|
| viZard |
Bueno bueno |
| viZard |
vamos a principiar |
| viZard |
las preguntas
a los expositores se hacen en el canal #qc |
| viZard |
las traducciones
al ingles en #redes |
| viZard |
Nuestros proximos
expònentes son peruanos |
| viZard |
y ambos trabajan
para el Instituto Nacional de Investigacion y capacitacion de Telecomunicaciones |
| viZard |
Diego Melendes
(dmms) y Jimmy Velasquez (jimmynew) |
| viZard |
la casa es
suya sres :-) |
| jimmyneut |
buenas tardes
amigos |
| jimmyneut |
hoy dia comenzaremos
con seguridad en linux |
| jimmyneut |
bueno empezare
con una introduccion |
| jimmyneut |
luego con
seguridad fisica |
| jimmyneut |
seguridad
local |
| jimmyneut |
seguridad
de sistemas de archivos |
| jimmyneut |
seguridad
de redes |
| jimmyneut |
y una aplicacion
de seguridad en redes privadas |
| jimmyneut |
como lo es
Freeswan |
| jimmyneut |
sabemos que
linux es un sistema multiusuario real |
| jimmyneut |
y es por es
esto que tiene la obligacion de proteger a unos usuarios frente a otros |
| jimmyneut |
y protegerse
a si mismo |
| jimmyneut |
Linux es una
excelente estacion de trabajo aislada |
| jimmyneut |
pero lo habitual |
| jimmyneut |
es que cada
maquina |
| jimmyneut |
linux esta
conectada a una red |
| jimmyneut |
y ademas |
| jimmyneut |
este prestando
servicios de red |
| jimmyneut |
el sistema
tiene la obligacion de garantizar los servicios que prestan |
| jimmyneut |
tambien quiero
remaracar el caracter |
| jimmyneut |
dinamico de
la seguridad de los sistemas de red |
| jimmyneut |
Continuamente |
| jimmyneut |
aparecen nuevos
metodos para consegir |
| jimmyneut |
accesos indebidos |
| jimmyneut |
o comprometen |
| jimmyneut |
el correcto
funcionamiento de la red |
| jimmyneut |
Esto obliga
a actualizar |
| jimmyneut |
permanentemente |
| jimmyneut |
y consultar |
| jimmyneut |
las publicaciones |
| jimmyneut |
que ayudaran
a hacer pequeños arreglos |
| jimmyneut |
ademas nos
informan de los ultimos sucesos detectados |
| jimmyneut |
Evidentemente |
| jimmyneut |
estas publicaciones |
| jimmyneut |
informan |
| jimmyneut |
principalmente
sobre las actividades |
| jimmyneut |
que ya se
han llevado a cabo |
| jimmyneut |
ademas tambien |
| jimmyneut |
se puede encontrar |
| jimmyneut |
informacion |
| jimmyneut |
sobre debilidades
detectadas |
| jimmyneut |
dentro de
un rato expondremos algunos metodos |
| jimmyneut |
generales |
| jimmyneut |
para prevenir |
| jimmyneut |
que nos hackeen |
| jimmyneut |
la primeras
medidas d seguridad que necesita tener en cuenta |
| jimmyneut |
son la seguridad
fisica de sus sistemas |
| jimmyneut |
hay que tomar
en cuenta |
| jimmyneut |
o en consideracion |
| jimmyneut |
quienes tienen
acceso fisico |
| jimmyneut |
a las maquinas |
| jimmyneut |
y si realmente
tienen que acceder |
| jimmyneut |
El nivel de
seguridad fisica que necesita en sus sistema depende de su situacion concreta |
| jimmyneut |
un usuario
domestico no necesita preocuparse demasiado por la proteccion fisica,salvo
proteger su maquina de los niños o algo asi |
| jimmyneut |
en una oficina
puede ser diferente |
| jimmyneut |
Linux proporciona
los niveles exigibles de seguridad fisica para un sistema operativo |
| jimmyneut |
1. un arranqueseguro |
| jimmyneut |
2. posibilidad
de bloquear las terminales |
| jimmyneut |
3. por supuesto
las capacidades de un sistema multiusuario real |
| jimmyneut |
cuando alguien
inicia el S.O Linux se encuentra con una pantalla de login |
| jimmyneut |
