Archivo de la etiqueta: Seguridad

Mikrotik Ipsec detrás de router NAT

15 respuestas

Mikrotik Ipsec detrás de un router NATHace unas semanas comenté la forma de crear un túnel entre dos equipos Mikrotik utilizando Ipsec. En aquella ocasión los equipos que establecían el túnel Ipsec eran a su vez los equipos que hacían NAT para el resto de nuestra red.

Esta situación, que es la recomendable, no siempre se produce y por consiguiente, en uno de los extremos, por delante de nuestro equipo Mikrotik tenemos un router que utiliza NAT para trasladar las direcciones ips internas al exterior. Estos routers generan un problema cuando hablamos de Ipsec ya que, al realizar la traslación de direcciones ips, modifica las cabeceras de los paquetes ip haciendo que el host remoto rechace dichos paquetes.

Existen no obstante routers en el mercado, los más nuevos, que soportan Ipsec Passthrough los cuales deberían detectar el tráfico Ipsec y permitir, no sólo que el túnel se establezca (cosa relativamente simple), sino que las tramas cifradas sean validadas por el host remoto y viceversa.

Mikrotik Ipsec ejemplo

Bien, para conseguir que nuestra VPN basada en Mikrotik Ipsec se establezca y funcione debemos  abrir los siguientes puertos hacia la ip del equipo Mikrotik que va a lanzar el túnel:

Port 50 TCP – Encapsulación de Cabeceras (ESP)

Port 51 TCP – Autenticación de Cabeceras (AH)

Port 500 UDP – Intercambio de claves (IKE)

Port 4500 TCP/UDP – Nat Transversal

Una vez configurado el PAT debemos prestar atención a la configuración del Policy Action de nuestro nodo Mikrotik en el cual habilitaremos la opción de NAT-Transversal. Posteriormente como dirección de inicio del túnel src-address usaremos la ip de nuestro equipo mikrotik en el segmento que le une al router, es decir, la misma ip sobre la que hemos redirigido los puertos desde nuestro router mientras que como dst-address usaremos la ip pública del concentrador de túneles.

Acciones de Política Mikrotik ipsec VPN

Finalmente, siempre que sea posible conecta tu equipo Mikrotik a tu operador sin routers intermedios eso te ahorrará quebraderos de cabeza. Por otro lado, la mayoría de los routers ADSL del mercado soportan la configuración en modo bridge, lo cual tampoco es una mala solución.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Cloud Backup con CTERA

Deja un comentario

CTERA Clod Backup CompanyEl pasado 8 de Noviembre un incendio devastó 4 plantas de un edificio del Ayuntamiento de León donde se encontraba el CPD (Centro de Proceso de Datos). Esta información que es real y que puedes ampliar aquí supondrá un verdadero quebradero de cabeza al consistorio por no mencionar al personal del Departamento de Informática. Como Consultor en Sistemas puedo asegurar que un desastre de esta magnitud dejaría fuera de combate a muchas empresas de capital privado con las que suelo colaborar.

Imagínate por un momento yendo en coche a trabajar y, re repente, donde antes se encontraba un magnífico edificio lleno de oficinas, ahora tan sólo hay cenizas y escombros. Si pudiéramos hacer un test de estrés en materia de Backup a las empresas… ¿Cuántas crees que lo superarían?

Este desastre me da pié para hablar de las soluciones CTERA a la hora de realizar un Cloud Backup. Entendiendo Cloud Backup como la posibilidad de realizar un backup en un dispositivo remoto a través de Internet.

Soluciones como Dropbox o Google Drive son muy útiles a la hora de tener siempre disponibles archivos y documentos personales. Sin embargo estas soluciones sólo deben ser utilizadas para respaldar contenido personal debido a que ninguna de ellas cumple la actual LOPD.

Para refrescar un poco la memoria sobre la LOPD hemos de decir que para que una solución de Cloud Backup se encuentre dentro de la LOPD debe cumplir los siguientes requisitos: la información debe viajar cifrada, debemos conocer la ubicación geográfica exacta donde se almacena esa información y por último debe de ser suscrito un documento de confidencialidad entre las partes.

