoría, puedes especificar el comando a ejecutar, y comprobar los resultados deseados. Esto significa que puedes crear un script para, por ejemplo, comprobar si las claves SSH tienen configuradas una contraseña.
Mirar dentro de los ficheros de configuración: Nessus permite buscar un fichero de configuración (o cualquier fichero en texto plano) de un equipo, localizar ciertos parámetros y realizar un test. Por ejemplo, si quieres estar seguro de que las configuraciones de tus servidores SSH no permiten que el usuario root haga un login, podríamos comprobarlo así:

system:	"Linux"
type :	FILE_CONTENT_CHECK
description:	"2.3 Configure SSH - Checking if PermitRootLogin is set to no and not commented for server."
info:	"ref. https://community.cisecurity.org/download/?redir=/linux/CIS_RHEL_5.0-5.1_Benchmark_v1.1.2.pdf Ch. 2, pp 24-25."
file:	"/etc/ssh/sshd_config"
regex:	"^[\\s\\t]PermitRootLogin[\\s\\t]"*
expect:	"^[\\s\\t]PermitRootLogin[\\s\\t]+no[\\s\\t]$"

Inventario de software: se puede usar Nessus para identificar el software instalado. Por ejemplo, si queremos comprobar si nos hemos dejado instalado un compilador en nuestro servidor, podemos realizar lo siguiente:

type :	RPM_CHECK
description:	"SN.10 Remove All Compilers and Assemblers - gcc"
info :	"ref. https://community.cisecurity.org/download/?redir=/linux/CIS_RHEL_5.0-5.1_Benchmark_v1.1.2.pdf App. A, page 119."
rpm :	"gcc-0.0.0-0"
operator:	"lt"

Y aquí tenéis el vídeo de la sesión:

Un saludo!

iptables, un tutorial sencillo

2011-10-25T22:48:00.002+02:00

Hola!

Baśandome en la documentación de Juan Céspedes, profesor del GSYC de la Universidad Rey Juan Carlos, y en los libros Linux Network Administrator's Guide (Tony Bautts, Terry Dawson & Gregor N. Purdy) y Linux Cookbook (Carla Schroder), he escrito un artículo en el que se presenta iptables, se describe su estructura, se realiza un resumen de la sintaxis básica para la creación de reglas de filtrado de paquetes y se ofrece un script para un ejemplo completo. Espero que os sirva de ayuda.

Un cortafuegos (firewall) es un dispositivo hardware o software que tiene como objetivo proteger una red de otras redes a las que está conectado. Elcortafuegos se configura con una serie de reglas que determinan eltráfico que puede pasar de una red a otra y el tráfico que debe serbloqueado.

Para comprender el funcionamiento de un cortafuegos, podemos pensar en cómo desempeñan su trabajo los guardias de seguridad de una discoteca. Los dueños del local establecen los criterios que debe cumplir un potencial cliente para poder pasar a la sala y, cada vez que alguien llega a la puerta, el portero lo evalúa:

si cumple los criterios → pasa
si no los cumple → no pasa

En la siguiente figura se representa el esquema de una red de ordenadores que utiliza un cortafuegos para proteger la red local de la red externa:

Figura 1. Esquema de una red que utiliza un Cortafuegos. (Fuente: Wikipedia)

Se pueden construir cortafuegos más sofisticados, como veremos a lo largo del artículo, que incluyen equipos separados del resto de la red local (Zona Desmilitarizada) para aumentar aún más la seguridad. De hecho, en las grandes corporaciones, es posible encontrar instalaciones con más de un cortafuegos, que separan los equipos de diferentes áreas de la empresa.

Linux como cortafuegos

El núcleo de las máquinas GNU/Linux incorpora el framework Netfilter, que permite interceptar y manipular paquetes de red. Además, en el espacio de usuario, el administrador puede usar iptables para establecer las reglas del firewall.

iptables

iptables se usa para crear, mantener y revisar las tablas de filtrado de paquetes en el kernel de Linux, y se estructura de la siguiente manera:

- Existen diferentes tablas (tables) dentro de las cuales puede haber varias cadenas (chains).

- Cada cadena consiste en una lista de reglas con las que se comparan los paquetes que pasan por el cortafuegos. Las reglas especifican qué se hace con los paquetes que se ajustan a ellas (target).

Para cada paquete que recibe el cortafuegos, se examina la primera regla de la cadena correspondiente. Si el paquete no se ajusta a esa regla, se continúa examinando la siguiente hasta que se ajusta con alguna. En ese momento se ejecuta el target:

DROP: el paquete se descarta, no puede pasar
ACCEPT: el paquete continúa su camino normal

Si se llega al final de una cadena predefinida se ejecuta un target por defecto, llamado chain policy. El chain policy establece, por tanto, la política por defecto de nuestro cortafuegos.

Tablas

Como decíamos, en iptables existen varias tablas, que tienen diferentes objetivos:
- La tabla filter es la tabla por defecto, y se utiliza para especificar filtros de paquetes. Contiene 3 chains predefinidas:

INPUT: Se consulta para los paquetes que van dirigidos al propio cortafuegos
FORWARD: La atraviesan los paquetes enrutados a través de esta máquina, es decir, aquellos paquetes en los que el origen y el destino son equipos de redes diferentes.
OUTPUT: Para paquetes generados localmente

- La tabla nat se consulta cada vez que se ve un paquete que inicia una nueva conexión, con el objetivo de alterar algún parámetro de esa conexión. Tiene 3 chains predefinidas:

PREROUTING: se consulta con los paquetes que entran en la máquina cortafuegos, tan pronto como llegan, antes de decidir qué hacer con ellos.
OUTPUT: se utiliza para alterar paquetes generados localmente, antes de enrutarlos.
POSTROUTING: para alterar los paquetes que están a punto de salir de la máquina.

- La tabla mangle es una tabla especial, destinada a alterar determinados parámetros de los paquetes (TOS, TTL ...), que se utiliza para realizar configuraciones complejas del cortafuegos. Cuenta con 5 chains predefinidas: INPUT, OUTPUT, PREROUNTING, POSTROUTING Y FORWARD.

Flujo de los paquetes a través de iptables

En la figura 2 se muestran todos los posibles caminos que un paquete puede seguir al atravesar nuestro cortafuegos.

Figura 2. Flujo de paquetes a través de iptables

Veamos el camino que seguiría, por ejemplo, un paquete que se origina en nuestra red local y va destinado a una máquina de Internet (para el esquema básico de la figura 1):
- El paquete entra en el cortafuegos por una interfaz de red, por tanto, primero se comprobarían las reglas de la cadena PREROUTING.

- A continuación se comprobarían las reglas de la cadena FORWARD, ya que el paquete no va destinado a un proceso del cortafuegos, si no que va a atravesarlo, saliendo por la interfaz que lo conecta con la red externa.

- Por último, si el paquete no ha sido filtrado y sigue adelante, antes de salir del cortafuegos por la otra interfaz de red, se comprueban las reglas de la cadena POSTROUTING

Comandos de configuración

Vamos a ir explicando, a continuación, los comandos básicos de configuración de iptables. Veremos algún ejemplo sencillo, y terminaremos con un ejemplo completo de configuración de un firewall con DMZ.

Listado de reglas:

#iptables [-t tabla] [opciones] -L [chain]

Muestra un listado de todas las reglas de una cadena, o de todas ellas. Las opciones disponibles son:
-v: información detallada
-n: salida numérica
-x: valor exacto de cada número

Borrado de contadores:
#iptables [-t tabla] -Z [chain]

Borra los contadores de una determinada chain, o de todas ellas. Es habitual colocar este comando al principio de todos los script de configuración, para borrar las reglas que existieran de antemano. Se puede combinar con la opción -L para mostrar la información justo antes de borrarla.

Borrado de reglas:
#iptables [-t tabla] -F [chain]

Borra las reglas de una determinada chain o de todas ellas.

Creado y borrado de reglas:
#iptables [-t table] -A chain rule-spec
#iptables [-t table] -I chain [rulenum] rule-spec
#iptables [-t table] -R chain rulenum rule-spec
#iptables [-t table] -D chain rule-spec
#iptables [-t table] -D chain rulenum

Las opciones son las siguientes:
-A: añade una regla al final de la lista
-I: inserta una regla al comienzo de la lista o en el punto especificado
-R: reemplaza una regla (especificada por su número de regla) por otra
-D: borra una regla determinada

Para especificar una regla podemos usar los siguentes parámetros:
-p [!] protocolo: el protocolo del paquete a comprobar. Puede ser 'tcp', 'udp', 'icmp' o 'all'
-[sd] [!] dirección[/máscara]: dirección ip origen (s) o destino (d) del paquete
-[io] [!] iface: nombre de la interfaz de entrada (i) o de salida (o) del paquete
-j target: especifica el target de dicha regla. Puede ser una acción predefinida (ACCEPT, DROP), una extensión o el nombre de una chain

Establecimiento de un política por defecto:
#iptables [-t table] -P chain target

Establece el taget que se ejecutará para los paquetes que no cumplan con ninguna regla de la chain especificada

Un ejemplo sencillo

Con estos comandos básicos de configuración ya podemos resolver muchos de los problemas con los que se encuentra una empresa al exponer sus sistemas de información a Internet.
Vamos a ver un ejemplo sencillo para entender cómo se deben escribir las reglas en iptables. Observemos la figura 3, que representa una instalación sencilla, con una máquina que actúa como router y cortafuegos conectando dos redes distintas.

Figura 3. Un ejemplo sencillo

Supongamos que queremos que sólo la máquina B pueda hablar con C, y además sólo pueda usar el protocolo TCP. Los paquetes que no cumplan estas condiciones serán descartados.
Lo primero que tenemos que decidir es ¿en qué tabla e qué cadena vamos a colocar las reglas? En este caso, queremos realizar filtrado de paquetes, por lo que está claro que trabajaremos con la tabla filter... pero ¿en la cadena INPUT, OUTPUT o FORWARD? Como los paquetes que queremos filtrar son los que van a atravesar el Firewall de una red a otra, trabajaremos con la cadena FORWARD.
Los comandos que deberíamos usar para conseguir estos objetivos son los siguientes:

#iptables -F FORWARD
#iptables -P FORWARD DROP
#iptables -t filter -A FORWARD -p tcp -s 192.168.1.2 -d 192.168.2.1 -j ACCEPT
#iptables -t filter -A FORWARD -p tcp -s 192.168.2.1 -d 192.168.1.2 -j ACCEPT

La línea 1 borra las reglas que pudiera haber en la cadena FORWARD de la tabla filter (que es la tabla por defecto).
La línea 2 establece la política por defecto a DROP (denegar), por lo tanto, los paquetes que no cumplan con las reglas que especifiquemos serán rechazados.
Las líneas 3 y 4 permiten el tráfico entre las máquinas B y C según las reglas especificadas en el enunciado. Veamos con detalle su significado en la figura 4.

Figura 4. ¿Cómo se lee una regla de iptables?

Los aministradores no suelen sentarse delante de la máquina que actúa como cortafuegos y ejecutan los comandos uno a uno. Es más habitual escribir todos los comandos en un script de shell y ejecutar solamente el script. No sólo se hace por comodidad, sino porque esta opción permite incluir comentarios y reutilizar el código:

#!/bin/bash
##Script de iptables – Un ejemplo sencillo

##Borramos las reglas de la chain FORWARD de la tabla filter
iptables -F FORWARD

##Establecemos la política por defecto -> DROP
iptables -P FORWARD DROP

##Aceptamos los paquetes TCP entre B y C
iptables -t filter -A FORWARD -p tcp -s 192.168.1.2
-d 192.168.2.1 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -s 192.168.2.1
-d 192.168.1.2 -j ACCEPT

Extensiones de las reglas

Con las opciones vistas hasta el momento podemos controlar los parámetros más básicos de la cabecera IP del paquete. Puede ser necesario un control más estricto, por ello existen una serie de extensiones que permiten utilizar opciones nuevas:
-m extensión: activa una extensión para poder especificar los parámetros del paquete

Veamos algunas extensiones de las reglas:
tcp: añade las siguientes opciones

--sport [!] port[:port]: especifica el puerto o rango de puertos origen
--dport [!] port[:port]: especifica el puerto o rango de puertos destino
[!] --syn: la regla concordará sólo con los paquetes cuyo bit SYN=1 y los flags ACK y FIN valgan 0. Los datagramas con estos valores se utilizan para abrir las conexiones TCP

udp: añade las siguientes opciones

--sport [!] port[:port]: especifica el puerto o rango de puertos origen
--dport [!] port[:port]: especifica el puerto o rango de puertos destino

Ejemplo: supongamos que quieres crear una regla para permitir el paso a las peticiones a un servidor web que tiene la IP 172.16.0.254.

#iptables -A FORWARD -p tcp -d 172.16.0.254 --dport 80 -j ACCEPT

icmp: añade la opción –-icmp-type tipo, que indica qué tipo ICMP debe tener el paquete (echo-request, echo-reply, network-unreachable...)
mac: añade la opción –-mac-source [!] dir_mac, que especifica la dirección MAC que debe tener el paquete

Ejemplo: quieres permitir que se realice ping al cortafuegos desde la máquina del administrador, que tiene IP dinámica y MAC 00:21:00:16:82:9f

#iptables -A INPUT -p icmp --icmp-type echo-request -m mac --mac-source 00:21:00:16:82:9f -j ACCEPT  

#iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

state: Añade la opcion --state valor, que indica el estado en el que debe estar la conexion correspondiente a dicho paquete. Los tipos de estado principales son:

NEW: el paquete corresponde a una conexión nueva
ESTABLISHED: el paquete está asociado a una conexión ya establecida
RELATED: el paquete corresponde a una conexión nueva, pero relacionada con una que ya está establecida (como un canal de datos FTP o un error de ICMP)

Extensiones de target

Existen otros target diferentes a DROP y ACCEPT que permiten que nuestro cortafuegos realice otras funciones a parte del filtrado de paquetes:

- MASQUERADE: sólo es válida en la chain POSTROUTING. Indica que la dirección origen del paquete (y de todos los de esa conexión) será cambiada por la IP local de esta máquina. Muy útil para IP dinámica (es lo que se conoce como NAT)

Ejemplo:

# iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

- SNAT: sólo es válida en la chain POSTROUTING. Indica que la dirección y puerto origen del paquete (y de todos los de esa conexión) sea modificada según se especifica con la opción –-to-source. El target será SNAT (en lugar de MASQUERADE) cuando tengamos una IP fija.

Ejemplo:

# iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 189.29.35.15

- DNAT: sólo es válida en las chains PREROUTING y OUTPUT. Cambia la dirección IP destino (y de todos los futuros de esta misma conexión) por el especificado con la opción -–to-destination. Es lo que se conoce como 'abrir el puerto' en el router.

Por ejemplo, si la máquina 192.168.1.2 de nuestra red local aloja un servidor web que queremos que sea accesible desde la red externa:

# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2:80

DMZ, zona desmilitarizada

Observa la figura siguiente, que representa una red en la que tenemos un servidor web público, al que vamos a permitir el acceso desde Internet, y un servidor de BBDD privado, con toda la información de nuestra empresa.

Figura 5. Firewall de 2 patas

¿Qué ocurriría si un atacante consigue comprometer la seguridad de nuestro servidor web? A partir de ese momento, el acceso a los recursos de la red local sería inmediato, ya que ambos servidores se encuentran en la misma red.

En estos casos, el uso de una DMZ permite que se puedan dar servicios a la red externa a la vez que se protege la red interna en el caso de que un intruso comprometa la seguridad de los equipos situados en la zona desmilitarizada:

Figura 6. Firewall de 3 patas

Un ejemplo completo

Observemos la figura 7, que representa la configuración de la red de nuestra empresa:

Figura 7. Esquema de la red de nuestra organización

En el ejemplo supondremos que nuestra máquina GNU/Linux está conectada a un ROUTER que nos proporciona el acceso a Internet por la interfaz eth2. Este router está configurado como monopuesto (no hace NAT y deja pasar todo el tráfico a nuestra máquina Linux).