el sistema
esta pidiendo que se identifique |
| jimmyneut |
si es usuario
conocido podra trabajar con el sistema |
| jimmyneut |
si no lo es
no tendra opcion de hacer nada |
| jimmyneut |
Ademas el
sistema registra todos los intentos de acceso(fallidos o no) |
| jimmyneut |
por lo que
no pasaran desapercibidos |
| jimmyneut |
intentos repetidos
de acceso no autorizados |
| jimmyneut |
Lilo |
| jimmyneut |
es el encargado
de cargar el S.O en memoria y pasarle informacion |
| jimmyneut |
para su inicio |
| jimmyneut |
A su vez,puede
pàsarle parametros a Lilo para modificar su comportamiento |
| jimmyneut |
ahhh |
| jimmyneut |
me olvidaba |
| jimmyneut |
existen mas |
| jimmyneut |
como el GRUB |
| jimmyneut |
los bloqueos
de consola |
| jimmyneut |
por ejemplo |
| jimmyneut |
si se aleja
de su maquina de vez en cuando |
| jimmyneut |
estaria bien
bloquear |
| jimmyneut |
su consoal |
| jimmyneut |
para que nadie |
| jimmyneut |
pueda manipular |
| jimmyneut |
o mirar por
debajo |
| jimmyneut |
osea mirar
su trabajo |
| jimmyneut |
son dos los
programas |
| jimmyneut |
estos son |
| jimmyneut |
xlock y vlock |
| jimmyneut |
xlock bloquea
cuando nos encontramos en modo grafico |
| jimmyneut |
vlock es un
simple programa que le permite cerrar alguna o todas las consolas virtuales |
| jimmyneut |
de su maquina
linux |
| jimmyneut |
bueno esto
fue una pequeña introduccion |
| jimmyneut |
de LINUX |
| jimmyneut |
ahora los
dejo con Mauricio |
| jimmyneut |
luego continuare
mi exposicion |
| dmms |
Bueno, gracias
Jimmy |
| dmms |
Mi nombre
es Diego Mauricio Melendez S., ing. electronico |
| dmms |
trabajamos
junto con Jimmy en una entidad del Estado , INICTEL |
| dmms |
en la cual
formamos parte de la Red Experimental Linux |
| dmms |
el tema que
voy a exponerles hoy es VPN con FreeS/WAN |
| dmms |
asi que rapidamente
comenzamos con el temario: |
| dmms |
- VPN, definicion
global |
| dmms |
- Necesidad
de VPN con software libre |
| dmms |
- FreeS/WAN |
| dmms |
- Red Propuesta.
Instalacion y Configuracion |
| dmms |
Bueno, espero
que sea de su agrado... |
| dmms |
La mayoria
de uds. conoce el concepto de una VPN...la cual es una red privada que
permite comunicar dos redes remotas |
| dmms |
de forma segura
a traves de una red publica insegura, como lo es Internet por ejm. |
| dmms |
Estas redes
aprovechan el metodo del "tunneling" y la encriptacion para montar una
red local a traves de Internet, logrando comunicar dos nodos distantes |
| dmms |
abaratando
el costo que significa hacerlo mediante una linea dedicada. |
| dmms |
El termino
virtual significa la accion de que los usuarios solicitan servicios sobre
una red publica |
| dmms |
pero aparecen
como nodos locales en una red privada. |
| dmms |
El tunneling
es el metodo por el cual los gateways de seguridad son los encargados de
proporcionar tuneles para las conexiones entre los equipos de sus respectivas
redes.. |
| dmms |
Los equipos
clientes no necesitan realizar ningun proceso, todo lo que hacen es enviar
los paquetes hacia los gateways.. |
| dmms |
espero haber
aclarado a mucho el concepto de lo que es una VPN |
| dmms |
ahora, proseguimos
con el topico 2 |
| dmms |
Actualmente
en muchos paises, como Peru por ejm |
| dmms |
las diversas
empresas o instituciones cuentan con sistemas de comunicacion para interconectar
sus sedes, ya sea a nivel nacional o local, usando enlaces dedicados o
arrendados.. |
| dmms |
ademas estas
empresas e instituciones buscan una plataforma donde puedan desarrollar