Todos estos requisitos hacen que cualquier solución gratuita no cumpla las especificaciones mínimas de la LOPD y, por tanto, la información relativa al negocio NUNCA debe ser copiada fuera de la empresa por ninguno de estos médios.

Sin embargo, gracias a los constantes aumentos del de ancho de banda por parte de los proveedores de Internet, realizar un Cloud Backup del Core (Los datos esenciales) de nuestra Organización es algo posible a la par que recomendable. Imagina la posibilidad de recuperar toda la información importante de la empresa en caso de que ocurra un desastre natural con tan sólo disponer de una conexión a Internet. En el caso del Ayuntamiento de León desconozco si disponían de un backup de la información en un medio externo pero en cualquier caso, una solución Cloud Backup, en caso de desastre, es como tener un as en la manga.

El mejor proveedor a día de hoy que he encontrado en el mercado es CTERA. CTERA es un proveedor Israelí que ofrece sus soluciones de Cloud Backup a través de empresas ubicadas en España y cuyos centros de datos también se encuentran ubicados en nuestro país. Por otro lado, la información entre la sede cliente y el destino viaja cifrada y permanece cifrada. Finalmente, es posible firmar el acuerdo de confidencialidad entre proveedor y cliente por lo que CTERA se posiciona como una solución plenamente compatible con la LOPD.

Por último recordar que es la propia LOPD la que obliga a las empresas a mantener una copia de sus archivos fuera de las instalaciones de la misma por lo que el Cloud Backup cierra el círculo.

Si deseas más información sobre el Cloud Backup completa el siguiente cuestionario.

 

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Los peligros de las redes sociales.

Deja un comentario

Los Peligros de las Redes SocialesCuando te das de alta en cualquiera de las muchas redes sociales a tu alcance ¿eres realmente consciente de la importancia del paso que estás dando? Facebook, twitter, Linkedin, son realmente servicios maravillosos e impresionantes. Gracias a ellos puedes retomar el contacto con amigos de la infancia a los que hacía años habías perdido la pista, puedes compartir fotos, archivos multimedia, etc.

 

Millones de dólares en inversión, cientos de personas puestas al servicio del mantenimiento de estas gigantescas plataformas de comunicación sólo para tí. Sólo para satisfacer la imperiosa necesidad humana de comunicarse.

Sin embargo, desde el momento en el que pones un pie dentro del mundo de las redes sociales dejas de ser una persona “anónima” y comienzas a alimentar estas redes sociales con información personal.

Imagínate en una entrevista de trabajo para un puesto intermedio en una gran empresa. Te has preparado a conciencia, llevas chaqueta y hasta te has peinado. Todo va bien y el entrevistador se ha llevado una grata impresión. El puesto está casi en el bolsillo. Sin embargo, antes de contratar a una persona no sólo se tienen en cuenta sus aptitudes para el puesto sino que también son importantes aspectos sobre su personalidad ya que con toda probabilidad, tenga que trabajar en equipo. Nada más salir por la puerta el entrevistador, que dicho sea de paso tiene Facebook, busca información sobre tí en las redes sociales. Rápidamente encuentra una fotos tuyas con una camiseta en la que aparece una hoja verde de cierta planta con nombre de mujer sujetando la cabeza de otro chaval que parece estar vomitando mientras tú sonríes.

Lo primero que tenemos que tener en cuenta es que una vez que subimos información a Internet perdemos el control sobre la misma. Darse de alta en algunas de las redes sociales más famosas es tan sencillo como poner nuestro nombre, apellido, fecha de nacimiento, email y una contraseña. Sin embargo, darnos de baja en la mayoría de los casos es una tarea imposible.