Las direcciones de la máquina son las siguientes:

eth0: 192.168.1.1/24
eth1: 192.168.2.1/24
eth2: dirección IP obtenida por DHCP (dinámica)

En la DMZ tenemos un servidor WEB y un servidor SSH que queremos sean accesibles desde Internet y la red local. Las direcciones son:

Servidor WEB: 192.168.2.2/24
Servidor FTP: 192.168.2.3/24

Las máquinas de la red local podrán navegar por Internet accediendo a servidores WEB, servidores WEB Seguros, servidores FTP y servidores DNS. El resto de conexiones serán filtradas.

Todas las máquinas de la red local tienen direcciones del rango 192.168.1.0/24.

Supondremos que en el firewall hay instalado un servidor ssh para que el administrador pueda conectarse desde la red local.

Se presenta a continuación un script, con una parte configurable por el usuario, para que pueda ser fácilmente adaptado a otras instalaciones y requisitos:

#!/bin/bash

####################################################################
#            Ejemplo de configuración de un firewall con DMZ y red local           #
####################################################################

### SECCIÓN CONFIGURABLE POR EL USUARIO ###

# REDLOCAL    Dirección IP de la red local interna
# BCASTLOCAL    Dirección de Broadcast de la red local
# IFAZLOCAL    Nombre del interfaz de red local
# CUALQUIERA    Dirección de red 0.0.0.0
# IFAZEXT        Nombre del interfaz de red externo
# WEB        Dirección IP del servidor WEB
# FTP            Dirección IP del servidor FTP
# REDDMZ        Dirección IP de la red DMZ
# IFAZDMZ        Nombre del interfaz de red de la DMZ
# TCPLOCAL    Lista de puertos TCP que permitimos usar en la red local
# UDPLOCAL    Lista de puertos UDP que permitimos usar en la red local

REDLOCAL = “192.168.1.0/24”
BCASTLOCAL = “192.168.1.255”
IFAZLOCAL = “eth0”

CUALQUIERA = “0/0”
IFAZEXT = “eth2”

WEB = “192.168.2.2”
FTP = “192.168.2.3”
REDDMZ = “192.168.2.0/24”
IFAZDMZ = “eth1”

TCPLOCAL = “www,ftp,ftp-data,https”

UDPLOCAL = “domain”

                ###IMPLEMENTACIÓN###

# Borramos todas las reglas que pudiera haber anteriormente, y los contadores

iptables -F
iptables -t nat -F
iptables -X         #borra las cadenas creadas por el usuario
iptables -Z
# Cambiamos la política por defecto en todas las cadenas de la tabla filter
# Chain Policy -> DROP

iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP

# Permitimos que se acceda al cortafuegos por ssh

iptables -A INPUT -s $REDLOCAL -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -d $REDLOCAL -p tcp --sport 22 -j ACCEPT

##CONEXIONES TCP

# Permitimos las conexiones establecidas, desde la red externa y desde la DMZ hacia la red local en los puertos permitidos

iptables -A FORWARD -d $REDLOCAL -p tcp -m state --state ESTABLISHED -m multiport --sports $TCPLOCAL -j ACCEPT

# Permitimos el tráfico desde la red local hacia la red externa y hacia la DMZ en los puertos permitidos

iptables -A FORWARD -s $REDLOCAL -p tcp -m multiport --dports $TCPLOCAL -j ACCEPT

# Permitimos el tráfico desde la red local y desde la red externa al servidor WEB por el puerto 80

iptables -A FORWARD -d $WEB -p tcp --dport 80 -j ACCEPT

# Permitimos las conexiones establecidas desde el servidor WEB a la red local y a la red externa

iptables -A FORWARD -s $WEB -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

# Permitimos el tráfico desde la red local y desde la red externa al servidor FTP por el puerto 20 y 21

iptables -A FORWARD -d $FTP -p tcp --dport 20:21 -j ACCEPT

# Permitimos las conexiones establecidas desde el servidor FTP a la red local y a la red externa

iptables -A FORWARD -s $FTP -p tcp --sport 20:21 -m state --state ESTABLISHED -j ACCEPT

# Permitimos las conexiones relacionadas desde el servidor FTP a la red local y a la red externa

iptables -A FORWARD -s $WEB -p tcp --sport 20:21 -m state --state RELATED -j ACCEPT

##CONEXIONES UDP

# Permitimos las conexiones establecidas desde la red externa hacia la red local en los puertos permitidos

iptables -A FORWARD -d $REDLOCAL -i $IFAZEXT -p udp -m state --state     ESTABLISHED -m multiport --sports $UDPLOCAL -j ACCEPT

# Permitimos el tráfico desde la red local hacia la red externa en los puertos permitidos

iptables -A FORWARD -s $REDLOCAL -o $IFAZEXT -p udp -m multiport --dports     $UDPLOCAL -j ACCEPT

## Hacemos NAT para las máquinas de la red local y para las máquinas de la DMZ

iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

# Si la dirección IP Pública fuera estática haríamos SNAT

## Hacemos DNAT para que las peticiones que recibimos de Internet lleguen a los servidores

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j DNAT --to-destination $WEB:80

iptables -t nat -A PREROUTING -i eth2 -p tcp –dport 20 -j DNAT --to-destination $FTP:20

Un saludo!

Nessus: ventajas de un análisis con credenciales

2011-10-24T17:55:00.002+02:00

Hola!

La empresa Tenable Network Security, desarrolladora de Nessus, tiene un blog muy interesante en el que publica artículos con trucos para sacar todo el partido a sus productos.

Uno de estos tutoriales ha sido bautizado como Top 10 de cosas que no conocías sobre Nessus, y yo os voy a ir publicando por aquí la traducción (resumida) de los que me resulten más interesantes.

El primero de estos trucos, el número 10, se llama "Hay más de una forma de hacer las cosas..."

Una de las características más desconocidas de Nessus es su capacidad de ejecutar un análisis con o sin credenciales. Ejecutar Nessus sin credenciales contra tu red es muy rápido y muy útil. Sin duda alguna, configurar un servidor Nessus en tu red y dejar que escanee cada dispositivo conectado, es una solución muy potente y puede ofrecerte una gran cantidad de información sobre tu red, manteniendo un equilibro entre velocidad, precisión y no intrusión.

Análisis con credenciales

Sin embargo, lanzar un análisis con credenciales presenta varias ventajas y te ofrece un nivel de información más profundo sobre tu red y tus equipos:

Análisis no intrusivo - como el análisis se realiza con credenciales, las operaciones de identificación de vulnerabilidades son ejecutadas en el propio equipo, en lugar de de hacerlo a través de la red. Todo se ejecuta lanzando órdenes en el equipo analizado, y luego se envían los resultados de esos comandos al servidor Nessus, por lo que se consumen muchos menos recursos.
Lista definitiva de parches pendientes - En lugar de probar un servicio de forma remota y tratar de encontrar una vulnerabilidad, Nessus realizará una consulta al host local para ver si el parche para esa determinada vulnerabilidad se ha aplicado correctamente. Este tipo de consulta es mucho más precisa y segura que las realizadas por los análisis remotos.
Vulnerabilidades del software de terceros - mirando el software instalado en el equipo y su versión, Nessus encontrará vulnerabilidades que en un análisis tradicional basado en la red no habrían sido descubiertas.

Vulnerabilidades del software de terceros

Descubrir nuevos tipos de "vulnerabilidades" - Nessus puede leer políticas de contraseñas, obtener una lista de dispositivos USB, comprobar la configuración del Anti-Virus o enumerar los dispositivos Bluetooth conectados al equipo analizado.

Por último, hay que tener en cuenta que el uso de credenciales en los análisis no tiene por qué suponer un riesgo, ya que Nessus ofrece varias opciones para asegurar su uso. Por ejemplo, cuando se usa SSH, se pueden configurar claves públicas/privadas, sudo, su, su+sudo o lectura del fichero SSH known_hosts.

Opciones de configuración de las credenciales

Y aquí tenéis el vídeo de la sesión:

Un saludo!

Autenticación en RIPv2 y OSPF con Linux

2011-10-22T10:17:00.000+02:00

Hola!

Hace un tiempo estudiamos cómo se configura el encaminamiento dinámico en routers Linux utilizando la suite Quagga, que incorpora implementaciones de OSPFv2, OSPFv3, RIP v1 y v2, RIPng y BGP-4 para plataformas Unix (FreeBSD, Linux, Solaris y NetBSD). En ese artículo vimos cúal es la arquitectura de Quagga, lo instalamos y realizamos la configuración de RIPv2.

Hoy vamos a ver cómo añadir algo de seguridad a RIPv2 y OSPF, de manera que los routers se autentiquen unos a otros usando una contraseña MD5 para evitar que cualquier equipo pueda actualizar de forma ilegítima nuestras tablas de encaminamiento. Para ello vamos a seguir una receta del genial libro LINUX networking cookbook de Carla Schroder.

Autenticación MD5 en RIPv2

Para configurar una contraseña MD5 en los routers tan sólo hay que añadir las siguientes líneas en el fichero /etc/quagga/ripd.conf:

#nano /etc/quagga/ripd.conf

key chain mired
key 1
key-string contraseña

interface eth1
ip rip authentication mode md5
ip rip authentication key-chain mired

Debes reemplazar mired por el nombre que más te guste y asegurarte de que configuras la interfaz de red correcta.

Autenticación MD5 en OSPF

ospfd utiliza una sintaxis algo diferente:

#nano /etc/quagga/ospfd.conf

interface eth0
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 contraseña

router ospf
network 172.16.1.0/24 area 0.0.0.1
area 0.0.0.1 authentication message-digest

Debes modificar el fichero para usar los nombres de interfaces y direcciones de red adecuados. Pueden crearse diferentes keys para diferentes interfaces, numerándolas de forma secuencial.

Reinicio del servicio

No olvides que para que los cambios tengan efecto debes reiniciar el servicio:

#/etc/init.d/quagga restart

Un saludo!

LibreOffice para la web, iOS y Android

2011-10-21T07:46:00.000+02:00

Hola!

En la pasada conferencia de LibreOffice, la Document Foundation ha anunciado un prototipo de LibreOffice Online, del que puedes ver una demo en el siguiente vídeo:

http://people.gnome.org/~michael/data/2011-10-10-lool-demo.webm

Además, se anunció el comienzo de un proyecto de portabilidad para Android e iOS, con el objetivo de llevar la suite ofimática a tablets con Android y al iPad, aunque quizás pueda instalarse también en dispositivos más pequeños.

Estas soluciones no están aún disponibles para los usuarios finales, aunque ya se encuentran en un estado avanzado de desarrollo, y se espera su lanzamiento para finales de 2012 o comienzo de 2013.

¡Un saludo!

Fotos de WorldSkills Londres 2011

2011-10-05T20:45:00.001+02:00

Hola!

Os paso unas fotos de WorldSkills Londres 2011, donde estoy participando como jurado de la especialidad Administración de Sistemas en Red.

Ayer fue la ceremonia de inauguración, que se celebró en el O2 Arena y contó con la intervención de Nick Clegg, vicepresidente de UK.

Aquí podéis ver el momento en el que la selección española salió a escena:

Hoy, por fin, ha comenzado la competición y los estudiantes han empezado a realizar las pruebas. Esta es la pinta que tiene nuestra zona:

Ésta es Tamara Beisti, la representante de España en esta especialidad, al haberse proclamado campeona en el último SpainSkills.

Y éste es el equipamiento con el trabaja cada competidor:

2 servidores
1 portátil
1 teléfono IP
1 Punto de Acceso
2 routers
3 switches

Ya os iré contando cómo va todo. ¡Un saludo!

WorldSkills 2011 - Londres

2011-09-19T07:58:00.000+02:00

Hola!

Durante el próximo mes de Octubre se celebrará en Londres la Olimpiada WorldSkills International, una competición en la que participan jóvenes menores de 23 años de todo el mundo. En esta edición, más de 1000 competidores llegados de 50 países distintos se enfrentarán en un emocionante duelo para demostrar que son los mejores en cada una de las 45 modalidades existentes. Las modalidades o skills en competición cubren un montón de profesiones diferentes, incluyendo diseño de aeronaves, cocina, moda, jardinería, mecánica, electricidad... y, por supuesto, informática.

Vídeo de presentación de WorldSkills London 2011

Yo voy a participar como experto y jurado en el skill Administración de Sistemas en Red, en el que los participantes tendrán que demostrar sus habilidades realizando diferentes tareas:

Montaje de equipos. Particionado de discos. RAID y volúmenes lógicos. Instalación de sistemas operativos. Clonado de equipos. Instalación de aplicaciones.
Configuración de encaminadores físicos y sistemas operativos como encaminadores. Enrutamiento dinámico. Redes Privadas Virtuales (IPsec, L2TP, SSL/TLS). Conexión con redes WAN. NAT.
Cortafuegos físicos (Cisco) y por software (IPTables, Microsoft Forefront TMG).
Configuración de switches. QoS,Trunk, EtherChannel, VLANs, Mirroring, 802.1x...
Redes inalámbricas. Configuración de AP. Seguridad en dispositivos inalámbricos (WPA2, EAP, PEAP ...)
Implantación y uso de sistemas de virtualización. (Xen, VMWare)
Instalación y configuración de servicios de red : DNS, DHCP, SMTP, FTP, LDAP, Kerberos, HTTP...
VoIP

El patrocinador de esta especialidad es Cisco, por lo que todos dispositivos de interconexión y de VoIP serán de este fabricante, mientras que los Sistemas Operativos a usar serán Ms Windows 2008S R2, Ms Windows 7 y Debian 6.

La competición se llevará a cabo durante 4 días que representan 4 escenarios diferentes: Home and business computing, Small business networking, WAN networking and services y Network security and management. En las siguientes imágenes podéis ver el esquema que representa la infraestructura y las tareas que en las que tendrán que trabajar durante la competición, en un enunciado de muestra que se le ha pasado a los competidores para que vayan familiarizándose con el tipo de prueba que tendrán que superar:

Ejemplo de escenario para la prueba Small business networking

Ejemplo de escenario para la prueba Network security and management

En el skill Administración de Sistemas en Red participarán 28 países y España estará representada por Tamara Beisti Rojo, una estudiante de Formación Profesional del IES Comercio de La Rioja, que fue la ganadora del campeonato de España SpainSkills celebrado en Madrid este pasado mes de Abril.

Desde que finalizó SpainSkills, tanto Tamara como el resto de los campeones de las 35 especialidades en los que participará España, han estado estudiando y preparándose para Londres trabajando junto con los patrocinadores, que se han volcado en la formación de nuestros competidores.

Estamos seguros de que todos harán un gran papel y estaremos muy orgullosos de sus resultados. ¡Mucha suerte!

Introducción a los Sistemas Informáticos

2011-09-17T21:41:00.003+02:00

Hola!

Durante este curso, voy a impartir la asignatura Fundamentos Hardware del Ciclo Formativo de Grado Superior Administración de Sistemas en Red, así que iré subiendo al blog todo el material que vaya preparando para las clases.

En esta entrada voy a enlazar la presentación del primer tema, Introducción a los sistemas informáticos, en la que se explica en qué consiste un SI, cuáles son sus componentes, se hace un repaso histórico de la evolución de los ordenadores y se presentan los tipos de ordenadores que existen en la actualidad, clasificados por su potencia y tamaño.

Introducción a los sistemas informáticos

View more presentations from Jesus Moreno Leon.

Un saludo!

Guía de Seguridad en Facebook

2011-08-29T08:58:00.003+02:00

Hola!

Desde Facebook han publicado una guía con consejos de seguridad para los usuarios de esta red social. Se trata de un documento en el que se explican los riesgos de algunas acciones que, en ocasiones, algunos usuarios realizan demasiado alegremente, recomendando una serie de buenas prácticas para aprender a proteger tu cuenta, evitar a los estafadores, utilizar las opciones avanzadas de seguridad, frenar a los impostores o recuperar una cuenta hackeada.