sus sistemas de gestion de una manera segura, eficaz y con costos reducidos |
| dmms |
El costo que
demanda implementar un sistema de comunicacion es muy grande sobre todos
para las pequeñas empresas |
| dmms |
es por eso,
que surge la necesidad del uso del software libre.. |
| dmms |
El protocolo
que permite realizar estos metodos de tunneling y encriptacion es el IPSEC |
| dmms |
Dentro de
las implementaciones de IPSEC tenemos las siguientes: |
| dmms |
- Netasq |
| dmms |
- el ipsec
de OPenBSD |
| dmms |
-- NortelNetworks |
| dmms |
pero en el
cual va enfocado el tema de hoy es a la implementacion mediante FreeS/WAN |
| dmms |
Bueno, FreeSWAN
es una implemetacion del IPSEC para LINUX |
| dmms |
el cual se
desarrolla actualmente bajo las normas del IETF |
| dmms |
y segun algunas
pruebas realizadas hace poco tiempo en un seminario en Paris, |
| dmms |
en la cual
se hicieron pruebas con distintas implementaciones mencionadas anteriormente
y otras y se llego a la conclusion de que si no es la mas estable, es una
de las mejores |
| dmms |
Este proyecto
de FreeSWAN nacio ya hace unos años debido a la demanda de soluciones
para VPN |
| dmms |
y en muy poco
tiempo se ha desarrollado a pasos agigantados porque es una herramienta
de software libre. |
| dmms |
por eso la
importancia del desarrollo del software libre.. |
| dmms |
cada uno de
nosostros debe poner mucho de su parte para promover el uso y el "desarrollo"
del software libre en nuestros paises.. |
| dmms |
bueno, siguiendo
con el tema... |
| dmms |
dentro de
las pruebas realizadas en INICTEL |
| dmms |
nosotros formamos
una red pequeña para asi poder realizar las pruebas correspondientes..cabe
indicar que todas las pruebas realizadas lo hicimos usando la distribucion
RedHat 7.2 |
| dmms |
la cual nos
parecio muy estable comparada con otras, a las cuales no voy a mencionar
porque no soy el indicado para hacerlo.. |
| dmms |
Bueno, la
red "isla" que se formo esta conformada por 2 PC's, un gateway (el cual
es otra PC) y un hub |
| dmms |
esta red nos
permitio verificar el funcionamiento del IPSEC con FreeSWAN |
| dmms |
para asi poder
aplicarlo a una escala mucho mayor |
| dmms |
la conexion
era de la siguiente manera: |
| dmms |
PC1==>GW<==>[HUB]<==PC2 |
| dmms |
Logicamente
esta demas decir que el gateway GW tenia 2 tarjetas de red |
| dmms |
El FreeSWAN
se instaló tanto en la PC1 como en el GW |
| dmms |
la PC2 es
un usuario comun y corriente, el cual "no sabia" de la conexion al otro
lado, es decir la instalacion y configuracion de FreeSWAN era transparente
para el.. |
| dmms |
Bueno para
la instalacion del FreeSWAN usamos la version 1.96 |
| dmms |
el cual se
tuvo que descomprimir para luego insertarlo en el kernel |
| dmms |
una nota aparte
merece indicar algo que sucede a la hora de insertar freeswan en el kernel |
| dmms |
lo que paso
fue que al insertar el freeswan en el kernel, origino un kernel sin ninguna
opcion habilitada |
| dmms |
es decir,
no tenia habilitada el soporte de red, de ext3, es decir nada.. |
| dmms |
por eso como
precaucion si va realizar eso, seria bueno tomar las previsiones del caso |
| dmms |
ahora, no
se si comentarles las instrucciones usadas para instalar el freeswan o
mejor publico despues un documento detallando esto.. |
| dmms |
uds. diran |
| dmms |
bueno, prosiguiendo |
| dmms |
entonces |
| dmms |
ok, entonces
me comprometo a presentarles un documento guia de instalacion o sino despues