Efectivamente, eres una persona adulta que sabe separar el tipo de información que publicas en las redes sociales sin embargo, la mayoría de los usuarios de estos servicios, jóvenes en su mayoría, desconocen muchos de los peligros que acechan en las redes sociales. Pero como adulto deberías echar un vistazo a los nuevos Términos y Condiciones de Facebook. No obstante, son precisamente las personas jóvenes las que, por ignorancia, comprometen su imagen compartiendo información que de ningún modo debe ser compartida a través de un medio como Internet.

Peligros de las Redes Sociales: el Sexting.

El sexting es una práctica que consiste en tomarse fotografías en poses sensuales. Como ya hemos comentado, al subir contenido a Internet estamos cediendo totalmente el control sobre dicho contenido el cual puede acabar en las manos equivocadas.

Grooming. Acoso sexual en las Redes Sociales

El Grooming es el acoso a menores con fines sexuales. Los jóvenes que sufren este tipo de acoso se ven obligados a enviar fotografías y vídeos con contenido sexual a sus acosadores.

Bulling en las Redes Sociales

Finalmente el Bulling es el acoso a menores sin fines sexuales. Los jóvenes que sufren Bulling se ven sometidos a contínuas vejaciones por parte de sus acosadores.

Espero que este artículo te haya servido para tener una visión más amplia sobre las redes sociales y los posibles riegos que entrañan.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

Image courtesy of [Stuart Miles] / FreeDigitalPhotos.net

Mikrotik ipsec VPN

53 respuestas

En este artículo vamos a unir dos sedes remotas utilizando Mikrotik ipsec VPN. Ésta solución nos servirá para interconectar dos sedes remotas de manera segura a través de internet. Para nuestra configuración seguiremos este diagrama:

Ejemplo Mikrotik ipsec VPN

Configuración Mikrotik ipsec VPN.

Antes de comenzar debemos de tener en cuenta algunas consideraciones, la primera es que las redes LAN en cada oficina deben ser diferentes, en caso contrario, aunque se establezca el túnel, los paquetes no se transmitirán al otro extremo. Por otro lado, hay que verificar que las ips públicas de cada sede se ven a través de un ping. Finalmente debes de tener cuidado si estás detrás de un router adsl o similar que utilice NAT ya que tendrías que configurar ipsec en modo ESP y no AH además de abrir el puerto 500 en udp para que el intercambio de claves pueda llevarse a cabo.

Lo primero que debemos hacer es configurar los interfaces. Configuraremos primeramente el interface LAN de la primera sede siguiendo nuestro esquema:

Interface LAN MKT ipsec VPN

A continuación configuraremos el interface WAN.

Configuración WAN MKT ipsec VPN

Luego crearemos una política ipsec que nos permita levantar un tunnel.

Politica General Mikrotik ipsec

Acciones de Política ipsec VPN

Para terminar la configuración en el apartado ipsec tenemos que añadir la configuración del extremo opuesto del túnel, así como la forma en la que vamos a validarnos contra dicho extremo.

Peer Configuration ipsec VPN

Por último, sólo nos quedaría configurar una política NAT que convierta las direcciones ips de la LAN local en direcciones válidas en la red remota.

MKT ipsec VPN NAT rule

MKT ipsec NAT Action

Con esto habremos configurado el primer equipo Mikrotik, si has llegado hasta este punto la configuración del otro peer no te resultará complicada ya que sólo tienes que realizar la configuración en el sentido inverso.

Puedes obtener más información sobre Mikrotik e ipsec en este enlace: http://wiki.mikrotik.com/wiki/Manual:IP/IPsec

 

 

Ingeniería Social

Deja un comentario

Sobre la ingeniería SocialLa Ingeniería Social es una rama del hacking que concentra sus esfuerzos en lo que ellos creen que es el eslabón más débil de la cadena de seguridad de una empresa: el usuario. Esta ha sido, durante años, la forma más sencilla de obtener una contraseña, los datos de una cuenta bancaria o conseguir instalar algún tipo de troyano en el ordenador de algún usuario.

Mediante el engaño la Ingeniería Social consigue el acceso que de otra forma sería muy laborioso obtener. Utilizando medios que le hablan directamente a tu subconsciente, te seduce y distorsiona tu realidad hasta que acabas cayendo en la trampa.