La mayoría de los consejos pueden aplicarse en realidad a cualquier sitio que uses en internet, por lo que considero que es una guía interesante para utilizar con estudiantes jóvenes que han comenzado a usar las redes sociales hace no demasiado tiempo.

Los trucos que se explican se podrían resumir en la siguiente lista:

Acepta sólo amigos que conozcas
Crea una buena contraseña y úsala solo en Facebook
No compartas tu contraseña
Cambia la contraseña regularmente
Comparte tu información personal solo con amigos y compañías que la necesiten
Haz un LogIn solo una vez por sesión. Si parece que Facebook te está solicitando que hagas el LogIn de nuevo, no pulses sobre ningún enlace y escribe www.facebook.com directamente en la barra de direcciones del navegador.
Usa contraseñas de una sola sesión cuando utilices un ordenador que no sea el tuyo
Acostúmbrate a cerrar tu sesión cuando termines de usar Facebook, especialmente si has usado un ordenador que no es el tuyo.
Usa la navegación segura (https) siempre que sea posible
Descarga Apps solo desde sitios en los que confíes
Mantén tu antivirus y navegador actualizados
No copies código o direcciones en tu navegador
Usa add-ons como Web of Trust o NoScript para evitar que tu cuenta sea secuestrada
Ojo con los mensajes raros o tontos de tus amigos. Si crees que tu amigo no escribiría eso, no pinches en el enlace, ya que la cuenta de tu amigo podría haber sido hackeada.

Un saludo!

Wikicode, un repositorio libre de código fuente

2011-08-18T16:09:00.004+02:00

Hola!

A través del boletín de noticias de Informática64, hoy he conocido Wikicode, un repositorio de código fuente en castellano, en el que todo el contenido que comparten los usuarios de la comunidad se distribuye con una licencia Attribution 3.0 Unported (CC BY 3.0).

En la lista de categorías podemos encontrar artículos que muestran el funcionamiento de estructuras de control, páginas sobre expresiones regulares, bases de datos y varias decenas de lenguajes de programación.

A pesar de tratarse de un proyecto joven, que nació en Febrero de este año 2011, ya cuenta con bastantes artículos publicados, por lo que creo que es un buen sitio de referencia tanto para gente que está comenzando a programar, como para profesionales que quieran compartir sus conocimientos o realizar alguna consulta puntual.

¡Un saludo!

Libro "Hacking con buscadores: Google, Bing & Shodan"

2011-08-10T17:15:00.004+02:00

Hola!

Este verano estoy aprovechando para leer todo lo que no he podido durante el año y, entre novela y novela, también estoy leyendo cosas de informática. Acabo de terminar el libro Hacking con buscadores: Google, Bing & Shodan y lo cierto es que me ha encantado.

Está escrito por Enrique Rando, director de informática de la delegación de empleo de la Junta de Andalucía en Málaga, y editado por Informática64. Es un libro muy recomendable, en el que el autor nos va guiando por el proceso de recopilación de datos que se realiza durante un test de intrusión. Está lleno de ejemplos prácticos con los que he aprendido un montón de trucos y con los que se me han ido ocurriendo ejemplos y prácticas para mis clases de Seguridad Informática.

De hecho, no es el único libro de la colección de I64 que tengo, y todos me están gustando mucho. Creo que son una iniciativa magnífica; ¡enhorabuena por esta gran idea!

¡Un saludo!

Feliz día del administrador de sistemas

2011-07-29T19:28:00.005+02:00

Hola!

Hoy se celebra el día de los administradores de sistemas, así que quiero felicitar a todos los sysadmins (tanto a los que ya ejercen como a los que lo son en potencia) que conozco. En especial, me gustaría felicitar a Alberto Molina por el gran trabajo que hace con los servidores del instituto... ¡eres un crack, Alberto!

En la web sysadminday.com puedes encontrar un montón de ideas por si quieres tener un detalle bonito con tu administrador de sistemas, y además nos recuerdan cuándo y cómo debe celebrarse este precioso día:

System Administrator Appreciation Day is on the Last Friday of July. Always has been on the Last Friday of July. It has never been on any other day of the week or any other month. It has never been on a Saturday. Whatever day the last Friday of July is in your own country, as long as it is the Last Friday of July. Sysadmin Day is a 24 hour event, for the entire Last Friday of July. From the first minute of Friday, to the last minute of Friday. Celebrate Sysadmin Day in your own local time-zone, for the entire Last Friday of July. A �day� is defined as the twenty-four hour period starting at 12:00:01 a.m. and ending at 11:59:59 p.m.

Así que ya sabes, ¡¡felicita a tu sysadmin!!

SNMPv3 - Configuración en Debian 6 Squeeze

2011-05-11T10:47:00.009+02:00

¡Hola!

En las entradas anteriores, en las que hemos estudiado el protocolo SNMP, ya hemos hablado de que la gestión de la seguridad en las versiones 1 y 2 era prácticamente nula, ya que se basan en el concepto de comunidad y utilizan una cadena de texto, enviada en texto plano, para su gestión.

SNMPv3 sí ofrece un acceso seguro a los dispositivos, de forma que se puede acceder a los datos sin temor a que se modifiquen por el trayecto y, además, la información confidencial (como un cambio en la configuración de un router) puede ser cifrada para prevenir que su contenido quede expuesto en la red. Con SNMPv3 podemos tener, por tanto, las siguientes funcionalidades:

Integridad del mensaje: asegura que un paquete recibido no ha sido modificado.
Autenticación: determina que el mensaje proviene de una fuente válida.
Cifrado: asegura la confidencialidad del paquete, evitando que pueda ser leído por un usuario no autorizado.

Dentro de SNMPv3, tenemos 3 niveles de seguridad: noAuthnoPriv, authNoPriv y authPriv.

Un ejemplo práctico

Vamos a ver el protocolo en funcionamiento. Para ello usaremos las utilidades net-snmp, que ya vimos en la entrada anterior cómo instalar y configurar en una máquina Debian.

Para configurar el agente snmpd de la máquina Debian, de forma que se pueda usar SNMPv3 para el acceso a la información, tenemos que editar varios ficheros, pero es más sencillo si utilizamos el programa net-snmp-config.

Lo primero que tenemos que hacer es detener el agente para que podamos crear nuestro primer usuario y darle permisos para que pueda realizar consultas o llevar a cabo modificaciones de los objetos.

# /etc/init.d/snmpd stop

Con la siguiente orden creamos el usuario "prueba" con contraseña "asdasd123", utilizando MD5 y DES para la seguridad:
(NOTA: Debes tener openssl instalado)

# net-snmp-config --create-snmpv3-user -a asdasd123 prueba

Por defecto, el programa añade una línea al fichero /etc/snmp/snmpd.conf que concede al usuario creado acceso de lectura y escritura. Editando el fichero podemos cambiar los permisos.

Vamos a iniciar el agente de nuevo para poder probar su funcionamiento:

# /etc/init.d/snmpd start

La siguiente orden solicita al agente localhost el OID 1.3.6.1.2.1.1.4.0, que es sysContact, utilizando el usuario prueba:

$ snmpget -v 3 -u prueba -l authPriv -a MD5 -A asdasd123 -x DES -X asdasd123 localhost 1.3.6.1.2.1.1.4.0

iso.3.6.1.2.1.1.4.0 = STRING: "Chen "

Y esta otra orden solicita sysLocation:

$ snmpget -v 3 -u prueba -l authPriv -a MD5 -A asdasd123 -x DES -X asdasd123 localhost 1.3.6.1.2.1.1.6.0

iso.3.6.1.2.1.1.6.0 = STRING: "Instituto"

En la siguiente imagen podemos ver una captura con wireshark en la que se puede observar cómo, efectivamente, tras realizarse la autenticación, la información viaja cifrada, asegurando su integridad y confidencialidad:

¡Un saludo!

SNMP en Debian 6 Squeeze

2011-05-10T20:22:00.008+02:00

¡Hola!

Siguiendo con esta serie de artículos sobre SNMP (Introducción, MIBs y mensajes), hoy vamos a ver cómo configurar un agente SNMP en Debian 6 Squeeze. Para instalar el servicio hay que instalar el paquete snmpd:

#aptitude install snmpd

El fichero de configuración que debemos editar para ajustar el agente a nuestros requisitos es /etc/snmp/snmpd.conf. Sin embargo, la sintaxis del fichero no es muy cómoda y la documentación que se puede encontrar en Internet está dirigida a versiones antiguas del paquete. Tras tirarme un rato trasteando con el fichero, mi compañero Alberto Molina me ha aconsejado que le echara un vistazo al archivo /usr/share/doc/snmpd/README.Debian, que contiene lo siguiente:

The default configuration for snmpd is rather paranoid for security
reasons.  Edit /etc/snmp/snmpd.conf or run snmpconf to allow greater
access.

The snmpconf program provides a simple, menu driven way of configuring
the snmp applications and daemons.

La configuración por defecto de snmpd es bastante paranoica por
motivos de seguridad. 
Edita el fichero /etc/snmp/snmpd.conf o ejecuta el script snmpconf
para permitir mayor acceso. 

EL programa snmpconf ofrce una forma sencilla, basada en menús,
de configurar las aplicaciones y daemons snmp.

Y la verdad es que la configuración del servicio utilizando snmpconf es mucho más sencilla. Para poder usarlo es necesario instalar el paquete snmp, que contiene varias utilidades:

#aptitude install snmp

Y ya podemos lanzarlo:

#snmpconf

El programa nos va realizando preguntas para ayudarnos a crear el fichero de configuración de acuerdo a nuestras necesidades. La primera pregunta es si queremos reutilizar el contenido de los ficheros de configuración ya existentes. Podemos reutilizar snmp.conf y snmptrapd.conf.

A continuación se nos pregunta por el fichero que queremos crear; en nuestro caso snmpd.conf. Y nos muestra las secciones de las que se compone el fichero para que vayamos configurándolo. Podemos comenzar por la sección de control de acceso:

Si vamos a trabajar con la versión 2 de SNMP (lo más habitual, pero mucho más inseguro que SNMPv3), tendremos que configurar las opciones 3 y/o 4, para crear una comunidad de lectura y otra de lectura y escritura.

Si elegimos la opción 3 nos pedirá el nombre de la comunidad, las direcciones de las máquinas desde las que se pueden realizar peticiones al agente snmpd y los objetos sobre los que se pueden realizar peticiones.

Y las mismas preguntas para la opción 4:

Esta sería una configuración muy básica (y muy insegura), pero que nos vale para comprobar el funcionamiento del protocolo en una máquina Linux. Ya podríamos ir saliendo de los menús para abandonar el programa:

Por último, tendríamos que reiniciar el servicio:

#/etc/init.d/snmpd restart

Podemos comprobar el correcto funcionamiento de nuestro agente con cualquier NMS o MIB Browser, como BlackOwl MIB Browser:

En las próximas entradas seguiremos estudiando el protocolo SNMP, centrándonos en los aspectos relacionados con su seguridad.

¡Un saludo!

Introducción a SNMP III

2011-05-09T16:59:00.017+02:00

¡Hola!

En las entradas anteriores hemos realizado una introducción a SNMP, estudiando sus componentes y arquitectura, y hemos profundizado en los MIBs y el árbol de información de gestión. Hoy nos vamos a centrar en los mensajes SNMP.

Para alcanzar el objetivo de ser un protocolo simple, SNMP propuso un conjunto limitado de órdenes y respuestas de gestión. La versión inicial del protocolo tenía tan sólo 5 operadores:

Get, para obtener o leer el valor de una o más instancias de un objeto.
GetNext, muy similar a Get, se diferencia en que esta operación obtiene el valor del siguiente OID del árbol
Set, para escribir o establecer el valor de una o más instancias de un objeto.
Trap, que son mensajes enviados por los agentes a los NMS para informar de que se ha producido un cierto evento
Response, son las respuestas desde los agentes a los NMS que contienen los valores solicitados.

SNMPv2 introdujo 2 operadores nuevos:

GetBulk, se introdujo como una mejora de las peticiones Get Next, cuando hay que obtener datos de una tabla (como la información de las interfaces de red de un equipo o su tabla de encaminamiento).
Inform, un mensaje muy similar a trap pero que incluye una confirmación desde el NMS al recibir el mensaje.

GET⁄ GET NEXT⁄ GET BULK⁄ SET

TRAP

INFORM

Para ver el funcionamiento de SNMP en acción y poder realizar algunas capturas con WireShark, necesitamos un NMS y algún dispositivo SNMP. Para ello podéis usar vuestro router casero, un switch o vuestra propia máquina.

Yo voy a utilizar una máquina virtual Windows XP en la que he instalado el servicio SNMP (Inicio->Agregar o quitar programas -> agregar componentes de windows -> herramientas de administración y supervisión -> SNMP). Una vez instalado podemos configurar el agente y definir sus detalles. Por ejemplo, podemos establecer el nombre de contacto, que será la información contenida en el valor del objeto sysContact, o la localización, que será el valor de sysLoc, ambos del grupo System.

Si nos vamos a la pestaña seguridad, vemos que por defecto sólo se crea la comunidad public, que tiene derechos de sólo lectura. Una comunidad (community string) es algo parecido a una contraseña en texto plano (y por tanto muy insegura). En la próxima entrada hablaremos de la seguridad del protocolo y de SNMPv3.

Podemos crear una nueva comunidad con permisos de lectura y escritura:

Una vez realizados los cambios hay que reiniciar el servicio.

Como NMS vamos a usar la aplicación Blackowl MIB browser. En la imagen podéis ver cómo he seleccionado el equipo sobre el que quiero trabajar (escribiendo su IP en el campo Host), he ido navegando por el árbol hasta los objetos del grupo system y he realizado tres operaciones get para obtener el valor de los objetos sysdescr, sysContact y sysLocation. Como la comunidad de las operaciones de lectura está establecido por defecto a public, no hay que configurar nada:

Como podéis ver, los valores que nos devuelve el agente son los que establecimos previamente en el equipo.

Si os fijáis, el objeto sysLocation se puede modificar desde el NMS, ya que su acceso es readwrite. ¡Vamos a cambiarlo! Para ello, tenemos que facilitarle a nuestro NMS los datos de la comunidad de escritura del agente. Tenemos que irnos a las propiedades, seleccionar SNMPv2 y escribir el community string adecuado.

Si realizamos la operación Set sobre el objeto sysLocation, nos salta una nueva ventana solicitando el valor a escribir en el agente:

Si nos vamos al equipo y observamos las propiedades SNMP podemos comprobar que, efectivamente, el valor de SysLocation se ha modificado:

Para terminar os dejo un par de imágenes de la captura realizada con WireShark al realizar la operación get sobre el objeto sysContact y su respuesta desde el agente:

¡OJO! Después de realizar las pruebas, deberías deshabilitar o asegurar SNMP en tus equipos, no vaya a ser que tus equipos comiencen a hacer cosas raras...

En el próximo artículo hablaremos, precisamente, de la seguridad del protocolo y de SNMPv3.

¡Un saludo!

Fuentes:
http://www3.rad.com/networks/applications/snmp/comp.htm
http://www.manageengine.com/network-monitoring/what-is-snmp.html

Introducción a SNMP II

2011-05-08T18:04:00.008+02:00

¡Hola!

En este post seguiremos estudiando el protocolo SNMP. Tras realizar una introducción histórica en la entrada anterior y estudiar los componentes y arquitectura del protocolo, hoy nos centraremos en los MIBs.

Ya vimos en el post anterior que cada dispositivo gestionado contiene un agente, que accede a la información del dispositivo físico y la hace accesible (y, en ocasiones, configurable) al NMS. Por ejemplo, un agente podría responder a una petición informando del número de bytes transmitidos por una interfaz. Estas variables que contienen esta información de los dispositivos son conocidas como objetos gestionados. Una colección de objetos gestionados descrita en un documento se llama MIB, por lo que podríamos decir que los ficheros MIB forman el conjunto de consultas que un NMS puede realizar a un agente.