les indico mi correo para cualquier consulta |
| dmms |
seguimos.. |
| dmms |
se inserto
el freeswan tanto en la PC1 como en el gateway |
| dmms |
y luego se
comenzo a recompilar el nuevo kernel.. |
| dmms |
logrando de
esta manera un nuevo kernel con FreeSWAN incluido |
| dmms |
luego de reiniciar
las PC's, se debe verificar que el ipsec este corriendo en ambas maquinas |
| dmms |
se debe verificar
que existe una nueva interface creada la cual es llamada ipsec0 |
| dmms |
logicamente
con el comando ifconfig |
| dmms |
El IPsec utiliza
tres protocolos |
| dmms |
el ESP, el
AH y el IKE |
| dmms |
el protocolo
ESP es el que encripta y/o autentica los datos |
| dmms |
el AH, provee
el servicio de autenticacion de paquetes |
| dmms |
y el IKE,
es el que "negocia" los parametros de conexion, incluyendo las llaves o
claves que se manejan entre ellos |
| dmms |
Al instalar
el freeswan (ipsec) se generan dos archivos de configuracion muy importantes |
| dmms |
los cuales
son: el /etc/ipsec.conf |
| dmms |
y el /etc/ipsec.secrets |
| dmms |
en el archivo
ipsec.conf se coloca la descripcion de las conexiones a utilizar, es decir
por ejm: la conexion PC1 con PC2 se denotaria de la siguiente manera: |
| dmms |
conn PC1-PC2 |
| dmms |
y a continuacion
una serie de parametros que tienen que ver con las interfaces a usar, las
subredes que intervienen, |
| dmms |
y el tipo
de ejecucion del ipsec, el cual puede ser manual o automatico |
| dmms |
de mas esta
decir que la forma automatica es la mejor opcion |
| dmms |
los archivos
de configuracion que se uso (ipsec.conf) estaran en el documento a publicar,
asi que no se preocupen por eso |
| dmms |
ahora, en
las PC's que tienen ipsec se deben generar las llave publicas y privadas |
| dmms |
el archivo
/etc/ipsec.secrets guarda o almacena las llaves usadas para la conexion |
| dmms |
estas llaves
son usadas a la hora de ejecutar el ipsec en la comunicacion mediante un
"daemon" o demonio, el cual se llama "pluto" |
| dmms |
para generar
las claves se ejecuta el comando ipsec ranbits 256 > /etc/ipsec.secrets |
| dmms |
logicamente
para una mejor encriptacion el valor 256 se puede aumentar a 1024 pero
depende de la PC donde se ejecute porque si es una PC sin muchos recurso
esto tomaria un poco de tiempo |
| dmms |
este valor
es el numero de bits utilizado para generar la clave |
| dmms |
bueno, en
ambas PCs se realiza esto.. |
| dmms |
y estas claves
se copian en el archivo de configuracion ipsec.conf |
| dmms |
en este archivo
existen unos labels con el nombre leftrsasigkey |
| dmms |
y rightrsasigkey |
| dmms |
ambas tienen
que tener la clave de cada uno |
| dmms |
luego de realizado
esto llega el momento de probar el funcionamiento del FreeSWAN (ipsec) |
| dmms |
con el siguiente
comando |
| dmms |
para poder
realizar esto, una de las PC queda en modo espera o standby |
| dmms |
y en la otra
maquina se ejecuta el comando: |
| dmms |
ipsec --auto |
| dmms |
lograndose
la conexion |
| dmms |
ahora queremos
probar si realmente se realiza la encriptacion de datos.. |
| dmms |
para esto
ejecutamos lo que se llama un sniffer |
| dmms |
en nuestro
caso usamos el ethereal, el cual es muy potente |
| dmms |
y lo ejecutamos
de forma que analizara los paquetes que viajan entre PC1 y el gateway |
| dmms |
para probar
esto hicimos el analisis primero a la interface eth0 y luego a ipsec0 |
| dmms |
mediante un
simple telnet logramos ver que al analizar la interface eth0, se podia
