Buscar
CategorÃas
Nube de tags
futbol juegos beers cms bake films rsidenotes macosx cake iphone games mysql bsd lucux linux san_froilan apple frases seguridad bash cumpleaños programación blog mac ibook update hack php cakephp opinion openbsd felicidades freebsd humor mundial userlinux alemania_2006 league personal nintendo tip ds barça deportes 2008 lugo blogs soccer conciertos ubuntu rfilms web champions debian blogsfera meme ssh sidenotes copa 2007
Últimos comentarios
Webs amigas
Archivo
Year 2010
Year 2009
Year 2008
Year 2007
Year 2006
Year 2005
Year 2004
Year 2003
Year 2002
Promo
Links de interés
OpenBSD 4.4: reservas disponibles
Hasta el 1 de noviembre -teóricamente- no saldrá la nueva versión 4.4 de nuestro sistema operativo favorito, sin embargo las reservas ya están disponibles.
Comentan en undeadly que la release de este año es especialmente simbólica al coincidir en versión con su padre 4.4BSD-Lite (de Junio del 94). Como siempre, con gratas - sorpresas en su interior.
CVS: cvsweb con y sin chroot
CVSweb es un cgi que podemos instalar en el httpd para acceder al código fuente de nuestros repositorios y módulos cvs navegando por ellos como si de una página web se tratara (ejemplo).
Al ser un .cgi lo lógico es que vaya en el directorio cgi-bin/ del servidor, pero esto puede presentar más de un problema, bien porque no funcionen enlaces internos, hojas de estilo... y nos obligue a colocar ciertos archivos en ubicaciones predeterminadas que no gustan demasiado, bien porque queramos poner restricciones de acceso a través de .htaccess y presente un inconveniente dentro de cgi-bin.
Al ser un .cgi lo lógico es que vaya en el directorio cgi-bin/ del servidor, pero esto puede presentar más de un problema, bien porque no funcionen enlaces internos, hojas de estilo... y nos obligue a colocar ciertos archivos en ubicaciones predeterminadas que no gustan demasiado, bien porque queramos poner restricciones de acceso a través de .htaccess y presente un inconveniente dentro de cgi-bin.
CVS: primeros pasos
Hay quien dice que el uso de un servidor de versiones cuando el número de desarrolladores tiende a uno es injustificado, es posible que tengan razón pero llevo algunos años con la doble tarea -programar y versionar- y creo adecuado delegar responsabilidades en algo más fiable que yo.
Asà que he tomado la decisión de probar CVS. Antes de ir corriendo a por unos algodones para los oidos intentaré explicar el motivo de usar estas siglas y no otras. Lo primero que se me ocurre es que OpenBSD lo trae de serie. ¡Correcto! la máquina que versionará mi código fuente es un pez globo. Entiendo que pueda parecer demasiado cómodo, pero para no haber usado nunca un sistema de control de versiones y poder evaluar la utilidad del mismo es más que suficiente.
Asà que he tomado la decisión de probar CVS. Antes de ir corriendo a por unos algodones para los oidos intentaré explicar el motivo de usar estas siglas y no otras. Lo primero que se me ocurre es que OpenBSD lo trae de serie. ¡Correcto! la máquina que versionará mi código fuente es un pez globo. Entiendo que pueda parecer demasiado cómodo, pero para no haber usado nunca un sistema de control de versiones y poder evaluar la utilidad del mismo es más que suficiente.
Dudando por un nuevo muro
Es posible que sea el momento adecuado de hacer reflexión y volver a levantar el muro. Me refiero a la máquina más importante de la red local, la que reparte conexión, filtra y se come los deshechos orgánicos del resto del mundo.
Reciclemos, en dicha máquina hay varios servicios que llevan 1 año -desde la visita del amigo Juanjo- en funcionamiento y no se han explotado demasiado, léase ftpd, proxy e incluso httpd. Otros -servicios/aplicaciones- como symon, symux, snort y cacti serán caso de estudio, porque o no se han acabado de configurar eficientemente o no se están usando como debieran.
Reciclemos, en dicha máquina hay varios servicios que llevan 1 año -desde la visita del amigo Juanjo- en funcionamiento y no se han explotado demasiado, léase ftpd, proxy e incluso httpd. Otros -servicios/aplicaciones- como symon, symux, snort y cacti serán caso de estudio, porque o no se han acabado de configurar eficientemente o no se están usando como debieran.
Snort + Base en OpenBSD
Snort es uno de los sistemas de detección de intrusos (IDS) más populares. Base es una de sus múltiples herramientas de análisis básico y OpenBSD es uno de los sistemas operativos más seguros. Haremos una instalación básica para guardar todas las alertas en base de datos (MySQL) y veremos los primeros resultados.
