Archivo

Archive for the ‘seguridad’ Category

Mi red hogareña – KVM, pfSense, OpenWRT, VLAN, etc.

19 junio, 2017 2 comentarios

Después de no haber publicado nada en el blog desde hace más tiempo del que quiero admitir, hoy les vengo a contar que hace tiempo que tengo una red hogareña, lo cual no es ningún secreto, que no es la típica red del común de la gente, sino que tiene ciertos toques que serían más necesarios y justificables en una pequeña empresa más que en una casa, pero … y bueno, ¿porque no? 🙂

Si bien hace tiempo que venía andando muy bien, tuve un llamado de atención hace unos días, cuando encontré un supuesto intruso en mi red, ya que había un lease DHCP que no pertenecía a ningún dispositivo de los que se conectan normalmente. Noté esto porque tengo las direcciones MAC asociadas a las IP que se le asignan a dichos dispositivos y justamente había un dispositivo con una dirección MAC desconocida.

Esto llevó a que decidiera cerrar aún más la seguridad de mi red, por la cual ya no se asignan direcciones IP a dispositivos que no tengan la dirección MAC habilitada en mi firewall y debido a esto me vi en la necesidad de implementar una red wifi para invitados, la cual fue implementada mediante una VLAN para mantener el tráfico separado de la WLAN y la LAN internas.

Antes de pasar a describir como está configurada mi red, si, ya se, el control de acceso por MAC no garantiza mucha seguridad. Pero también está la seguridad WPA2, por lo que hay una combinación de las dos para acceder, lo cual tampoco significa que sea 100% seguro, pero es mayor seguridad que utilizar solamente una de las dos opciones anteriores.

En cuanto a hardware hay unas cuantas cosas, nada muy espectacular, pero suficiente para hacer el trabajo requerido. Sin entrar en detalle de los clientes de la red, les comento el hardware que hay instalado:

  • Cisco 677
  • Arris Surfboard SBG6700-AC
  • PC comun y silvestre que se cree un server de virtualización con KVM, la cual virtualiza a:
    • una PC más común y silvestre aún que se cree un grade class firewall
    • a otra PC también de medio pelo, que se cree que es un server con Debian
  • Router Netgear R7000 AC1900 dual band Gigabit (esto es lo mejorcito de la red) con Xwrt-Vortex en lugar del firmware de Netgear
  • Router TP-Link WDR3600 N600 dual band Gigabit (este era bueno hace un tiempo pero ya evidencia su edad) con OpenWRT para poder usar VLANs
  • Switch genérico de 8 bocas que tiene no se cuantos años…. (por lo cual no, no es Gigabit)
  • HD de 2TB USB3
  • Varias cosas como Chromecast, RaspBerrys, teléfobnos celulares, tablet, notebooks, algún que otro server Sun muy añejo y algunas cosas más dando vueltas como módulos ESP8266 para Arduino, pero eso ya es para otro post.

Ahora bien, en lugar de seguir contándoles el porque de mis decisiones, les voy a mostrar en un diagrama como está configurada mi red y comentaré algunos detalles de la misma.

Network pablot

Mi red “hogareña”

Bien, vayamos por partes “dijo Jack”, como les decía no es la típica red hogareña, y en primera instancia vemos que tenemos dos proveedores de Internet, Fibertel (12Mb) y Arnet (3Mb), cable y ADSL respectivamente.

Esto es así porque mi esposa utiliza la red para trabajar y los proveedores de Internet en Argentina no son todo lo confiables que uno quisiera, por lo que al tener dos disminuye notablemente la posibilidad de quedarnos sin Internet en casa.

Como se ve en el diagrama, el vínculo de Arnet está conectado a través de un Cisco 677 en modo bridge, el cual es como decimos nosotros “un fierro”. Este “bichito” tiene más de 15 años funcionando 24 hs al día, casi 365 días al año (excepto vacaciones) y funciona a la perfección… por algo Cisco es Cisco en materia de networking.