ver claramente el password del usuario que se intentaba conectar mediante
telnet |
| dmms |
en cambio
al analizar la interface ipsec0, no se pudo relaizar esto debido a que
todos los datos realmente estaban encriptados.. |
| dmms |
los mensajes
y las capturas de pantalla lo podran ver en el documento ya que mediante
chat no lo puedo mostrar |
| dmms |
y asi se pudo
realizar con exito la comunicacion logrando implementar una pequeña
red virtual |
| dmms |
ahora, en
estos momentos se esta empezando a realizar pruebas a nivel mucho mayor,
como por ejm de una ciudad a otra, las cuales ojala las pueda compartir
con uds. |
| dmms |
bueno, eso
es todo por mi parte porquecreo que ya me pase del tiempo..disculpen por
eso |
| viZard |
PLAS PLAS
PLAS PLAS PLAS PLAS PLAS |
| dmms |
en realidad
quise compartir con uds. las pruebas que realizamos con software libre
en la entidad en la cual trabajo |
| MJesus |
clap clap
clap clap clap clap clap clap clap clap |
| viZard |
PLAS PLAS
PLAS PLAS PLAS PLAS PLAS |
| viZard |
PLAS PLAS
PLAS PLAS PLAS PLAS PLAS |
| MJesus |
clap clap
clap clap clap clap clap clap clap clap |
| MJesus |
clap clap
clap clap clap clap clap clap clap clap |
| viZard |
PLAS PLAS
PLAS PLAS PLAS PLAS PLAS |
| MJesus |
clap clap
clap clap clap clap clap clap clap clap |
| viZard |
se supone
que es un aplauso :) |
| sarnold |
clap clap
clap clap |
| sarnold |
clap clap
clap clap |
| sarnold |
clap clap
clap clap |
| dmms |
espero que
les haya entretenido la exposicion |
| E0x |
PLAS PLAS
PLAS PLAS PLAS PLAS PLAS |
| sarnold |
gracias por
presentations :) |
| E0x |
PLAS PLAS
PLAS PLAS PLAS PLAS PLAS |
| MJesus |
clap clap
clap clap clap clap clap clap clap clap |
| MJesus |
clap clap
clap clap clap clap clap clap clap clap |
| MJesus |
clap clap
clap clap clap clap clap clap clap clap |
| Borja |
plas plas
plas plas plas plas plas plas plas plas plas plas |
| E0x |
gracias gracias |
| Borja |
plas plas
plas plas plas plas plas plas plas plas plas plas |
| Borja |
plas plas
plas plas plas plas plas plas plas plas plas plas |
| Borja |
plas plas
plas plas plas plas plas plas plas plas plas plas |
| Borja |
plas plas
plas plas plas plas plas plas plas plas plas plas |
| boris1 |
sigue la charla
o que |
| viZard |
preguntas
en #qc |
| boris1 |
ok |
| viZard |
INFOSEC EN
RADIO TELEMADRID !!!!!! |
| Borja |
Lástima
que solamene se pueda escuchar con Windows... |
| viZard |
telemadrid
radio 101.3 FM |
| sarnold |
viZard: cool
:) |
| dmms |
bueno respondiendo
la pregunta de boris |
| ismak |
estoy grabandolo
en mp3 |
| gamer |
arf |
| viZard |
disponible
para windows en www.telemadrid.es |
| gamer |
vaya |
| gamer |
me perdi esta
charla :\ |
| ismak |
:-) |
| E0x |
http://www.telemadrid.es/Radio/radio.asp |
| * gamer is back |
| dmms |
en realidad
el hecho de implementar una vpn es para lograr la seguridad y confidencialidad
del caso.. |
| gamer |
para windows
ke detecte targeta de sonido, no viZard¿? XD |
| dmms |
ahora si me
hablas de la velocidad, logicamente un enlace punto a punto es mas rapido
por lo que la VPN tiene que viajar por internet |
| cronos |
perl -e 'for
(;;) { print(" clap clap clap \n") };' |
| dmms |
en todo caso
la diferencia de velocidad seria contrarestada con la seguridad |
| dmms |
n que situaciones
las vpn son mejor solucion que las redes privadas? |
| dmms |
bueno, en
el aspecto economico, el hecho de que freeswan sea una implementacion con
software libre te responde eso |
| jimmyneut |
alguna pregunta |