Algunos ejemplos de Ingeniería Social.

Existen multitud de ejemplos de Ingeniería Social y tú, como usuario de internet, has sufrido y sufres continuamente intentos más o menos elaborados de acceder a tus datos, tus contraseñas, etc.

Uno de los médios más utilizados por la Ingeniería Social es el correo electrónico. Aún hoy en día es frecuente recibir un correo electrónico enviado por una persona que quiere conocernos. En otro casos es una chica que nos envía una fotografía. El caso es que, este tipo de correos, van dirigidos a una región de tu cerebro que quiere aferrarse a la única posibilidad entre un millón de que dentro de ese correo haya realmente una fotografía.

Por otro lado están los anuncios que te asaltan en la web asegurándote que, de verdad que si, eres el visitante un millón. Alertas de seguridad que te obligan a hacer click para proteger tu ordenador y formularios web en los que da igual si haces click en cancelar o aceptar, ambas opciones instalan, modifican o alteran tu sistema.

Sé que estos ejemplos parecen muy infantiles y posiblemente crees tener superado este peligro. Efectivamente, este tipo de Ingeniería Social no tiene un público objetivo concreto, sólo trata se llegar al mayor número de personas.

Sin embargo, la verdadera Ingeniería Social tiene un público objetivo concreto, una empresa o un sujeto, y es aquí donde los hackers parten con ventaja. Te conocen, conocen tu empresa y conocen tus gustos. Han hablado contigo por teléfono, te han llamado por tu nombre y se han presentado como técnico de una agencia de telefonía o representante de una empresa de regalos de navidad y van a enviarte una cesta para degustación de forma totalmente gratuita. El caso es que, para enviártela, te han dado la dirección de una web para que te registres, para que pongas tus datos.

El atacante estudia cual será la mejor forma de abordar a su víctima. El teléfono, el correo electrónico o incluso la visita personal. ¿Quién no ha visto las contraseñas en un post-it?

Según Kevin Mitnick, la ingeniería social se basa en cuatro pilares:

  1. Todos queremos ayudar. Llama a alguien por teléfono y coméntale que si se registra en una determinada web donarás un euro a los niños huérfanos de Singapore.
  2. El primer movimiento es siempre de confianza hacia el otro. En un principio nadie tiene porqué desconfiar sobre todo si llamas de una ONG.
  3. No nos gusta decir NO. Muchas personas son incapaces de decir que no a determinadas peticiones correctamente formuladas.
  4. A todos nos gusta que nos alaben. Principalmente los ataques de ingeniería social  hacen que el atacado piense que tiene el control de la situación y que no corre ningún peligro.

Todos estamos expuestos a este tipo de peligros. El caso más reciente de ingeniería social que me he encontrado llegó en forma de correo electrónico a una empresa. Dicho email provenía de una dirección de hotmail del tipo nombreapellido@hotmail.com. El asunto contenía el siguiente texto: A la Atención del Departamento de RR.HH. El contenido del email era una carta de presentación en la que, esta supuesta persona, explicaba que estaba buscando empleo describía una serie de capacidades y aptitudes. Finalmente indicaba que adjuntaba su curriculum vitae en formato word con foto reciente.

Inexplicablemente, la persona que recibió el email se sintió impulsada a abrir el correo. Después de leer que el adjunto contenía una foto automáticamente trató de abrirlo. Sin embargo, por razones de seguridad, los documentos de word que contienen macros no pueden ser abiertos por los usuarios de dicha empresa. Al resultarnos muy extraño que un fichero de estas características contuviera macros decidimos reenviar el correo a los laboratorios de nuestro antivirus el cual confirmó que se trataba de un archivo de word que contenía un código malicioso.

Dentro de una empresa, los usuarios, servidores, elementos de red, etc. forman una cadena. En esta cadena el usuario suele ser el eslabón más débil tal y como afirma la Ingeniería Social.

Image courtesy of [Idea go] / FreeDigitalPhotos.net