En cambio el vínculo de Fibertel desde el 2013 ya va por el tercer router, ya han pasado dos Motorola Surfboard SBG901 que han dejado de funcionar y ahora hay un Arris Surfboard SBG6700-AC. En todos los casos siempre también en modo bridge. Les recomiendo pedirle a Fibertel que se los pase a modo bridge y evitar así la aventura de hacerlo ustedes, ya que aparentemente vienen con el firmware modificado y si bien se puede poner en modo bridge si uno es lo suficientemente empecinado, se reniega bastante y no vale la pena tanto esfuerzo, pero si quieren experimentar, adelante!

Ambos vínculos están conectados a una PC con Linux, la cual tiene 3 placas de red, dos para los vínculos de internet y uno para la LAN. Esta PC hace las veces de server de virtualización gracias a KVM, en la cual tengo virtualizados un par de servers, uno de ellos es el firewall, el cual es pfSense y el otro un server Debian para experimentar un poco.

Dos notas al margen, la primera es que para este setup funcionan mucho mejor los drivers virtio tanto para los HD virtualizados como para las placas de red; la segunda es que tengo conectado a esta PC por el puerto paralelo una pequeña cajita con 8 leds que pueden configurarse para mostrar el estado de diferentes cosas del server, en mi caso el tráfico de red en las distintas placas de red, todo esto gracias a un viejo soft llamado portato.

Este server, no tiene monitor y se accede por SSH y de ahí mediante un server X11 instalado en cualquier cliente para levantar el software de configuración de KVM, en este caso el Virtual Machine Manager y libvirt como se ve en la siguiente imagen.

virt-manager

Virtual Machine Manager

Como más de uno ya se habrá dado cuenta, pfSense es el corazón de toda mi red, el cual recomiendo enfáticamente, ya que brinda una amplia gama de posibilidades en cuanto a configuración y es realmente muy seguro. Está basado en FreeBSD, el cual es uno de los S.O. con mejor seguridad que existen, incluso superior a Linux.

En mi caso tengo configurada una VPN mediante OpenVPN que me permite conectarme remotamente a mi red desde cualquier lado.

También como algunos habrán notado tengo configurado IPv6 en mi led local y un tunnel IPv6 con Hurricane Electric para poder navegar por Internet con IPv6 por lo sitios que lo soportan. Por lo que me conecto a Hurricane Electric mediante mi tunel y luego de ahi salgo por IPv6 a Internet. Por el momento lo tengo configurado solo sobre el vínculo de Fibertel, pero en un futuro lo configuraré para Arnet también.

Gracias a las posibilidades multi WAN de pfSense, tengo configurado balanceo de carga y failover, para que de esta manera cuando se cae uno de los dos vínculos de Internet, se sigue navegando de manera transparente sin que se corte la conectividad.

Cuidado que esto no es lo mismo que sumar los anchos de banda, eso es otra cosa que se conoce como bonding.

Por último, también en pfSense tengo configurada una VLAN sobre la LAN, la cual se extiende a dos routers inalámbricos. La VLAN para invitados me permite tener completamente aislada mi LAN de lo que los invitados puedan hacer en la VLAN, ya que la LAN es totalmente invisible para la VLAN de invitados.

Respecto a los routers, uno de ellos, conectado a la interface de la LAN de mi pfSense es un router Netgear R7000 con el firmware Xwrt-vortex que mejora notablemente las posibilidades del firmware original de Netgear. El R7000 es un excelente router AC1900 dual 802.11ac Gigabit.

De todas maneras el R7000 funciona como un AP, pero tiene configurada la VLAN para la red wifi de invitados, la cual es provista por un segundo router un poco más antiguo, un TP-Link WDR3600, también en modo AP, el cual es un N600 también dual band Gigabit, que tiene instalado el firmware OpenWRT que permite utilizar VLANs ya que el original no lo soporta.