El árbol de información de gestión

Toda la información de gestión está definida de forma que cada objeto gestionado en cualquier módulo MIB, ya sea estándar o privado, tiene un identificador único, llamado identificador del objeto (object identifier, OID). El OID es un string de enteros, separados por puntos, que coloca el objeto en un nodo de un árbol lógico conocido como el árbol de información de gestión. Los enteros representan los nodos en el camino desde la raíz hasta el propio objeto. Cada nodo tiene una etiqueta, que es el entero asociado al propio nodo, y una breve descripción.

Por razones históricas, se mantienen algunos nodos que son irrelevantes para nosotros y que hacen que los object identifiers sean más largos de lo necesario. En la siguiente figura podemos ver parte del árbol.

Los objetos que son de nuestro interés están bajo el nodo mib-2, bajo el nodo snmp v2 y los que se encuentren bajo el nodo enterprises. Veremos que los objetos gestionados que están relacionados se encuentran organizados en grupos y subgrupos, de manera que no tengamos miles de nodos colgando directamente del nodo mib-2, por ejemplo.

Para echar un vistazo al árbol de información de gestión, podemos descargar un MIB browser como tkmib, disponible en el repositorio de Debian y Ubuntu:

$sudo aptitude install tkmib
$tkmib &

Si navegamos hasta el grupo system, dentro del nodo mib-2, veremos todos los objetos gestionados de este grupo, como sysDescr, sysUpTime, sysName, sysLocation...

En la imagen se puede observar cómo, al seleccionar el objeto SysDescr, podemos ver su OID, su tipo, su modo de acceso, su descripción...

Existen 2 tipos de objetos gestionados, escalares y tabulares:

Los objetos escalares, como el SysUpTime, son aquellos que sólo pueden devolver un resultado, ya que definen una instancia única de un objeto (una única hoja en el árbol).
Para los objetos tabulares, sin embargo, pueden aparecer múltiples instancias (múltiples hojas en el árbol). Pensemos, por ejemplo, en un dispositivo con varias tarjetas de red; en este caso habrá una instancia del objeto IfSpeed por cada una de las tarjetas del equipo.

En la próxima entrada seguiremos estudiando el protocolo SNMP, centrándonos en los mensajes de gestión y la seguridad del protocolo.

¡Un saludo!

Fuentes:
http://www3.rad.com/networks/applications/snmp/comp.htm
http://www.manageengine.com/network-monitoring/what-is-snmp.html

Introducción a SNMP

2011-05-08T10:16:00.007+02:00

¡Hola!

Durante esta semana, voy a dedicar una serie de entradas a estudiar el protocolo SNMP, Simple Netowork Management Protocol - Protocolo de gestión simple de la red, basándonos en el genial artículo de Debby Koren, "Dean" RAD University.

Un repaso histórico

Antes de la aparición de SNMP, si querías gestionar un conjunto de dispositivos de red, debías tener estaciones dedicadas de gestión, quizás con varias ventanas para diferentes tipos de información (estadísticas, actividad, etc) que eran específicas de cada fabricante. De hecho, era raro que un fabricante tuviera una estación de gestión común para todos sus dispositivos.

No existía un protocolo común, sino una gran cantidad de protocolos propietarios. SNMP se desarrolló para tratar de resolver este problema, ofreciendo un protocolo de gestión de la red estandarizado de forma que se pudiera emplear una tecnología común para intercambiar información de forma consistente entre los diferentes dispositivos de la red, aunque fueran de fabricantes distintos.

Desde que se publicó el primer RFC de SNMP hace más de 20 años, SNMP ha sido actualizado varias veces y se ha convertido en un estándar que se implementa en prácticamente todos los dispositivos de red. Aunque se diseñó pensando en elementos de Internet, se pueden encontrar todo tipo de dispositivos que lo soportan, como equipos de aire acondicionado. También se puede usar SNMP para gestionar sistemas software. SNMP puede utilizarse para monitorizar, configurar y obtener información de dispositivos o programas usando impresionantes interfaces gráficas en equipos de gestión carísimos, o usando un software de gestión gratuito o, incluso, desde la CLI.

Componentes y Arquitectura

Hay 4 componentes básicos en SNMP:

Nodos gestionados o elementos de la red, que cuentan con un agente (agent).
Como mínimo, una estación de gestión de la red (NMS)
Información de gestión
Un protocolo de gestión de la red, que usan el NMS y los agentes para intercambiar la información de gestión

Un nodo gestionado puede ser cualquier sistema, incluyendo un sistema software, que tiene algún tipo de conectividad de red. De hecho, al comienzo del desarrollo de SNMP, con el objetivo de demostrar la versatilidad del protocolo, la compañía Epilogue mostró cómo se podía usar SNMP para gestionar una tostadora.

El agente que contiene cada nodo de gestión implementa el protocolo SNMP. El agente es capaz de enviar, recibir y parsear mensajes SNMP. El agente interactúa con el dispositivo físico y obtiene la información necesaria para responder las consultas del NMS y para enviar mensajes trap (mensajes de notificación). El agente también es capaz de realizar cambios en la configuración del dispositivo, siguiendo las instrucciones de las peticiones del NMS. Los agentes, por tanto, tienen que contar con una configuración de control de acceso, para gestionar los privilegios de lectura y escritura.

Una estación de gestión de la red (NMS) es un host que es capaz de enviar peticiones SNMP y de recibir y parsear respuestas SNMP y mensajes trap hacia/desde los nodos gestionados. Existen muchos NMS software comerciales que ofrecen muchas funcionalidades, como la capacidad de "descubrir" los nodos gestionables de la red, mostrar gráficamente los nodos en un mapa de la red, usar iconos para cada tipo de nodo, mostrar información del estado, estadísticas, etc.

El tercer componente de SNMP es la información de gestión, que es, evidentemente, la información que intercambian los agentes y el NMS. Usaremos el término objeto gestionado para referirnos a una unidad de información de gestión. ¡Ojo! No hay que confundir un objeto gestionado con un dispositivo gestionado, no es lo mismo. Un objeto gestionado es un concepto abstracto, es la definición de algún tipo de información. Por ejemplo, supongamos que tenemos un dispositivo que puede cambiar de color; podríamos definir un objeto gestionado llamado "color" y su definición correspondiente sería "el color del dispositivo".

A una colección de objetos gestionados relacionados, que se definen en un documento, se le llama módulo MIB (Management Information Base). Veremos que hay algunos módulos MIB estándar, a los que se les llama simplemente MIBs, que todos los dispositivos SNMP deben soportar. Hay otros módulos MIB estándar que deberían ser soportados sólo por dispositivos para los que el MIB es relevante, y otros MIB privados, específicos para un determinado fabricante, que contienen definiciones de objetos gestionados para sus equipos.

Por ejemplo, todos los dispositivos gestionables por SNMP deben contar con cierta información, como una dirección IP, para que se considere que cumplen con el protocolo SNMP; este tipo de información debería estar definida en un MIB estándar que todos los dispositivos deben soportar. Si el dispositivo tiene una interfaz Ethernet, entonces debería ser capaz de ofrecer cierta información, como el número de colisiones, y esta información se define en un MIB Ethernet, que todos los dispositivos con una interfaz Ethernet deben soportar. Por último, un fabricante de switches, por ejemplo, podría ofrecer una funcionalidad que hace sus dispositivos más atractivos a los clientes: el switch puede cambiar de color para mimetizarse con el armario. El fabricante tiene que ofrecer, por tanto, un MIB privado que contendría un objeto gestionado para este propósito.

Por tanto, los MIBs contienen los objetos gestionados que representan los recursos, la configuración, el estado, etc, de un sistema. Los objetos gestionados tienen valores asignados para representarlos, pero no son el propio valor. Por ejemplo, siguiendo con el ejemplo del objeto gestionado "color", su definición sería "el color del dispositivo" y su valor asignado podría ser 0 para negro, 1 para rosa, 2 para gris, 3 para verde, etc. En este caso, el objeto sería un entero, y el valor del entero representaría el color. Sería precisamente el valor del objeto gestionado lo que sería monitorizado y modificado por un NMS.

Y esto nos lleva al último componente de la arquitectura de gestión: el protocolo de gestión de la red. Pero, espera un momento, ¿no esto lo que llamamos 'SNMP'? ¿No es SNMP el protocolo de gestión de la red? SNMP es eso y más cosas, ya que define los MIBs, la arquitectura y el protocolo de intercambio de mensajes. A este último aspecto, el protocolo de intercambio de mensajes entre los nodos gestionados y el NMS, incluyendo el tipo de los mensajes y los formatos, es al que se llama protocolo de gestión de la red.

Veremos en la próxima entrada que hay varios tipos de mensajes SNMP, que permiten al NMS leer y/o escribir información, y permiten a los agentes enviar mensajes trap para notificar o alarmar de una cierta situación.

Arquitectura de gestión

SNMP emplea una arquitectura cliente-servidor tal y como se muestra en la figura siguiente:

Como es el NMS el que inicia las peticiones SNMP, mientras los agentes en los diferentes dispositivos gestionados (router, switch, servidor y tostadora) esperan de forma pasiva estas consultas, podemos decir que el NMS es el cliente y los agentes los servidores. Los agentes escuchan peticiones en el puerto UDP 161.

Sin embargo, SNMP contiene también el protocolo para la gestión de traps. Como ya se ha mencionado, traps son mensajes no solicitados por el NMS que se envían por los agentes para informar de eventos poco usuales o para alarmar sobre una cierta situación. Como el agentes es quien inicia la conexión, en este caso los agentes son los clientes y los NMS los servidores, que escuchan en el puerto UDP 162.

En las próximas entradas seguiremos hablando de SNMP, profundizando en los MIBs, los mensajes de gestión y la seguridad del protocolo.

¡Un saludo!

RIP v2 en Linux con Quagga

2011-04-13T16:21:00.008+02:00

¡Hola!

Hoy vamos a ver cómo se configura el encaminamiento dinámico en routers Linux, ya que no lo soportan de forma nativa. Para ello vamos a utilizar la suite Quagga, que incorpora implementaciones de OSPFv2, OSPFv3, RIP v1 y v2, RIPng y BGP-4 para plataformas Unix (FreeBSD, Linux, Solaris y NetBSD) y permite modificar la configuración de los equipos a través de las órdenes típicas del Cisco IOS.

Arquitectura de Quagga

Quagga está compuesto por varios daemons que trabajan de forma colaborativa para construir la tabla de encaminamiento. Por ejemplo, el daemon ripd maneja el protocolo RIP, mientras el daemon ospfd es el que soporta el protocolo OSPF. Para realizar los cambios en la tabla de encaminamiento del kernel y para la redistribución de las rutas entre diferentes protocolos, se utiliza el daemon zebra.

Instalación

Si quisiéramos realizar una instalación en producción con una configuración compleja, sería preferible descargar el código para configurarlo y compilarlo con las opciones deseadas. Para este ejemplo, sin embargo, instalaremos el paquete disponible en el repositorio de Debian.

#aptitude install quagga

Los daemons de quagga tienen su propio terminal o VTY (un CLI) al que nos conectaremos por telnet para su configuración. Tras la instalación, podemos comprobar cómo se han añadido al fichero /etc/services las siguientes entradas:

Configuración de RIPv2

La primera tarea consiste en editar el fichero /etc/quagga/daemons para activar los protocolos que queremos configurar en nuestra máquina y reiniciar el servicio:

#nano /etc/quagga/daemons

zebra=yes
bgpd=no
ospfd=no
ospf6d=no
ripd=yes
ripngd=no

#/etc/init.d/quagga restart

A continuación tenemos que crear un fichero de configuración para cada daemon activado. Cada daemon tiene asociado un fichero con un nombre específico:

zebra:
bgpd:
ospfd:
ospf6d:
ripd:
ripngd:

zebra.conf
bgpd.conf
ospfd.conf
ospf6d.conf
ripd.conf
ripngd.conf

Para crear los ficheros de configuración, podemos copiar los archivos de ejemplo que incorpora la documentación:

#cp /usr/share/doc/quagga/examples/zebra.conf.sample /etc/quagga/zebra.conf
#cp /usr/share/doc/quagga/examples/ripd.conf.sample /etc/quagga/ripd.conf

Para terminar, tenemos que cambiar los permisos, el propietario y el grupo de estos ficheros:

#chown quagga:quaggavty /etc/quagga/*.conf
#chmod 640 /etc/quagga/*.conf

Y reiniciamos el servicio:

#/etc/init.d/quagga restart

Ya podemos comenzar a configurar el encaminamiento dinámico, para lo que nos conectaremos por telnet al VTY del daemon ripd. Nos pedirá una contraseña: por defecto es zebra, pero puedes cambiarla en el fichero /etc/quagga/ripd.conf:

#telnet localhost ripd

Trying ::1...
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.

Hello, this is Quagga (version 0.99.15).
Copyright 1996-2005 Kunihiro Ishiguro, et al.

User Access Verification

Password:
ripd>

Y ya podríamos configurar nuestra máquina Linux para trabajar con RIP usando los comandos típicos del Cisco IOS:

ripd> enable
ripd# configure terminal
ripd(config)# router rip
ripd(config-router)# network 10.0.0.0/8
ripd(config-router)# network 20.0.0.0/8
ripd(config-router)# exit
ripd(config)# exit
ripd# write
Configuration saved to /etc/quagga/ripd.conf

Aquí puedes encontrar todas las opciones de configuración de RIP con Quagga, pero si lo has hecho alguna vez con un router Cisco verás que las órdenes son prácticamente iguales. Aquí tienes la guía de configuración de RIP en dispositivos Cisco.

NOTA: ¡no olvides activar el bit de forwarding para que tu máquina enrute!

#echo "1" > /proc/sys/net/ipv4/ip_forward

Y si quieres que perdure tras un reinicio:

#echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf

Cableado estructurado

2011-04-12T09:45:00.007+02:00

¡Hola!

Os paso las diapositivas que hemos utilizado para trabajar el tema de cableado estructurado en el curso de Planificación y administración de redes.

En ellas, tras una introducción en la que se presentan las características de las redes de área local y los medios de transmisión y dispositivos de interconexión más utilizados en su construcción, podéis encontrar información sobre la normativa de cableado estructurado:

Ejemplos reales de instalaciones que no cumplen la normativa

Ejemplos de instalaciones que sí la cumplen

Problemas de las instalaciones que no siguen las normas
Objetivos de la normativa de cableado estructurado
Conjunto de subsistemas: Entrada de servicios, Sala de equipamiento, Cableado troncal, Armarios de distribución, Cableado horizontal y Área de trabajo

Organización de los repartidores
Cálculo de armarios necesarios
Reglas de dimensionamiento del PAT
Separación entre el cableado eléctrico y el de datos
Recomendaciones de instalación del cableado
Fibra óptica: tipos, comercialización, kits de fan-out
Parámetros de calidad de transmisión
Comprobadores de una instalación de red (Demo online)

Espero que podáis aprovecharlas. ¡Un saludo!

SpainSkills 2011, Soporte de redes

2011-04-01T16:31:00.004+02:00

Hola!

Desde mañana voy a estar trabajando en la organización de SpainSkills 2011 como parte del jurado del skill 39, soporte de redes.

La competición comienza el día 4 con una ceremonia de inauguración, las pruebas serán del día 5 al 8 y la ceremonia de clausura será el día 9. Esperemos que ese día podamos celebrar la victoria del estudiante andaluz del IES Gonzalo Nazareno de Dos Hermanas, José Manuel Ferrete. Este año podrá seguirse toda la competición en directo a través de internet.

Para ir abriendo boca, os dejo el vídeo de presentación para la prensa:

Un saludo!

NetGUI, un ejemplo práctico

2011-03-29T05:24:00.008+02:00

¡Hola!

Hace un tiempo ya os hablaba de NetGUI, un simulador de redes libre, al estilo de Packet Tracer, pero pensado para trabajar con máquinas GNU/Linux. Hoy vamos a ver cómo podemos utilizarlo para, por ejemplo, ilustrar el funcionamiento de NAT y su configuración en una máquina Debian.