Antes de nada un poco de teorÃa de Sistemas de detección de intrusos, tipos y caracterÃsticas...
Antes de nada un poco de teorÃa de Sistemas de detección de intrusos, tipos y caracterÃsticas...
Secure by default
OpenBSD es un Sistema Operativo cuya filosofÃa (tanto de uso como de desarrollo) se centra en la seguridad. Theo de Raatd ha descubierto recientemente el segundo bug remoto en la instalación por defecto durante los últimos 10 años.
Se trata de un buffer overflow del kernel en alguna parte del código (mbuf) que toca IPv6, pudiendo deshabilitarse fácilmente en PF a través de una regla 'block in inet6' o aplicando el correspondiente parche en sys/mbuf.h.
Ahora el slogan: OpenBSD, toda una garantÃa de seguridad.
Se trata de un buffer overflow del kernel en alguna parte del código (mbuf) que toca IPv6, pudiendo deshabilitarse fácilmente en PF a través de una regla 'block in inet6' o aplicando el correspondiente parche en sys/mbuf.h.
Ahora el slogan: OpenBSD, toda una garantÃa de seguridad.
Filtrado MAC en OpenBSD
Hablando de redes wireless toda medida de seguridad es poca para reducir el uso fraudulento de las mismas. En este caso con OpenBSD ejerciendo de punto de acceso los esfuerzos se minimizan.
He de decir que este tip no son más que un par de comandos sacados de una genial anotación del amigo Juanjo y de leer un par de páginas del manual (bridgename.if y brconfig). Ahora que ya sabeis dónde leer más y mejor, paso a pegar mi nota mental, para futuras ocasiones:
He de decir que este tip no son más que un par de comandos sacados de una genial anotación del amigo Juanjo y de leer un par de páginas del manual (bridgename.if y brconfig). Ahora que ya sabeis dónde leer más y mejor, paso a pegar mi nota mental, para futuras ocasiones:
# cat /etc/bridgename.bridge0 add rl0 add ath0 up # Wireless Client #1 rule pass in on ath0 src 00:aa:22:2a:1a:aa rule pass out on ath0 src 00:aa:22:2a:1a:aa # Wireless Client #2 rule pass in on ath0 src 11:bb:33:3b:2b:bb rule pass out on ath0 src 11:bb:33:3b:2b:bb # Blocked by default rule block in on ath0 rule block out on ath0Reiniciamos la configuración de la red (/etc/netstart ó brconfig bridge0 flushrule ath0) y con brconfig bridge0 ratificamos la corrección de las reglas. Probado y funcionando. Como dirÃa años atrás... simplicity is divine!.
Bloqueando ssh bruteforce con PF
Al hilo de la anterior entrada y buscando alternativas para bloquear todos esos ataques por fuerza bruta (bruteforce) al servicio de administración remota SSH he encontrado la solución ideal -o lo que más se le aproxima-, sin descartar las anteriores.
La regla mágica hace uso de una nueva caracterÃstica de Packet Filter (desde OpenBSD-3.7) llamada max-src-conn-rate. Lo que venimos a decirle a nuestro firewall es que permita todas las conexiones ssh con la salvedad de que no se sobrepasen 3 intentos en menos de 30 segundos, en dicho caso se agregará la IP del atacante a una lista llamada ssh-bruteforce, en pf.conf:
La regla mágica hace uso de una nueva caracterÃstica de Packet Filter (desde OpenBSD-3.7) llamada max-src-conn-rate. Lo que venimos a decirle a nuestro firewall es que permita todas las conexiones ssh con la salvedad de que no se sobrepasen 3 intentos en menos de 30 segundos, en dicho caso se agregará la IP del atacante a una lista llamada ssh-bruteforce, en pf.conf:
Emergencia... ¡OpenBSD!
- ¡Rápido!, necesitamos un equipo que reparta internet entre 10 clientes, ya sabes como va esto... ¡para ayer!.
- (pensando) ¡Cáspitas! me pillan en fuera de juego, no he hecho los deberes... hums (click), interesante (click), probemos:
- (pensando) ¡Cáspitas! me pillan en fuera de juego, no he hecho los deberes... hums (click), interesante (click), probemos:
$ date Fri Nov 24 17:19:46 CET 2006 $ wget -mc ftp://ftp.zedz.net/pub/OpenBSD.snapshot/openbsd40-i386-06-11-24.iso ...- (hablando con mis entrañas) Mientras tanto prepara el CD en la grabadora, ¡malditos insensatos!, nunca me gustaron demasiado estos plásticos... Al menos es Verbatim :D. ¿Cómo va la descarga?