En realidad no hay ninguna necesidad de tener dos routers para montar la VLAN de invitados, pero como el pobre WDR3600 se había quedado sin trabajo cuando llegó el R7000 de reemplazo, decidí que una buena tarea para el era ocuparse de la wifi para invitados.

Volviendo al R7000, tiene un disco externo de 2TB conectado por USB3 que hace las veces de una mini NAS de los pobres para mi red. También hay un pequeño switch de 8 bocas para conectar algunos otros dispositivos.

Luego de esto pasamos a una variada gama de dispositivos que van y vienen, varios teléfonos celulares, notebooks, tabletas, chromecast, raspberrys, consolas de juego, smartTV, smartwatch, etc.

Aprovechando cuando se puede los 5GHz de la red y sino los 2.4GHz para los dispositivos que no lo soportan.

Como verán no es la típica red hogareña, pero es mi red hogareña y es bastante segura y versátil para las necesidades mías y de mi familia, siendo también lo bastante segura como para estar relativamente tranquilo en cuanto a la seguridad.

Se habrán dado cuenta que pasé por muchos temas los cuales casi no fueron detallados, ya que transformar esto en un tutorial lo haría muy extenso, pero sin llegar al extremo de dar explicaciones detalladas de como montar algo similar, estoy abierto a recibir las consultas que puedan tener sobre algunos detalles de la red, ya que como imaginaran hay mucha configuración sobre la que no me he explayado, sobre todo en el caso de pfSense que es donde más he trabajado para lograr la configuración actual y varias reglas del firewall en las distintas interfaces que tiene; que en realidad si bien son 3 físicamente, en la práctica son 5, como se ve a continuación en el Dashboard de pfSense, ya que el tunel IPv6 de Hurricane Electric está sobre la interface de Fibertel y la VLAN está sobre la interface de la LAN.

56279ac4-0cac-47cd-bacb-b83e817f7414.png

Motorola Defy rooteado…

30 mayo, 2011 9 comentarios

Listo, acabo de rootear el Motorola Defy con SuperOneClick. Fácil y efectivo. Intenté con el z4droid y con métodos manuales, pero el punto es que parece ser que el Android 2.2.1 (el que tiene mi Defy) no permite ser rooteado de esa manera, pero el SuperOneClick lo hace de maravillas, simple y efectivo!.

Por si lo necesitan les dejo el link donde esta todo muy, pero muy fácil.

http://www.grupoandroid.com/topic/17380-rootear-defy/

Y acá esta el SuperOneClick 2.1.1 que usé.

Por las dudas y porque es muy cortito 😉 les dejo el post de Facudroid con la explicación:

Me encontre con el problema que los Defy nuevos con Android 2.2.1 no podian rootearse con Z4ROOT, asi que me puse a buscar en internet gracias al comentario de otro user y encontre este metodo para hacerlo:

Primero y principal tienen que bajar e instalar los drivers de motorola

Motorola Driver

Despues van a poner el usb de su telefono en modo debug, para eso van a configuraciones -> aplicaciones -> desarrollo -> activan Depuracion de USB

Seguido a esto bajan Super One Click

Super 1 click

NOTA: El user CanallaManiaco tuvo problemas con la version que subi, si les llega a pasar, el lo solucionó con esta

Lo descomprimen y ejecutan como administrador (si estan en windows vista o 7) el ejecutable SuperOneClick.exe

Una vez que el programa abra, hacen click en el boton que dice ROOT y esperan a que en la pantalla aparezca Waiting for device…

Ahora conectan su telefono en modo solo cargar, no en modo almacenamiento u otro esto es MUY IMPORTANTE!!!!

El programa deberia reconocer su telefono y empezar a trabajar, si les pregunta si quieren instalar busy box, pongan que si.

Esperen y listo, Defy rooteado, tiene que reiniciarlo para que los cambios tengan efecto.