El escenario con el que vamos a trabajar es el siguiente:

Tenemos una red local con dos equipos (pc1 y pc2) en la red 192.168.1.0/24 conectados a Internet a través del router gateway. Este router está conectado con el encaminador del ISP (red 80.0.0.0) e Internet está representado por 2 sevidores web (red 90.0.0.0).

En las siguientes imágenes vemos cómo se han configurado las interfaces de red y las tablas de encaminamiento de cada máquina:

Si en este momento tratamos de hacer ping desde la red local a cualquier máquina de Internet, es evidente que no vamos a lograrlo, ya que tenemos un direccionamiento privado y nuestro gateway no está realizando NAT. Las máquinas que no pertenecen a la red local no van a saber cómo contestar nuestras peticiones de echo.

Vamos a cofigurar nuestro router gateway para que haga NAT, de forma que todo el tráfico que envíe por su interfaz eth1 va a ser modificado, sustituyendo la IP origen de cada datagrama por su IP pública (80.0.0.2):

Si volvemos a realizar los ping a las máquinas de Internet desde nuestra red local, comprobamos que ahora sí llegan sin problemas:

Si comprobamos los contadores de IPTables, vemos cómo, efectivamente, la regla que hemos creado está siendo utilizada correctamente:

NetGUI es una herramienta muy interesante que permite crear escenarios complejos para probar diferentes configuraciones, así que os recomiendo que le echéis un vistazo.

¡Un saludo!

Conectar 2 routers Cisco - Interfaces Serial

2011-03-26T17:55:00.006+01:00

Hola!

Para conectar 2 routers Cisco a través de sus interfaces serial, se puede usar un cabe serie nulo uniendo un cable DCE con uno DTE.

Por defecto, los routers Cisco son DTEs (Data Terminal Equipment). Esto puede suponer un problema cuando conectamos 2 routers directamente, porque uno de los dos tiene que actuar como DCE (Data Circuit-Terminating Equipment) en esta conexión.

El DCE debe enviar el clock rate al DTE, así que hay que configurarlo. Los cables DCE/DTE llevan estampado físicamente en el propio conector las letras correspondientes para identificarlos, ¿pero qué ocurre si no podemos verlo? Podemos usar el comando show:

R1#show controller serial 1
HD unit 1, idb =..., driver structure ...
buffer size 1524 HD unit 1, V.35 DTE cable

R2#show controller serial 1
HD unit 1, idb = ..., driver structure ...
           buffer size 1524 HD unit 1, V.35 DCE cable

Una vez que sabemos cuál es el equipo que actuará como DCE hay que configurar el clockrate en él para que se lo envíe al equipo DTE:

R2(config)#interface serial 1   R2(config-if)#ip address ...R2(config-if)#clockrate 56000
R2(config-if)#no shutdownR2(config-if)#exit
R2(config)#exit

Y configurar el equipo DTE:

R1(config)#interface serial 1
    R1(config-if)#ip address ...
R1(config-if)#no shutdownR1(config-if)#exit
R(config)#exit

Eso es todo. ¡Un saludo!

Fuente: http://www.thebryantadvantage.com/CCNACertificationExamTutorialDirectlyConnectedSerialInterfaces.htm

Open Mesh Project: cómo luchar contra un apagón de Internet

2011-03-21T20:12:00.003+01:00

Hola!

El otro día leí un artículo muy interesante de Shervin Pishevard, Humans are the routers, en el que cuenta cómo, al ver que el gobierno egipcio provocó un apagón de Internet durante las revueltas, se le ocurrió la idea de montar un proyecto que permitiera que la gente pudiera seguir comunicándose para organizar sus protestas. Así que twiteó la idea y, literalmente, en unas cuantas horas nació el proyecto Open Mesh Project (basado en el concepto de redes mesh).

Las redes Open Mesh permiten conectar diferentes dispositivos (ordenadores con tarjetas wlan y smartphones) entre sí, y son muy robustas, con conexiones continuas que pueden reconfigurarse y sobreponerse a nodos caídos o bloqueados, saltando de nodo a nodo hasta que se llega al destino, ya sea otro dispositivo de la red o un nodo que conecta con Internet. Cuando hay una conexión a Internet disponible, amplían el número de personas que puede conectarse. Cuando no la hay, estas redes permiten que la gente pueda seguir comunicándose si otras formas de comunicación electrónica están caídas o bloqueadas.

Se trata de un proyecto muy interesante y muy bonito que está buscando crear comunidad, por lo que solicitan voluntarios para colaborar, en concreto, expertos en firmware de tarjetas wireless, programadores y compañías que desarrollen equipamientos wlan, tanto hardware como software.

Un saludo!

¿Príncipe de Asturias al Software Libre?

2011-02-19T10:37:00.003+01:00

¡Hola!

CENATIC ha decidido promover y presentar como candidato a La Comunidad Internacional del Software Libre a los Premios Príncipe de Asturias 2011, en su modalidad de Cooperación Internacional.

¿Qué se entiende como la Comunidad Internacional del Software Libre?

La Comunidad Internacional del Software Libre se refiere al conjunto de personas e instituciones de todo el mundo que contribuyen al software libre mediante un modelo colaborativo y abierto basado en la libertad, la compartición del conocimiento, la colaboración, la meritocracia y el respeto a los derechos de autor, con acciones como el desarrollo, divulgación, promoción, documentación, testing, organización, soporte y comercialización del software libre. El software libre ha permitido la generalización del conocimiento y el acceso a la tecnología a nivel mundial, eliminando barreras económicas, sociales, culturales, idiomáticas y geográficas.

¡Un saludo!

Switches gestionables

2011-02-14T18:39:00.003+01:00

Hola!

Estas diapositivas son también del curso Planificación y Administración de Redes del Ciclo Formativo de Grado Superior Administración de Sistemas Informáticos y Redes.

Estas semanas, tras presentar los problemas que surgen al conectar en cascada varios conmutadores y justificar la necesidad de contar con dispositivos gestionables en una red corporativa, estamos estudiando las funcionalidades que ofrecen los switches gestionables (en inglés, managed switch o smart switch):

Spanning Tree Algorithm
VLANs
Qos
Port Trunking
Port Mirroring
Switches apilables
SNMP

Switches gestionables

View more presentations from Jesus Moreno Leon.

Un saludo!

Patriot NG: protección frente a un ataque MITM

2011-02-04T13:33:00.006+01:00

Hola!

En el curso Seguridad Informática del Ciclo Formativo de Grado Medio de SMR, esta semana estamos estudiando Sistemas de Detección de Intrusos, y nos hemos centrado en Patriot NG, un Host-IDS para sistemas Windows. En esta entrada quiero mostraros cómo puede protegernos un IDS frente a un ataque Man in the Middle.

En el primer vídeo vamos a ver qué ocurre cuando un equipo sin protección IDS sufre un ataque MITM. Veremos al atacante utilizar Ettercap para envenar las cachés ARP de las víctimas y capturar el tráfico con Wireshark, obteniendo la contraseña que el usuario del equipo atacado acaba de introducir en su navegador:

Como se puede ver en el vídeo, el equipo atacado es engañado sin que el usuario pueda notar nada y, por tanto, el atacante puede capturar el tráfico enviado desde la víctima y obtener, por ejemplo, sus contraseñas.

En el vídeo siguiente vamos a ver lo que ocurre cuando en el equipo tenemos Patriot NG funcionando:

Como vemos, al usuario del equipo atacado se le muestra un mensaje de Patriot NG avisándole de que una entrada de la caché de ARP ha sido modificada, y se le ofrece la posibilidad de revertir el cambio, evitando así el ataque MITM.

Un saludo!

Metasploit Express

2011-01-24T15:51:00.006+01:00

Hola!

Durante estas semanas, en el curso Seguridad Informática del Ciclo Formativo de Grado Medio de SMR, estamos estudiando técnicas hacker y contramedidas a ataques.

Hoy hemos visto cómo realizar un test de intrusión utilizando la herramienta Metasploit Express, una aplicación gráfica del framework Metasploit. Su funcionamiento es muy sencillo, la interfaz es muy amigable y la documentación es bastante detallada. El único inconveniente es que para poder usarla necesitas una cuenta de correo que no sea gratuita (hotmail, gmail...).

Os dejo unas capturas en las que se puede ver el proceso seguido para conseguir acceder a un equipo de la red, en concreto a esta máquina con Windows XP en la que el usuario está navegando tranquilamente por Internet:

Tras crear un proyecto, lo primero que hay que hacer es escanear la red para descubrir máquinas, puertos abiertos, sistemas operativos, versiones de los servicios...

A continuación, hay que buscar el exploit adecuado para los servicios vulnerables encontrados, aunque todo el proceso está automatizado:

Si hemos tenido suerte, metasploit habrá abierto una sesión en el equipo objetivo y podremos interactuar con ella:

Podemos, por ejemplo, obtener datos sensibles de la máquina objetivo, como capturas de pantalla, contraseñas o información del sistema:

Podemos subir un fichero al equipo atacado. En el ejemplo se muestra cómo subimos el fichero troyano, guardándolo en la unidad C: con el nombre index.php:

O también podemos lanzar una shell y ejecutar órdenes directamente. Como veis se ha listado el contenido del directorio y se visualizado la tabla de encaminamiento:

La verdad es que es muy sencillo y muy divertido :-) En la propia web del proyecto se puede descargar una máquina virtual Ubuntu preparada con software y servicios con vulnerabilidades para jugar con ella.

Un saludo!

DHCP - Cisco IOS

2011-01-02T16:40:00.003+01:00

Hola!

Estas diapositivas son también del curso Planificación y Administración de Redes del Ciclo Formativo de Grado Superior Administración de Sistemas Informáticos y Redes.

Ahora mismo estamos estudiando protocolos de nivel de aplicación y, en concreto, en estas transparencias se explica cómo configurar el servicio DHCP en un router Cisco usando órdenes IOS.

Tras un brevísima introducción, se muestra cómo definir un ámbito y un pool de direcciones, cómo establecer exclusiones para el rango elegido y cómo asignar valores a todos los parámetros de red que el servidor ofrece a los clientes (dominio, dns, puerta de enlace...).

Por último, se explica cómo iniciar y parar el servicio, cómo ver una lista de las direcciones IP asignadas por el servidor y los clientes que las han recibido y cómo usar el comando debug para diagnosticar fallos.

DHCP - Cisco I

View more presentations from Jesus Moreno Leon.

Un saludo!

Técnicas hacker

2010-12-27T18:31:00.002+01:00

Hola!

Estas diapositivas, también del curso Seguridad Informática del Ciclo Formativo de Grado Medio de Sistemas Microinformáticos y Redes, son la segunda parte de un tema en el que estamos estudiando técnicas hacker y contramedidas a ataques. En concreto, en esta entrega hablamos de las técnicas hacker que utilizan los atacantes al tratar de vulnerar la seguridad de un sistema informático, realizando especial hicapié en las técnicas de anonimato, spoofing, sniffing y hijacking.

Esta presentación es una obra derivada de los seminarios de formación impartidos por Antonio Guzmán y Marta Beltrán de la URJC de Móstoles.

Tecnicas hacker

View more presentations from Jesus Moreno Leon.

Un saludo!

AndalucíaSkills en el IES Gonzalo Nazareno

2010-12-26T19:18:00.005+01:00

Hola!

Después de Navidades (el 17 de Enero de 2011) se va a desarrollar en mi instituto, el IES Gonzalo Nazareno de Dos Hermanas, la prueba de la especialidad de Soporte de PCs y Redes de AndalucíaSkills.

Y, ¿qué es esto de AndalucíaSkills?

Cada dos años se celebra una competición mundial que se denomina
Worldskills en la que se realizan competiciones de diferentes
perfiles profesionales (45 en total) y en la que los participantes no
pueden tener más de 22 años. España se incorporó de nuevo a Worldskills
en el año 2007 y los participantes de nuestro país son estudiantes de
FP.

Los representantes de España en el WorldSkills de Calgary 2010 fueron los vencedores en las
mismas categorías de la primera edición de SpainSkills que se celebró en
Abril de 2009 en Madrid. En SpainSkills participan a su vez los representantes de las 17
comunidades autónomas.

La próxima edición de SpainSkills se celebrará en Madrid en Abril de 2011 para elegir a los estudiantes que representarán a España en el WorlSkills de Londres 2011, y el objetivo de AndalucíaSkills es seleccionar al mejor candidato posible para representar a esta comunidad.

En la web de RTVE puedes encontrar varios vídeos del último SpainSkills y aquí puedes leer el testproject del skill de soporte de PCs y redes, un documento en el que se plantea un ejemplo de prueba para que los candidatos vayan practicando.

Un saludo!

PD: Mapa para llegar hasta el IES Gonzalo Nazareno

Ver mapa más grande

Test de intrusión

2010-12-15T16:35:00.004+01:00

Hola!

Estas diapositivas, también del curso Seguridad Informática del Ciclo Formativo de Grado Medio de Sistemas Microinformáticos y Redes, son la primera parte de un tema en el que vamos a estudiar técnicas hacker y contramedidas a ataques. En concreto, en esta primera entrega hablamos de los Test de intrusión o test de penetración (pentest), un método para evaluar la seguridad de un sistema informático simulando un ataque desde una fuente maliciosa.

Esta presentación es una obra derivada del artículo Test de intrusión de Chema Alonso y de los seminarios de formación impartidos por Antonio Guzmán y Marta Beltrán de la URJC de Móstoles.

Test de intrusion

View more presentations from Jesus Moreno Leon.

Un saludo!

Resultados de España en Euroskills 2010

2010-12-15T07:36:00.005+01:00

Hola!

Desde el día 8 hasta el 12 de diciembre se ha desarrollado en Lisboa la competición EuroSkills 2010, las Olimpiadas Europeas de Formación Profesional. Unos 500 jóvenes han competido en 50 perfiles diferentes para demostrar sus destrezas profesionales y dar a conocer a la sociedad el buen hacer de estos estudios.

España ha participado en esta edición con un equipo de 21 participantes que ha obtenido unos resultados muy buenos. Se han obtenido las siguientes medallas:

Pol Cámara, (Canarias), medalla de oro en la especialidad de Diseño web y medalla de plata en equipo de Cross Media Publishing.
Miguel Cubillas (Principado de Asturias), medalla de oro en la especialidad de Carpintería.
Víctor Vera (Andalucía), medalla de oro en la especialidad Maquinista de control numérico de la madera.
José Mª Puelles (Extremadura), medalla de bronce en la especialidad de Ebanistería.
Miguel, Víctor y José Mª han obtenido también la medalla de plata en equipo de Woodcraft Technologies.

Han obtenido Diploma de Excelencia por su participación:

Beatriz Ávila (Castilla - La Mancha), en la especialidad de Cocina y al trabajo en equipo de Cook&Serve.
Christian Etter (Illes Balears), en la especialidad de Servicio de Restaurante y al trabajo en equipo de Cook & Serve.
Aarón Díaz (Canarias), en la especialidad de Control Industrial.

El ministro de Educación, Ángel Gabilondo, ha recibido esta tarde en el aeropuerto de Barajas a la selección española y ha felicitado a todos los chavales por su esfuerzo y por los magníficos resultados obtenidos.

Puedes ver más fotos y vídeos de la inauguración, desarrollo de las pruebas y entrega de medallas.

Un saludo!

EuroSkills 2010 en directo

2010-12-10T09:37:00.008+01:00

Hola!

Desde el día 8 hasta el 12 de diciembre se está desarrollando en Lisboa la competición EuroSkills 2010, las Olimpiadas Europeas de Formación Profesional. Unos 500 jóvenes competirán en 50 perfiles diferentes para demostrar sus destrezas profesionales y dar a conocer a la sociedad el buen hacer de estos estudios.

España participa en esta edición con un equipo de 21 participantes que competirán en varias categorías, entre ellas Office IT team: un equipo de 4 estudiantes que deben realizar tareas de administración de redes y sitemas, soporte de PCs y desarrollo, instalación, mantenimiento y actualización de software.