Próxima parada… custom ROM 😉

Detector de tráfico no deseado para OpenWRT (para WRT54g) Parte II

20 febrero, 2009 2 comentarios

¿Se acuerdan del detector de tráfico no deseado para OpenWRT?. Bueno, el tema es que como dije en mi post anterior, al actualizar a OpenWRT Kamikaze, la utilidad gpio dejó de funcionar, por lo que el feedback visual que proporcionaba este hack si alguien accedía a nuestra red, desapareció.

La solución es más simple de lo que parece, ya que aparentemente a partir de la versión RC6 de White Russian (creo) los leds están presentes en /proc/diag/led como se ve a continuación:

root@OpenWrt:/proc/diag/led# ls -l
-r--------    1 root     root            0 Jan  1 01:29 dmz
-r--------    1 root     root            0 Jan  1 01:29 power
-r--------    1 root     root            0 Jan  1 01:29 ses_orange
-r--------    1 root     root            0 Jan  1 01:29 ses_white
-r--------    1 root     root            0 Jan  1 01:29 wlan
root@
OpenWrt:/proc/diag/led#

Esto permite que si queremos por ejemplo encender el led naranja detrás del logo de Cisco, sólo tengamos que hacer:

root@OpenWrt:/proc/diag/led# echo "1" > /proc/diag/led/ses_orange

Sin necesidad de recurrir a la herramienta gpio que era necesaria antes. De esta misma manera se puede controlar cualquiera de los otros leds, con solo mandar un 1 para encenderlos y un 0 para apagarlos.

Todo esto nos sirve para simplificar el script que usábamos en la versión anterior (White Russian) y que sólo tengamos que hacer lo siguiente:

Agregar el archivo /usr/bin/wl-traf.sh (y darle permiso de ejecución) con el siguiente contenido:

#!/bin/sh
#
I=wl0
while sleep 1; do
if [ "`wl assoclist`" != "" ]; then
XFER=`ifconfig $I|grep bytes`

if [ "$XFER" != "$PXFER" ]; then
# Si hay transferencia prendo el led ambar
echo "1" > /proc/diag/led/ses_orange
echo "0" > /proc/diag/led/ses_white
PXFER=$XFER
else
# Si no hay transferencia prendo el led blanco
echo "0" > /proc/diag/led/ses_orange
echo "1" > /proc/diag/led/ses_white
fi
else
echo "0" > /proc/diag/led/ses_orange
echo "0" > /proc/diag/led/ses_white
fi
done

Y por último agregar la siguiente línea al archivo /etc/init.d/custom-user-startup

/usr/bin/wl-traf.sh &

No se olviden del “&”, de esta manera será ejecutado cada vez que se inicie el router. Y por supuesto tampoco olviden que como en el caso anterior, va a ser necesario instalar el paquerte wl para que funcione.

Upgrade de OpenWRT White Russian 0.9 a Kamikaze 8.09

20 febrero, 2009 4 comentarios

wrt54g-smallFinalmente me decidí y actualicé el firmware de mi router Linksys wrt54g. Pasé del vetusto OpenWRT White Russian 0.9 al flamante OpenWRT Kamikaze 8.09.

Como novedad, al menos para mi, debo decir que ya no es necesaria la interfase Webif para administrarlo desde un browser, ya que ahora trae una interfase llamada LuCI integrada al firmware, aunque por supuesto también se le puede instalar Webif.

Cabe aclarar que si bien OpenWRT ya utiliza versiones 2.6 del kernel de Linux, para el caso de routers basados en Broadcom (como los Linksys), como se necesitan drivers propietarios aún se sigue con el kernel 2.4.

Otro cambio importante es que se abandonó el sistema de guardar las variables en la NVRAM y ahora se guardan en archivos de configuraciòn en /etc/config. Esto es principalmente debido a que como OpenWRT se ha extendido a plataformas que no poseen NVRAM, se ha debido tomar esta decisión para poder soportarlas. Este cambio hace que al pasar de White Russian a Kamikaze haya que volver a reconfigurar el router desde cero, ya que se pierden las configuraciones que tengamos.