La competición se emitirá en directo a través de internet en esta web, y el programa será el siguiente:

Día 8 de diciembre – Ceremonia de apertura de 18 a 20 h.
Días 9,10 y 11 – competición de 9 a 18 h.
Día 12 – ceremonia de clausura y entrega de premios

Podéis ver fotos de la ceremonia de inauguración y de las competiciones aquí.

Un saludo!

Vulnerabilidad recursiva en proftpd

2010-12-05T09:05:00.004+01:00

Hola!

Hoy he visto en los enlaces de la SECmana, en Security by default, que se ha descubierto que el servidor FTP principal de proftpd había sido comprometido y que el código de la versión 1.3.3 contenía una backdoor que permite a usuarios no identificados obtener acceso de root.

¡Qué divertido! Una vulnerabilidad en proftpd hace que las versiones de protfpd descargadas la semana pasada contuvieran otra... ¡me recuerda a Inception!

Pero la pregunta que se me ocurre es: ya de paso, ¿habrán arreglado la vulnerabilidad que ha permito modificar el código fuente de los ficheros alojados en el servidor FTP principal?

Si leemos el anuncio del descubrimiento en la web del propio proyecto, nos damos que cuenta de que la vulnerabilidad ya estaba arreglada, pero no la habían parcheado... ¡¡olé!!

En cualquier caso, se podría haber evitado esta situación si, como ya han hecho, el resumen del fichero original hubiera estado publicado en la web del proyecto y no sólo en el servidor FTP.

Así que, ya sabes, si te descargaste proftpd entre el día 28 de Noviembre y el 2 de Diciembre, casi seguro que te llevaste premio, ya que el servidor comprometido era el servidor de distribución rsync de todos los ftp espejo.
Y recuerda que, siempre que descargues un fichero, debes comprobar el resumen.

Un saludo!

¿Te quieren?

2010-11-24T17:08:00.002+01:00

Hola!

Como cada año, mañana se celebra el día contra la violencia de género y, como cada año, se celebrarán miles de actos en todos los pueblos y ciudades...

El año pasado por estas fechas, Serafín Valverde (profesor del Instituto Gonzalo Nazareno) y María Cazenave (alumna) organizaron una performance que me parece muy interesante compartir con vosotros:

Un saludo!

Almacenamiento de la información y copias de seguridad

2010-11-22T15:29:00.003+01:00

Hola!

En estas diapositivas, también del curso Seguridad Informática del Ciclo Formativo de Grado Medio de Sistemas Microinformáticos y Redes, hablamos del almacenamiento de la información y las copias de seguridad. El esquema que siguen es el siguiente:

1.Almacenamiento de la información
- Factores
- Almacenamiento secundario
- Almacenamiento redundante
- Almacenamiento remoto
2.Copias de seguridad
- Objetivos
- Concienciación de su importancia: usuarios
- Concienciación de su importancia: empresas
- Tipos de copias de seguridad
- Datos a almacenar
- Compresión
- Nomenclatura de los archivos de copias de seguridad
- Automatización

Almacenamiento_y_copias

View more presentations from Jesus Moreno Leon.

Respeto, ese gran desconocido

2010-11-11T20:39:00.005+01:00

Hola!

Jono Bacon, community manager de Ubuntu y autor de "The art of community" de O'Reilly (disponible bajo licencia CC-BY-NC-SA), ha pedido ayuda a la comunidad para elaborar un manifiesto para mantener las normas básicas de respeto, cordialidad y buena fé en el mundo de las comunidades abiertas y la cultura libre:

Según explica él mismo en la web del proyecto, OpenRespect fue fundado al apreciar con preocupación que las conversaciones y debates en el mundo OpenSource, FreeSource y Free Culture, se están volviendo un poco agresivas en los últimos años. El objetivo de OpenRespect es sencillo: ofrecer un manifiesto que promueva las muestras de respeto hacia los participantes de una discusión. Se trata de compartir este manifiesto y animar a la gente a que lo siga para que los miembros de las comunidades del software y la cultura libre se traten con respeto.

Además, ofrecen un par de guías que habrá que irse leyendo:

Lo cierto es que este es un problema que no afecta, ni mucho menos, de forma exclusiva a las comunidades libres... ¿Tendrá algo que ver el ejemplo de debates que pueden verse en la televisión a todas horas y en casi todas las cadenas?

Un saludo!

NetGUI, un simulador de redes libre con máquinas GNU/Linux

2010-11-05T22:34:00.007+01:00

Hola!

Para este nuevo curso estamos preparando prácticas con un simulador de redes, similar a Packet Tracer de Cisco, pero pensado para trabajar con máquinas GNU/Linux.
NetGUI es un proyecto libre desarrollado por el Grupo de Sistemas y Comunicaciones de la Universidad Rey Juan Carlos de Móstoles.

Según lo definen ellos mismos, NetGUI es una interfaz gráfica para el sistema Netkit. NetGUI permite editar diagramas de redes, arrancar las máquinas virtuales (ordenadores y encaminadores) y pararlos, e interaccionar con las consolas de las máquinas virtuales.

¿Qué es Netkit?

Netkit es un entorno de software que permite realizar experimentos con redes de ordenadores virtuales sin necesidad de disponer de dispositivos de comunicaciones ni de ordenadores reales. Para utilizar Netkit sólo es preciso disponer de un ordenador personal con el sistema operativo GNU/Linux instalado.

Netkit permite arrancar varias máquinas virtuales (ordenadores, concentradores/hubs Ethernet, encaminadores) que emulan el funcionamiento de máquinas reales. Netkit está implementado utilizando máquinas virtuales User Mode Linux.

Para las clases de la asignatura Planificación y Administración de Redes es una herramienta que voy a utilizar muy a menudo, ya que permite que cada estudiante trabaje con un escenario de varias redes, conectadas por varios routers, en las que puedan plantearse averías o problemas de configuración. El estudiante arrancará los equipos, abrirá el terminal y tratará de localizar los problemas y solucionarlos modificando la configuración de las máquinas.

Un saludo!

ACTUALIZACIÓN: Puedes ver un ejemplo práctico de NetGUI, en el que se ilustra cómo configurar NAT en una máquian Linux, aquí

Cisco IOS: configuración básica de routers

2010-11-01T10:11:00.003+01:00

Hola!

Este curso también imparto la asignatura Planificación y Administración de Redes del Ciclo Formativo de Grado Superior Administración de Sistemas Informáticos y Redes. Al tratarse de un ciclo nuevo, es el primer año que esta asignatura se imparte, así que me parece interesante compartir materiales que vayamos elaborando.

Estas diapositivas son las que vamos a usar durante esta semana en la que trabajaremos en la configuración de routers Cisco. Estudiaremos los comandos básicos del IOS y realizaremos prácticas en el laboratorio con los dispositivos físicos. Para la elaboración de las diapositivas me he basado, fundamentalmente, en este curso de Cisco.

Routers CIsco: configu

View more presentations from Jesus Moreno Leon.

Un saludo!

Introducción a la criptografía (II)

2010-10-23T13:56:00.003+02:00

Hola!

En las diapositivas anteriores se realizaba una introducción a la criptografía y se mostraban las diferencias entre la criptografía de clave simétrica y la de clave pública.

En estas diapositivas, también del tema de introducción del curso Seguridad Informática del Ciclo Formativo de Grado Medio de Sistemas Microinformáticos y Redes, se trata de explicar cómo puede ayudarnos la criptografía a conseguir los objetivos de la seguridad informática a parte de la confidencialidad.

Introducción a la criptografía II

View more presentations from Jesus Moreno Leon.

En estas últimas diapositivas se introducen las autoridades de certificación, se explica cómo se emiten los certificados y se muestra cómo funciona SSL.

Introducción a la criptografía III

View more presentations from Jesus Moreno Leon.

Global Education Forum

2010-10-12T09:15:00.003+02:00

A través del blog de mi amigo José Domingo Muñoz, me he enterado de que, esta misma semana, se va a llevar a cabo la Conferencia Educativa Global Education Forum:

Entre los ponentes podemos encontrar a Marc Prensky, Eduard Punset o Richard Gerver, y la agenda tiene una pinta muy buena.

El problema es que ya no quedan plazas para acudir de forma presencial al evento, aunque aún puedes registrarte para ver las charlas a través de Internet.

Un saludo!

Introducción a la criptografía (I)

2010-10-10T10:09:00.007+02:00

Introducción a la criptografía II

Hola!

Estas diapositivas son también del tema de introducción del curso Seguridad Informática del Ciclo Formativo de Grado Medio de Sistemas Microinformáticos y Redes.

Se trata de una introducción a la criptografía basada en las diapositivas del GSYC de la URJC, en las que se introduce el término criptografía, se conoce la terminología básica, se presentan los riesgos de los que trataremos de protegernos y se muestran las diferencias entre la criptografía de clave simétrica y la de clave pública. Además, se proponen ejemplos de cifrado con 3des y RSA usando openssl.

Introducción a la c

View more presentations from Jesus Moreno Leon.

Para realizar una introducción histórica, os recomiendo el vídeo Historia de la criptografía y su desarrollo en Europa, realizado por Intypedia, que se define como "La enciclopedia visual de la Seguridad de la Información en la Red" y es el nuevo proyecto de la Red Temática Criptored

Saludos!

Día mundial de los docentes 2010: la recuperación empieza con los docentes

2010-10-05T08:26:00.003+02:00

El Día Mundial de los Docentes se viene celebrando cada 5 de octubre desde 1994, año de su instauración por la Unesco. Tiene como objeto movilizar apoyo para los docentes y garantizar la atención de las necesidades de las generaciones futuras.

En el Día Mundial de los Docentes de este año, cientos de miles de estudiantes, padres y militantes, provenientes de todo el mundo, rendirán homenaje a todos los docentes afectados, directa o indirectamente, por grandes crisis. (Puedes ver fotos de estos homenajes en el canal de Flickr de la Unesco)

Ya sea a raíz de catástrofes naturales, como los terremotos de Haití y China, o de la crisis económica mundial que, en el último año, ha azotado a muchas economías desarrolladas, los docentes y personal del sector de la enseñanza tienen un papel fundamental en la reconstrucción social, económica e intelectual de los países afectados.

La exposición "Homenaje a los docentes", recoge los testimonios de maestros que apoyan la recuperación económica en el mundo entero y una exposición de fotografías que muestran cómo los docentes ejercen a veces su misión en condiciones adversas.

Si eres alumno, ten un gesto agradable con tus docentes preferidos y dales la enhorabuena por su trabajo; y si eres maestro o profesor... ¡Feliz día del docente!

Controlar de forma automática si un proceso se está ejecutando

2010-10-01T20:52:00.017+02:00

Hola!

El otro día tuve que escribir un script que me ayudara a controlar si un proceso de la máquina se está ejecutando y así poder iniciarlo si se hubiera muerto, y, aunque es algo sencillo, me parece interesante compartirlo.

Bien, supongamos que se trata de controlar un programa en ruby, "update_feeds", que debe estar ejecutándose continuamente. Si quisiéramos comprobar si el programa está en ejecución podríamos usar la orden ps -ef | grep update_feeds:
ps -ef muestra todos los procesos del sistema, y con grep hacemos que sólo se muestren las líneas que contengan la cadena update_feeds.

Como vemos en la imagen, se muestran 2 procesos: un proceso ruby ejecutando el script que se desea controlar y el proceso grep que acabamos de lanzar. Como sólo nos interesa el primero, podemos volver a usar grep para que sólo se muestren los procesos ruby:

Si la salida de la orden anterior se la pasamos a wc nos mostrará el número de líneas de la salida (en la primera columna), el número de palabras y de bytes:

Como el dato que nos interesa es el del número de líneas, podemos manipular la salida con la orden awk:

Bien, con esa combinación de órdenes podemos saber si el programa a controlar se está ejecutando o no, en función de si el valor obtenido es un 1 o un 0. Escribiendo un simple script podemos automatizar esta tarea. Aquí tienes un ejemplo de prueba que muestra "ok" por pantalla si el proceso está funcionando y lo arranca en caso contrario:

#!/bin/bash

cont=0
cont=`ps -ef | grep nombre_programa | grep ruby | wc | awk ' {print $1}'`
echo $cont
if [ $cont -eq 1 ]
then
echo "ok"
else
/usr/local/bin/ruby /....../nombre_programa
fi

Para poder probar el script debes darle permisos de ejecución con la orden chmod. Y por último, cuando lo hayas personalizado, debemos hacer que se ejecute periódicamente. Si, por ejemplo, queremos que una vez cada hora compruebe si el proceso está ejecutándose, podemos copiar el script de control al directorio /etc/cron.hourly. (Más info sobre cron)

Saludos!

Conclusiones del informe de seguridad de Secunia

2010-09-29T13:58:00.004+02:00

Hola!

A mediados de año, Secunia emitió el informe de seguridad del primer semestre de 2010 que analiza la evolución de los riegos de seguridad en los últimos 5 años estudiando las vulnerabilidades encontradas, y realiza una predicción para el año 2010 basada en los datos de los 6 primeros meses.

La conclusión general es que, a pesar de los esfuerzos e inversiones realizados, la industria del software no es capaz de reducir el número de vulnerabilidades en los programas y aplicaciones producidos, por lo que se antoja muy necesaria una tecnología que permite gestionar de forma eficiente las actualizaciones.

El informe muestra un crecimiento alarmante en el número de vulnerabilidades de los programas de terceras partes instalados en los SO, un riesgo que usuarios y empresas no reconocen como tal. Esto se debe a que muchos usuarios y gran cantidad de empresas aún tienen la percepción de que los sistemas operativos Microsoft y los productos de esta compañía representan el vector de ataque principal. Además, la actualización y securización de estas aplicaciones resulta algo compleja y consume un cierto tiempo, lo que convierte a estos equipos con aplicaciones desactualizadas en objetivos claros para los criminales.

Algunos aspectos subrayados por el informe son los siguientes:

Desde 2005 no existe una variación importante en el número total de vulnerabilidades encontradas en los más de 29.000 productos observados por Secunia
Un grupo de 10 empresas (que incluyen a Apple, Oracle, Microsoft, IBM, Adobe o Cisco), aglutinan el 38% del total de vulnerabilidades.
Entre 2007 y 2009, el número de vulnerabilidades que afectan a un usuario típico de un PC ha pasado de 220 a 420. Por los datos de este año, esta cifra podría llegar a las 760.
Un usuario típico de PC con 50 programas instalados tiene 3,5 veces más vulnerabilidades en los 24 programas de terceras partes instalados que en las 26 aplicaciones Microsoft de su equipo. Se espera que esta ratio pase a 4.4 en 2010.

El informe finaliza con 2 consejos para reducir los riesgos actuales:

Precaución: usuarios y empresas deben cambiar la percepción de que los productos Microsoft son la mayor amenaza de seguridad. Se deben establecer mejores mecanismos en relación a los programas instalados de terceras partes
Actualizaciones unificadas: se necesita una nueva tecnología que permita a los usuarios instalar automáticamente actualizaciones de seguridad para un conjunto de aplicaciones

Y así, con este último consejo, aprovecha para promocionar su herramienta PSI

Vulnerabiliadades en los SO

2010-09-27T14:44:00.003+02:00

Hola!

Estas diapositivas son también del tema de introducción del curso Seguridad Informática del Ciclo Formativo de Grado Medio de Sistemas Microinformáticos y Redes.

Hablan de vulnerabilidades en los Sistemas Operativos, explicando que no pueden utilizarse como una unidad de medida para comparar la seguridad de dos SO distintos sin tener en cuenta otros muchos factores. Siguen el siguiente esquema:

Número de vulnerabilidades ≠ Seguridad
Número de vulnerabilidades en los SO
Estudio de Jeff Jones: 6 meses de vida
Avisos y corrección de vulnerabilidades

Vulnerabiliadades en los Sistemas Operativos

View more presentations from Jesus Moreno Leon.

Espero que os sirvan. Un saludo!

Seguridad en servidores web

2010-09-26T16:37:00.006+02:00

Hola!

Preparando material para la próxima clase del curso Seguridad Informática, en la que vamos a hablar de vulnerabilidades en los Sistemas Operativos, he estado recopilando estadísticas de diferentes fuentes para jugar un ratito haciendo cuentas.

Es evidente que la seguridad de un Sistema Operativo no puede evaluarse por el número de vulnerabilidades. Hay que tener en cuenta otros factores como la gestión que se hace de las propias vulnerabilidades, su nivel de criticidad, la facilidad de instalación de los parches, el número de ataques recibidos...

Cada cierto tiempo se publican informes que realizan estudios sobre el número de vulnerabilidades de diferentes Sistemas Operativos, como el publicado por Jeff Jones hace un tiempo, que suelen levantar bastante polémica.

Sólo por divertirme, he estado pensando en alguna otra forma de comparar la seguridad de diferentes SOs y se me ha ocurrido lo siguiente:

En zone-h mantienen estadísticas de los defacements realizados y llevan la cuenta del Sistema Operativo del servidor afectado:

Si calculamos el porcentaje de defacements realizados a máquinas Linux y Windows (sumando todas las versiones) obtenemos los siguientes datos:

	2008	2009	2010
Linux	68,12	69,57	72,74
Windows	27,26	26,29	24,93

Como puede observarse, el porcentaje de servidores Linux comprometidos ha ido creciendo ligeramente en estos últimos tres años, al contrario de lo que ocurre con los servidores Windows, que parece ir disminuyendo.

Lo curioso llega al comparar estos porcentajes con los datos de Netcraft de Sistemas Operativos en servidores web, que muestran un empate técnico entre Linux y Windows:

Una conclusión rápida podría ser que, si hay el mismo número de servidores web Linux y Windows, y se producen más defacements en servidores Linux, podríamos inclinarnos a pensar que los servidores Linux son menos seguros.

Ya digo que se trataría de una conclusión rápida, porque hay que tener en cuenta muchos otros factores, como, por ejemplo, el nivel de profesionalidad de los administradores de los servidores, su formación, etc.

De hecho, Marcelo Almeida, en el informe de zone-h que comentábamos, recuerda que la mayoría de las vulnerabilidades explotadas se encuentran en las aplicaciones web, y que otras muchas se deben a malas configuraciones de seguridad de los hostings, que permiten a los atacantes obtener acceso completo a los servidores. Por tanto, habría que realizar un estudio mucho más riguroso para poder obtener algún tipo de conclusión.

Ya os comentaba que tan sólo ha sido para divertirme un rato mientras veía a Alonso ganar otra carrera :-)

Un saludo!

ADSL rural en UK

2010-09-20T22:20:00.005+02:00

Hola!

En UK se ha realizado un experimento para denunciar el estado de la banda ancha en las zonas rurales y pedir velocidades de transmisión dignas.
Para ello han organizado una carrera en una granja de Yorkshire: al mismo tiempo que soltaban 10 palomas mensajeras cargadas con un pendrive, comenzaba la subida de un vídeo de 5 minutos a Internet. Una hora y cuarto después, las palomas habían alcanzado su destino en Skegness, a 120 kilómetros, mientras que tan sólo el 24% de los 300 MB había sido subidos.

Un experimento similar se realizó el año pasado en Durban Sudáfrica, con resultados similares.

Nada nuevo bajo el sol, en realidad: Andrew Tanenbaum en su libro "Redes de Computadoras". ya explicaba que si se llena un avión con dispositivos de almacenamiento grandes y se realiza un vuelo transatlántico, la velocidad de transmisión sería de varios Gbps.

De hecho, los bancos aún utilizan este tipo de medios físicos de transmisión: cargan sus cintas en camiones que transportan hasta la central, alcanzado velocidades de varios Gbps.

Supongo que la situación en muchas zonas rurales españolas no es mejor que la del experimento inglés. De hecho, a 20 km de Madrid, en una urbanización residencial que conozco personalmente, no llegó el ADSL hasta el 2005...

Un saludo!

Introducción a la seguridad informática (II)

2010-09-19T21:12:00.003+02:00

Hola!

Introducción a la seguridad informática (I)
Introducción a la seguridad informática (II)

Esta segunda parte de las diapositivas cubren los siguientes contenidos:

1. Algo de terminología
- Activos
- Amenazas
- Vulnerabilidad
- Tiempo de reacción y día cero
- Análisis de vulnerabilidades
- Escáner de vulnerabilidades
- Ejercicio: GFI LANguard Scanner
- Riesgo
- Ataque
- Impacto

2. Ataques
- Tipos de atacantes
- Ataques internos
- Ataques externos
- Tipos de ataques

3. Política de seguridad.

Introducción a la seguridad informática (II)

View more presentations from Jesus Moreno Leon.

Un saludo!

Introducción a la seguridad informática (I)

2010-09-18T13:14:00.005+02:00

Introducción a la seguridad informática (I)
Introducción a la seguridad informática (II)

Hola!

Este curso tengo que impartir la asignatura Seguridad Informática del Ciclo Formativo de Grado Medio de Sistemas Microinformáticos y Redes. Al tratarse de un ciclo nuevo, es el primer año que esta asignatura se imparte, así que me parece interesante ir colgando el material que prepare por aquí.

Estas diapositivas son las que utilizaré durante la primera clase, en las que realizaremos una introducción a la seguridad informática, tratando de concienciar al alumnado de la importancia de la misma, utilizando el siguiente esquema:

Importancia de la seguridad informática
Ejercicio: vídeos y noticias
Definición de seguridad informática
Objetivos de la seguridad informática
Mecanismos utilizados para conseguir estos objetivos
Ejercicio: integridad de los archivos del sistema
Clasificación de la seguridad informática
Déficit de formación en técnicos y usuarios
Ejercicio: test sobre seguridad informática

Introducción a la seguridad informática

View more presentations from Jesus Moreno Leon.

En mi página de la asignatura puedes encontrar más información, enlaces, etc.
Un saludo!

CUSL también para estudiantes de grado medio y superior

2010-09-17T17:05:00.003+02:00

Hola!

Al leer el anuncio de la V edición del Concurso Universitario de Software Libre me he llevado una agradable sorpresa al comprobar que los estudiantes de Grado Medio, Bachillerato y Grado Superior podrán participar con sus proyectos en esta edición.

Según las bases del concurso, el alumnado de Grado Medio y Bachillerato participará en la categoría junior, mientras que el alumnado de Grado Superior lo hará en la modalidad universitario y ciclo formativo grado superior.

Así que si eres estudiante de FP o bachillerato y tienes una idea interesante, anímate y participa.

Un saludo!

¿Cómo funciona prioritarios, la nueva herramienta de gmail?

2010-09-04T12:13:00.005+02:00

Hola!

LLevaba varios días viendo un mensaje en mi correo de gmail que me avisaba de una nueva funcionalidad, prioritarios. Hoy por fin he visto el vídeo que muestra en qué consiste:

Aquí se puede encontrar más información del funcionamiento de este servicio, que puede resumirse así:

Para determinar qué mensajes entrantes son importantes, Gmail considera automáticamente una serie de factores, entre otros:

* A quién envías correos electrónicos (por ejemplo, si envías muchos correos a Juan, es probable que los mensajes de este remitente sean importantes).
* Qué mensajes abres (es probable que los mensajes que abras sean más importantes que los que ignoras).
* Qué palabras llaman tu atención (si siempre lees mensajes acerca de fútbol, es más probable que sea importante un mensaje nuevo que contenga las mismas palabras relacionadas con el fútbol).
* A qué mensajes respondes (si siempre respondes a los mensajes de tu madre, es probable que los mensajes que ella te envíe sean importantes).
* El uso reciente que has hecho de las estrellas, así como de las opciones de archivado y eliminación (es probable que los mensajes que destacas sean más importantes que los mensajes que archivas sin abrir).

Este servicio ofrece varias opciones de configuración y personalización, que básicamente consisten en la modificación de un mensaje marcado como prioritario o no, con los botones + y -, de forma que la aplicación vaya aprendiendo, y el uso de filtros para asegurarte de que ciertos mensajes (como los de la parienta) se marquen siempre como prioritarios (o viceversa :-P).

Tiene buena pinta, ya os contaré en unos días mi experiencia, ya que se trata de una funcionalidad en Beta.

Un saludo!

¡Este sitio es una web atacante!

2010-08-16T08:50:00.009+02:00

Hola!

A través de este artículo de S21Sec, en el que explican qué hacer si tu dominio ha sido incluido en la lista de google como página que aloja malware, me ha picado la curiosidad para saber cómo funciona este servicio de protección anti-Malware y anti-Phishing de Firefox y Chrome.

Tanto Chrome como Firefox utilizan los datos de dos organizaciones sin ánimo de lucro, StopBadware.org y Antiphishing.org, para avisar al usuario que va a visitar una página que ha sido incluida en las listas de estas organizaciones como sospechosa:

El protocolo completo de navegación segura de google puedes encontrarlo aquí, pero vamos a hacer un resumen, que va a ser una traducción (más o menos libre) del comienzo de un artículo escrito por Oliver Fisher, que trabaja como ingeniero de software en google:

El protocolo de navegación segura muestra un aviso al usuario si se ha encontrado contenido sospechoso el sitio que va a visitar, pero ¿qué significa "sospechoso"?

Los escáneres automáticos de malware de google tienen una precisión muy alta y apenas producen falsos positivos.Parte de este éxito es que la definición de "sospechoso" en realidad es "que aloja sucio malware". Si los escáneres no están completamente seguros de que aloja malware, no lo añadirán a la lista de malware.

Sin embargo, cuando los escáneres hacen una revisión del sitio para comprobar si hay que retirarlo de la lista de malware, usan una definición de "sospechoso" más rigurosa. Si existe cualquier actividad sospechosa en el sitio, no se borra de la lista. A menudo, el sitio ha sido infectado con malware de diversas formas, y los escáneres tienen que estar seguros de que se ha eliminado todo el riesgo para el usuario.

Por tanto, si nos aparece un aviso del navegador advirtiendo de la posibilidad de que estemos accediendo a un sitio que aloja malware, es muy probable que así sea, así que, sólo si te van las emociones fuertes y el riesgo, pulsa el pequeño enlace que aparece en la esquina inferior derecha "Ignorar esta advertencia" ;-)

Saludos!

Manuales de Atención al Alumnado con Necesidades Específicas de Apoyo Educativo

2010-08-15T13:00:00.003+02:00

La Consejería de Educación de Andalucía ha publicado este verano una actualización de las Guías de Atención al Alumnado con Necesidades Educativas Especiales, del año 2002, actualizándolas a los cambios normativos y teóricos que se han producido en el ámbito de la atención a la diversidad durante este tiempo.

Esta obra, que contiene diez guías que incluyen además fichas sobre normativa, bibliografía, páginas web y direcciones de interés, es un magnífico apoyo para el profesorado que tiene que atender por primera vez a alumnado con este tipo de necesidades, así como para sus familias.

1.- Necesidades Específicas de Apoyo Educativo.
2.- Altas Capacidades Intelectuales.
3.- Limitaciones en la Movilidad.
4.- Trastornos Graves de Conducta.
5.- Trastornos Generales del Desarrollo.
6.- Síndrome de Down.
7.- Discapacidad Auditiva.
8.- Discapacidad Visual y Sordoceguera.
9.- Enfermedades Raras y Crónicas.
10.- Discapacidad Intelectual.

Saludos!

Nuevo webminar para enterder la vulnerabilidad WPA2 Hole 196

2010-08-14T11:03:00.003+02:00

Como ya sabréis, investigadores de la empresa AirTight han encontrado una vulnerabilidad en el protocolo WPA/WPA2, llamada Hole 196, que permite a un atacante interno realizar de forma sencilla un MITM. Esto se debe a que GTK no tiene protección antiSpoofing (este problema de la GTK se explica en la página 196 del estándar, de ahí el nombre Hole 196).

Sohail Ahmad, uno de los investigadores que encontraron la vulnerabilidad, realizó la presentación en la Black Hat Arsenal de la DEFCON18 en las Vegas el pasado 29 de Julio, y aquí podéis encontrar las diapositivas y el paper que utilizó, así como un vídeo de la webminar que llevaron a cabo unos días después.

Pues bien, el 24 de Agosto a las 8 AM Pacific Time, por tanto, a las 17 horas de España, van a repetir el webminar, que tiene los siguientes objetivos:

* Entender cómo funciona la vulnerabilidad WPA2 Hole 196 y cómo puede ser explotada.
* Comprender los riesgos a los que se exponen los datos de tu empresa y la seguridad de la red.
* Evaluar las posibles contramedidas y determinar los pasos que puedes seguir para proteger tu red de esta vulnerabilidad.

Si queréis apuntaros, podéis hacerlo aquí.

Un saludo!

WPA Too (Hole 196): presentación y vídeo

2010-08-06T17:47:00.004+02:00

Hola!

Hace uno días conocimos la noticia de una nueva vulnerabilidad en el protocolo WPA/WPA2 que afectaba a entornos PSK y Enterprise: un atacante interno puede realizar un MITM de forma muy sencilla debido a que los paquetes GTK no tienen protección antiSpoofing.

Aquí podéis encontrar la presentación que realizó Sohail Ahmad (el descubridor de la vulnerabilidad) en la Black Hat de las Vegas, y aquí el paper.

Además, la empresa donde trabaja Sohail Ahmad, AirTight Networks, ha realizado un webminar para explicar su funcionamiento, riesgos y soluciones. Podéis ver el vídeo aquí.

Un saludo!

Bit SUID, ¿cómo localizar ficheros que lo tengan activado?

2010-07-29T20:39:00.005+02:00

Hola!

Hoy he aprendido un truco que me ha parecido muy interesante en el libro Seguridad en Redes, de Andrew Lockhart.

Tiene que ver con la localización de ficheros que tenga activado el bit SUID. Pero... ¿qué es el bit SUID? Vamos a la wikipedia:

Normalmente este bit se activa en ejecutables. Cuando a un ejecutable binario se le asigna el atributo setuid, usuarios normales del sistema pueden ejecutar ese archivo y obtener privilegios del usuario que posee dicho archivo (generalmente, root) en el proceso creado. Cuando el proceso obtiene privilegios de administrador, la aplicación puede realizar tareas en el sistema que usuarios normales generalmente no podrían hacer.

Si un fichero tiene activado el bit "Setuid" se identifica con una “s” en un listado de la siguiente forma:

-rwsr-xr–x 1 root shadow 27920 ago 15 22:45 /usr/bin/passwd

Por ejemplo el bit setuid se utiliza en el fichero /usr/bin/passwd para que todo el mundo pueda cambiar su contraseña de forma controlada. Pudiendo ejecutar este programa se consigue que un usuario pueda escribir en el fichero de claves(/etc/passwd) pero sin tener que dar permisos de escritura al fichero, lo cual seria un gran agujero de seguridad

Hasta aquí todo ok, pero...

Aunque la característica setuid es muy útil en muchos casos, puede plantear un riesgo de seguridad si el atributo setuid se asigna a programas ejecutables que no fueron diseñados cuidadosamente. Los usuarios pueden explotar una vulnerabilidad en programas defectuosos para conseguir privilegios elevados permanentemente.

Además, es probable que un atacante que ya haya obtenido privilegios de administrador pueda crear puertas traseras ocultas en ficheros ejcutables SUID o SGID, que distribuya por el sistema de archivos para obtener acceso en el futuro.

¿Cómo localizamos estos ficheros en nuestro sistema?

Usando la orden #find / $ -perm -4000 -o -perm -2000 $ -type f -exec ls -la {} \;

Saludos!

Concierto de Mark Knopfler en Córdoba

2010-07-27T14:52:00.003+02:00

Buenas!

Este post se escapa bastante de la temática del blog, pero me apetecía contar lo bien que lo pasé en el concierto de Mark Knopfler en Córdoba el pasado domingo.

A pesar de que hizo muchísimo calor (40 grados cuando entramos a la plaza a las 21:00) y de que los asientos de la plaza eran de granito y les había estado pegando el sol todo el día (por lo que no veas cómo te quemaba el culete cuando te sentabas), una vez comenzó el concierto se me pasó el calor y comenzaron los escalofríos :-)

Mark siempre se rodea de músicos buenísimos y todas las canciones sonaron estupendamente (a excepción de un par de temas en los que una de las guitarras se acoplaba y sonó un pitido -> creo que el técnico de sonido no seguirá en la gira).

Me gustó mucho la selección de las canciones, diferente al de las 2 otras ocasiones en las que lo había visto en directo, incluyendo alguna que no conocía y que me encantó, como Hill Farmer's Blues:

Por supuesto, el público vibró más con los clásicos de Dire Straits: Romeo and Juliet, Sultans of Swing, Telegraph Road (en el solo del final la gente se volvió loca), Brothers in Arms y So Far Away.

Aunque a mí la canción que más me gustó fue Speedway at Nazareth. ¡IMPRESIONANTE!

Debo reconocer, sin embargo, que me dio la sensación de que este concierto había sonado algo peor que los anteriores, y que Mark no estaba tan fino a la guitarra como en otras ocasiones (así que,lo primero que pensé es que la edad y la lesión que le obligó a tocar sentado habían influido algo...). En el blog de Richard Bennet, que escribe las notas de la gira, parece que he encontrado algunas otras razones:

Aparte del calor, que les hacía sudar las manos y, en ocasiones, dificultaba la visión al caerles goterones en los ojos, había una inmensa cantidad de mosquitos alrededor de los músicos. Para más inri, Mark iba de blanco, por lo que estaba completamente rodeado. Richard Bennet asegura que cree que Mark debió comerse varios mosquitos y habla de una lucha entre el hombre y la naturaleza, como una analogía de la lucha entre el torero y el toro, ya que nos encontrábamos en la plaza de toros.

También dice que el público cordobés fue el más ruidoso de toda la gira y el que más aplaudió y animó.

En fin, una gran noche de verano. Mi enhorabuena a los organizadores del Festival de la guitarra de Córdoba por conseguir que artistas de este nivel vengan a tocar a España.

Saludos!

Chistes gráficos sobre educación (e-faro.info)

2010-07-18T15:30:00.008+02:00

Hola!

A través del blog de mi amigo José Domingo Muñoz he encontrado esta viñeta que me ha hecho mucha gracia:

Creo que refleja bastante bien la realidad educativa española... al menos la que yo conozco, como alumno y como profesor. Me encanta el mensaje que transmite:

"Si quieres que algo cambie, cambia algo.
Si haces lo mismo de siempre, tendrás lo mismo de siempre"

Pues bien, en el dibujo aparece la web de los creadores y tienen una lista inmensa de chistes gráficos sobre educación. Muy recomendable.

Un saludo!

Formatear PenDrive en GNU/Linux

2010-07-09T17:48:00.004+02:00

Hola!

Cada vez que tengo que formatear un PenDrive en GNU/Linux tengo que buscar en Internet porque siempre olvido el comando para hacerlo, así que he decidido escribirlo, a ver si así lo memorizo :-)

Lo primero que hay que hacer es comprobar la partición sobre la que se ha montado el PenDrive. Podemos hacerlo con la orden mount, pero a mí me resulta más cómodo localizarlo con df:

En mi caso, la partición era /dev/sdb1. A continuación hay que desmontar el PenDrive:

sudo umount /dev/sdb1

Y ya podemos formatearlo con el comando mkfs eligiendo el sistema de archivos (¡ojo con equivocarse al escribir el nombre de la partición que puedes formatear tu disco duro!):

sudo mkfs.vfat /dev/sdb1

Por último, podemos cambiar el nombre del PenDrive con la orden e2label:

sudo e2label /dev/sdb1 usbPenDrive

Saludos!

Controlar las presentaciones Impress con el móvil: mOOo Impress Controller

2010-06-27T20:50:00.008+02:00

Buscando una aplicación que permita controlar las presentaciones Impress por bluetooth, he encontrado mOOo Impress Controller.

Existen varios tutoriales que explican su instalación y configuración, pero yo me he encontrado un par de problemillas al tratar de instalarlo en Ubuntu 10.04 que me han tenido un buen ratito buscando por Internet hasta que los he podido solucionar.

Primero: al tratar de instalar la extensión mOOo recibí un error: CannotRegister ImplementationException

Para solucionarlo tuve que instalar el paquete openoffice.org-java-common.

Segundo: una vez añadida la extensión en el ordenador e instalada la aplicación en el móvil, al buscar dispositivos bluetooth para controlar la presentación recibía el error BlueCove not installed.

Para solucionarlo instalé los paquetes bluez y libbluetooth-dev. Además hay que crear un enlace simbólico para que Bluez y BlueCove funcionen correctamente:

sudo ln -s /usr/lib/libbluetooth.so /usr/lib/libbluetooth.so.2

(Esto último me ha traido de cabeza...¡Gracias Luis!)

Listo, ya he comenzado a probarlo y funciona perfectamente.

Y tú, ¿conoces otras aplicaciones para controlar las diapositivas con el móvil?

Arquitectura Multiagente para el Servicio de Autobuses de Sevilla

2010-06-22T19:07:00.003+02:00

Esta práctica de arquitectura multiagente, que tuvimos que realizar para la asignatura Arquitecturas Software y Familias de Productos, fue muy interesante.

Se trataba de desarrollar un modelo parcial de una sociedad de agentes en un dominio de
aplicación elegido por nosotros. Artículos, papers, presentaciones y libros teóricos de sistemas multiagentes existen muchos; sin embargo, nos resultó muy complicado encontrar documentación aplicada a la práctica, por lo que este ejercicio fue de los más difíciles de superar. Es por ello que me decido a compartirlo, para que futuros estudiantes lo tengan un pelín más sencillo y este documento pueda servirles de inspiración :-)

Nos decidimos a diseñar un sistema multiagente que pudiera ser implantado por la empresa de autobuses de Sevilla TUSSAM, de forma que los procesos que se llevan a cabo por los usuarios y trabajadores de la empresa queden registrados, para poder tener estadísticas precisas y exactas que ayuden a los responsables a tomar las mejores decisiones para aumentar la productividad y el grado de satisfacción de los usuarios.

Aquí os lo dejo:

Arquitectura Multiagente para el Servicio de Autobuses de Sevilla

View more documents from Jesus Moreno Leon.

Un saludo!

Generar archivos P12 (PKCS #12) con OpenSSL

2010-05-11T17:33:00.006+02:00

PKCS (Public Key Cryptography Standard, Estándares de Criptografía de Clave Pública) es un conjunto de estándares que facilitan la administración y mantenimiento de certificados digitales X.509.

En concreto, PKCS #12, el estándar de sintaxis de intercambio de información personal, define un formato portable (empaquetado) para almacenar o transportar las claves privadas y los certificados digitales.

Este tipo de empaquetados presentan un formato binario y pueden contener distintos elementos. Lo habitual es crear un fichero que contendrá el certificado digital de un usuario (o servidor), la clave privada asociada y el certicado de la Autoridad de Certificación que firmó el certificado del usuario.

Este formato es el que entienden los sistemas Ms Windows y GNU/Linux, Java Key Store o Tomcat, entre otros. Por tanto, tras emitir la Entidad de Certificación los certificados de los usuarios y los servidores, pueden generarse ficheros .p12 para ser transportados e importados en los sistemas implicados en una VPN, por ejemplo.

¿Cómo se genera este tipo de ficheros con OpenSSL?

OpenSSL solicitará un password para proteger el fichero cifrándolo (que es opcional y puede dejarse en blanco) que será solicitado cuando se trate de importar el archivo generado, usuario.p12, en otro sistema.

Saludos!

NOTA: Este post está basado en el libro Redes Privadas Virtuales de Javier Andrés Alonso. Ed. Ra-Ma.

OpenVPN: Configuración de VPN basada en SSL/TLS

2010-04-28T16:38:00.003+02:00

OpenVPN es un proyecto libre que implementa una solución VPN basada en SSL/TLS. En este post os voy a dejar las diapositivas de introducción a este producto y una guía de configuración del mismo para establecer VPNs de acceso remoto y sitio a sitio.

Estas diapositivas explican de forma sencilla las características principales del producto, que van a permitir comprender las ventajas e inconvenientes que presentan frente a otras soluciones VPN, y unas indicaciones para los primeros pasos con la aplicación: instalación, ficheros de configuración, parámetros principales y puesta en marcha.

OpenVPN: una solución VPN basada en SSL/TLS

View more presentations from IES Gonzalo Nazareno.

Este otro documento es una guía más técnica en la que se definen los ficheros de configuración para servidores y clientes para establecer una VPN de acceso remoto y una VPN site-to-site, con autenticación TLS basada en certificados X.509.

Guía de configuracion Openvpn

View more documents from IES Gonzalo Nazareno.

Cisco IOS Easy VPN Server (Remote Access)

2010-04-23T21:40:00.008+02:00

Encontrar documentación para implementar una VPN de acceso remoto basada en IPSec utilizando un router Cisco como servidor VPN, no ha sido una tarea sencilla. La mayor parte de las guías que he encontrado se referían a dispositivos ASA, y los recursos que explicaban la configuración usando el propio router como servidor utilizaban PPTP, un protocolo que ya ha quedado en desuso, o L2TP con autenticación IPSec.

Finalmente, en el libro CCSP SNRS Quick Reference Sheets, de Brandon James Carroll, he encontrado la solución. [En este enlace puedes consultar el libro online].

Las diapositivas que os paso muestran como configurar un router Cisco (con una versión de IOS 12.4 o superior) como servidor IOS Easy VPN Server, para implementar una VPN de acceso remoto basada en IPSec. Los clientes tendrán que usar para establecer la conexión el software Cisco Easy VPn Client.

Cisco ios easy vpn server

View more presentations from IES Gonzalo Nazareno.

Se puede usar Packet Tracer para comprobar el funciomaniento del escenario. Yo he usado la versión 5.2 del simulador, utilizando un router 1841 con la versión 12.3 de IOS. Tras configurar el router, lanzar el cliente de VPN, establecer la sesión VPN y recibir la nueva dirección IP para acceder a los recursos de la oficina central, cuando intento realizar un ping a una de las máquinas de la red interna, el simulador se cierra. Es una pena no poder observar el contenido de cada paquete enviado para estudiar la encapsulación ESP. Me imagino que en las versiones posteriores de Packet Tracer habrán solucionado este problema.

Saludos!

IPSec VPN site-to-site, CISCO IOS

2010-04-23T09:13:00.004+02:00

Una de las cosas que más me gustan de CISCO es la documentación técnica que ponen a disposición de los usuarios en su web. En este caso, buscando información sobre la configuración de routers CISCO para implementar una VPN site-to-site basada en IPSec, encontré esta guía de configuración, que es estupenda.

Basándome en esta guía he preparado unas diapositivas que explican paso a paso los comandos necesarios para la configuración de una VPN IPSec entre dos oficinas utilzando un secreto compartido. De cada comando utilizado se ha incluido una breve explicación de su objetivo y de los diferentes parámetros que pueden usarse.

Además, para practicar, puede utilizarse Packet Tracert. Yo he realizado la prueba con la versión 5.2 del simulador, utilizando routers 1841 con la versión 12.3 del CISCO IOS. El único comando que no funciona en el simulador es de la configuración de los paquetes hello, que es un paso opcional, por lo que puede implementarse la VPN, estudiar los paquetes de la negociación IKE y observar cómo se encapsula toda la comunicación posterior con ESP. Es un gustazo verlo funcionando :-)

Un saludo!

Cisco site to-site vpn

View more presentations from IES Gonzalo Nazareno.

VPN, redes privadas virtuales

2010-04-22T17:33:00.005+02:00

Durante estas semanas estamos trabajando con diferentes soluciones VPN (Cisco, ISA Server y OpenVPN) y voy a ir colgando en el blog todo el material que estamos generando.

En este primer post os enlazo un par de presentaciones de introducción y conceptos básicos.

1. VPN - Virtual Private Network:
- Introducción
- Tipos de VPN
- Ventajas y limitaciones
- VPN tunneling protocols
- Soluciones VPN

VPN: Virtual Private network

View more presentations from IES Gonzalo Nazareno.

2- IPSec VPNs:
- ¿Qué es IPSec?
- Los bloques que componen IPSec
- Modos de funcionamiento
- Autenticación de dispositivos en IPSec VPNs
- Tipos de claves criptográficas
- ¿Seguridad en una red pública? ¿Es posible?
- Algoritmos de cifrado
- Integridad
- IKE Fase 1
- IKE Fase 2
- IKE Fase 1.5

IPSec VPNs

View more presentations from jmorenol.

Instalar Moblin en HP Compaq

2010-04-19T22:26:00.007+02:00

Hola!

Esta tarde, cansado del rendimiento de un netbook (HP Compaq) que venía instalado con XP, he decidido probar alguno de los SO diseñados para estos dispositivos.

Viendo el vídeo de presentación de Moblin parece que tiene muy buena pinta:

Como faltan 10 días para que salga la nueva versión de Ubuntu Netbook Remix me he decidido a probar Moblin.

Los pasos para su instalación son muy sencillos:

1. Descargar la imagen .img.

2. Copiar byte a byte la imagen al pendrive. Para ello he usado el programa Win32DiskImager.

Al lanzar el programa he obtenido el error 8. Me he ido a la página del proyecto y en uno de los foros he encontrado la solución, que era muy sencilla: hay que ejecutar el programa con permisos de administración.

3. Arrancar el netbook con el pendrive enchufado. Elegir el dispositivo desde el que arrancar (en mi Compaq pulsando F9) y escoger usb memory.

Los pasos de la instalación son muy sencillos (idioma, particionamiento...) y el proceso es rapidísimo.

Una vez instalado comienzo a jugar con la interfaz, que es muy atractiva e intuitiva. Pongo un par de notas, lanzo un par de juegos, pero, al arrancar el navegador... error :-/.

Me voy a buscar las redes y ... no se encuentra ninguna red. Parece que la tarjeta inalámbrica del Compaq no está soportada. Las actualizaciones de Moblin están paradas y el sitio parece poco actualizado. Leyendo un poco por Internet me he enterado de que el proyecto está parado, ya que Intel y Nokia han fusionado Moblin y Maemo en Meego.

Por lo que veo aún está un poco verde la historia. Mañana descargaré e instalaré la Ubuntu Netbook Remix, pero habrá que estar atento a la evolución de Meego.

Saludos!

FAVS, planetas de blogs docentes

2010-04-18T17:38:00.007+02:00

Esta va a ser la primera de una serie de entradas en las que voy a ir colgando en el blog el material que elaboré durante el máster en Sistemas Telemáticos e Informáticos que he realizado los cursos 2007/2008 y 2008/2009.

Después de una temporada de descanso (y abandono del blog), me he decidido a volver a escribir. Y mientras voy cogiendo ritmo, iré publicando las memorias de las prácticas y todo el material que fui escribiendo durante esos dos años.

Voy a empezar por el final, por el Proyecto Fin de Máster. Así que os dejo por aquí la memoria y las diapositivas que utilicé en la presentación.

Favs

View more documents from jmorenol.

Transparencias favs

View more presentations from jmorenol.

Finalistas de los Trophées du Libre 2009

2009-04-09T18:18:00.004+02:00

Se acerca el momento... el día 22 se sabrá quiénes son los finalistas de esta edición de los Trophées du Libre 2009.

Sin duda, uno de mis favoritos es FAVS :-)

Un saludo!

Trophées du Libre 2009

2009-01-29T18:11:00.004+01:00

Hace 45 días que se abrieron las convocatorias de proyectos para los Trophées 2009.
Hasta ahora, cerca de 50 proyectos son candidatos. El objetivo de la organización es llegar a los 150 proyectos.

La fecha límite para enviar un proyecto es el 15 de Febrero de 2009.

La entrega de los Trophées está prevista para el inicio del mes de junio de 2009. El objetivo prioritario, al igual que en los años anteriores, sigue siendo destacar las innovaciones más interesantes entre las soluciones de Software Libre en 8 categorías.

FAVS ha sido seleccionado para la categoría de Educación. Anímate y participa!