Respecto al upgrade en si, no representa ningún problema ya que se hace desde la opción de upgrade del firmware desde Webif y funciona perfectamente, pero al reiniciarse el router queda con la configuración inicial y se debe volver a reconfigurar para poder utilizarlo.

La reconfiguración en si no fue gran problema y todo salió funcionando al igual que funcionaba anteriormente con la excepción de mi hack para detectar tráfico no deseado, ya que como esto se hacía por medio de los pins GPIO de la motherboard y jugar con esto estaba expresamente desaconsejado, pues bien, ha dejado de funcionar.

Excepto este problema menor, debo decir que todo funciona muy bien y aún debo dedicarme un poco más a explorarlo y ver que nuevas facilidades brinda.

Para Instalar X-Wrt o Webif solo hay que agregar al archivo `/etc/opkg.conf` la siguiente línea (cuidado que esto es en el caso de un router basado en Broadcom y con kernel 2.4, fíjense cual les corresponde si es otro modelo):

src X-Wrt http://downloads.x-wrt.org/xwrt/kamikaze/8.09/brcm-2.4/packages

De esta manera el archivo `/etc/opkg.conf` queda así:

src/gz snapshots http://downloads.openwrt.org/kamikaze/8.09/brcm-2.4/packages
dest root /
dest ram /tmp
lists_dir ext /var/opkg-lists
option overlay_root /jffs
src X-Wrt http://downloads.x-wrt.org/xwrt/kamikaze/8.09/brcm-2.4/packages

Luego hay que desinstalar LuCI de la siguiente manera:

root@OpenWRT:~# opkg remove -recursive luci-*

Y por último para instalar X-Wrt hay que tipear:

root@OpenWRT:~# opkg update

root@OpenWRT:~# opkg install webif

¡Y listo!

Twitteando por la calle con Wifi

7 enero, 2009 Deja un comentario

Siguiendo con la temática del post anterior, es increíble la cantidad de redes wifi que hay por todos lados.

Es posible ir twitteando por la calle, ya que con solo hacer 5 o 6 intentos seguramente encontraremos alguna red abierta que nos permitirá enviar nuestro mensaje a twitter sin siquiera tener que detenernos.

Algunas son redes públicas en serio, de bares, o lo que sea y otras son solo de desafortunadas personas que no han sabido o podido cerrar sus redes para que nadie las utilice.

Categorías:Geek, N95, seguridad, Tech, Telefonía Etiquetas: ,

Wifi: La telaraña invisible.

4 enero, 2009 1 comentario

Es increible todo lo que existe aunque uno no lo vea. Tal es el caso wifide la cantidad de redes wifi que hay por ahí.

Ayer di una vuelta haciendo Wardriving (o más precisamente Warwalking porque iba caminando) con GPSd y Barbelo corriendo en mi N95.

Encontré 30 redes wifi (la mayoría cerradas, lo cual es bueno) todas ellas en un recorrido de 3 o 4 cuadras.

Para quien le interese, solo tienen que tomar el log que deja Barbelo y convertirlo con kisgearth a un archivo kml que pueda ser cargado por Google Earth para ver todos los puntos de acceso y su localización en Google Earth.

Categorías:Geek, N95, Nokia, seguridad, Tech, Telefonía, wifi Etiquetas: , , ,

el podcast de pablot – Episodio 28 – ¿Se rompió Internet?

8 octubre, 2008 Deja un comentario

Luego de renegar bastante para encontrar tiempo, les hago entrega de un nuevo episodio del podcast, esta vez vamos a ver que es lo que esta pasando con Internet que se están encontrando serios problemas de seguridad cada vez más seguido ¡y más serios!. ¿Se rompió Internet?

podcasticonDescargar: el podcast de pablot – Episodio 28 – ¿Se rompió Internet?

Links adicionales: Más datos en Hispasec

Categorías:actualidad, episodios, podcast, seguridad, Tech Etiquetas: ,
A %d blogueros les gusta esto: