el primer juego para programadores de c++

31 de marzo de 2008

Lo puedes comprar en la misma pagina. Puede ser una manera educativa de aprender programación.

parte 2: configuración inalámbrica con validación por Radius

30 de marzo de 2008

En este paso configuraremos la interfaz de Wireless. Añadiremos autentificación del cliente por Radius y utilizamoreno el protocolo de autentificación LEAP propietario de Cisco. Como no tenemos un servidor de Radius dedicado a este proposito configuraremos un Radius local en el router.

+ Configuramos el radius local en el router.

(config)# aaa new-model
(config)# radius-server local
(config-radsrv)# nas 192.168.1.1 key 0 myradiuspsw
(config-radsrv)# user user1 password 0 1234567
(config-radsrv)# user user2 password 0 7654321
(config)# radius-server host 192.168.1.1 auth-port 1812 acct-port 1813 key 0 miradiuspsw
(config)# aaa authentication login eap_methods group rad_eap
(config)# aaa group server radius rad_eap
(config-sg-radius)# server 192.168.1.1  auth-port 1812 acct-port 1813
Este servidor de Radius nos podrá servir posteriormente para validarnos en el futuro por la VPN.
+ Configuraciíon basica de la interfaz de Wlan.
(config)# interface dot11Radio 0
(config-if)# encryption vlan 1 mode wep mandatory
(config-if)# no dot11 extension aironet
(config-if)# ssid cisco857
(config-if-ssid)# vlan 1
(config-if-ssid)# authentication open eap eap_methods
(config-if-ssid)# authentication network-eap eap_methods
(config-if-ssid)# guest-mode
(config-if-ssid)# exit
+ Configuramos la sub-radio interface:
(config)#interface dot11Radio 0.1
(config-subif)#encapsulation dot1Q 1
(config-subif)#bridge-group 1
+ Levantamos la interfaz de radio:
(config)# interface dot11radio 0
(config-if)# no shutdown
Si hay algun problema para conectarse desde un cliente a la Wireless recomiendo salvar y reiniciar el Router.

Dado que LEAP es propietario de Cisco puede ser que cliente de Wireless de vuestra trajeta de red o simplente el cliente de Wireless de Windows XP/Vista no soporte Cisco LEAP (lo normal es que como minino acepte WPA). En ese caso habria de bajarse de Internet algun cliente de Wireless compatible con Cisco LEAP como por ejemplo el Odyssey Access Cliente.

Si no quisieramos utilizar LEAP podriamos configurar la interfaz de radio con WPA.
(config)# interface dot11Radio 0
(config-if)# encryption vlan 1 mode ciphers tkip
(config-if)# no dot11 extension aironet
(config-if)# ssid cisco857
(config-if-ssid)# vlan 1
(config-if-ssid)# authentication open
(config-if-ssid)# authentication key-management wpa
(config-if-ssid)# guest-mode
(config-if-ssid)# wpa-psk ascii 12345678900987654321
(config-if-ssid)# exit

mi primer ordenador

20 de marzo de 2008

El otro día descubrí la pagina http://www.old-computers.com/ donde hay recopilado unos 1000 ordenadores antiguos. Busque mi primer ordenador, un Amstrad PCW 8256


Otra pagina similar: el museo de los 8 bits

parte 4: securizar

En esta parte vamos a dotar al router de las medidas de seguridad necesarias siguiendo unas pautas (checklist) ya establecidas. No hace falta que volvamos a inventar la rueda, las pautas ya esta establecidas y solo deben ajustarse a nuestra politica. Por Internet corren muchas checklist para securizar un router Cisco y no dejarte nada en el tintero. Dentro del semestro 2 del cursos CCNA de Cisco se explican todas las pautas necesarias antes de poner un router en producción.

Aquí teneis tres checklist para routers Cisco:

+ http://www.iso27001security.com/ISO27k_router_security_audit_checklist.rtf
+ http://www.cisco.com/warp/public/707/21.html#so
+ http://www.mavetju.org/networking/security.php

Por otro lado NSA (National Security Agency) tiene un repositorio de como deben cofigurarse diferentes productos a nivel de seguridad. Yo seguiré el "Router Configuration Guide" que se puede encontrar aqui (). Básicamente lo que consiste una checklist para securizar un router es: desactivar todos los servicios no necesarios dentro del router, proteger las lineas y consolas de configuración del router, plantearse las politicas y protocolos necesarios y reflejarlos con ACLs, controlar los accesos o errores que se produzcan y por ultimo estar al día de los bugs en las IOS. Además debe documentarse correctamente toda la configuración del router y pensar que esa configuración es viva y se tiene que ajunstar correctamente a las politicas que hemos establecido.

Pasamos pues a la configuración:
+ Desactivamos todos los servicios no necesarios:

(config)# no service tcp-small-servers
(config)# no service udp-small-servers
(config)# no ip bootp server
(config)# no ip http server
(config)# no snmp-sever
(config)# no service finger
(config)# no cdp run
(config)# no service config
(config)# no ip source-route
Posiblemente muchos de estos servicios ya estan desactivado por defecto dentro del router. Tambien hemos desactivado el Http Server. Hay técnicos que les gusta dejar el servicio levantado para poder configurarlo comodamente via Web. En ese caso habría que filtrar por ACL el acceso al servicio. Lo que seria más correcto (creo yo) sería levantar el servicio solo cuando fuera necesario y luego pararlo.

+ Protegemos las dos interfaces del router (la de la WAN y la de la LAN) de ciertos ataques. Tenemos que aplicar estos comandos a las dos interfaces:

(config)# interface Dialer 0
(config-if)# no ip directed-broadcast
(config-if)# no ip mask-reply
(config-if)# no ip proxy-arp

(config)# interface bvi 1
(config-if)# no ip directed-broadcast
(config-if)# no ip mask-reply
(config-if)# no ip proxy-arp
+ Ahora securizamos la consola, la linea auxiliar y el vty. Para ello primero crearemos una ACL que corresponderá a la unica maquina del administrador del sistema que tiene acceso al router (@IP 192.168.1.134 por ejemplo).

(config)# access-list 1 permit host 192.168.1.134
(config)# aaa authentication login login_local local
(config)# line vty 0 4
(config-line)# exec-timeout 5 0
(config-line)# login authentication login_local
(config-line)# transport input ssh
(config-line)# access-class 1 in

(config)# line aux 0
(config-line)# no exec
(config-line)# exec-timeout 0 5
(config-line)# transport input none

(config)# line con 0
(config-line)# exec-timeout 5 0
(config-line)# login authentication login_local
+ Ciframos todos las contraseñas que aparecen en la configuración. Si os fijais, las contraseñas de PAP y CHAP para la conexión de la ADSL no estan crifradas. Además añadimos que todas las contraseñas que pongamos, como minimo tendrán una longitud de 8 caracteres.
(config)# service password-encryption
(config)# security passwords min-length 8
+ Añadimos un mensaje disuasorio antes de conectarnos:

(config)# banner motd '
********************************************
* Authorized access only!                  *
* Disconnect INMEDIATELY if you are not    *
* authorized user!                         *
********************************************
'
+ Configuramos el logging y del debugging para registrar los errores y los accesos que se puedan producir en el router. Para activar el logging necesitaremos un servidor de Syslog para montar en alguna maquina de la Lan (por ejemplo la 192.168.1.45).

(config)# logging on
(config)# logging 192.168.1.45
(config)# logging buffered 16000
(config)# logging console critical
(config)# logging trap informational
(config)# logging facility local1
Antes de poner en marcha el servicio de logging tenemos que asegurarnos que la fecha y hora del router son correctas para que a la hora de mirar los mensajes en el Syslog nos cuadren las cosas. + Configuramos el servicio de SNMP para por ejemplo realizar graficas de utilización de la linea ADSL con un MRTG.
(config)# no snmp comunity public ro
(config)# no snmp comunity private rw
(config)# access-list 98 permit host 192.168.1.45
(config)# snmp community mi_comunidad_snmp ro 98
+ Bloqueamos con ACLs todo el trafico ilegal que venga desde Internet:

(config)# access-list 151 deny ip 192.168.0.0 0.0.0.255 any log
(config)# access-list 151 deny ip 127.0.0.0 0.255.255.255 any log
(config)# access-list 151 deny ip 10.0.0.0 0.255.255.255 any log
(config)# access-list 151 deny ip 0.0.0.0 0.255.255.255 any log
(config)# access-list 151 deny ip 172.16.0.0 0.15.255.255 any log
(config)# access-list 151 deny ip 192.168.0.0 0.0.255.255 any log
(config)# access-list 151 deny ip 192.0.0.0 0.0.255.255 any log
(config)# access-list 151 deny ip 169.254.0.0 0.0.255.255 any log
(config)# access-list 151 deny ip 224.0.0.0 15.255.255.255 any log
(config)# access-list 151 deny ip host 255.255.255.255 any log
(config)# access-list 151 deny ip host 213.97.224.9 host 213.97.224.9 log
(config)# access-list 151 deny ip host 68.178.232.100 any log
(config)# access-list 151 deny ip host 194.179.39.19 any log
(config)# access-list 151 deny icmp any any echo log
(config)# access-list 151 deny icmp any any redirect log
(config)# access-list 151 deny icmp any any mask-request log
(config)# access-list 151 permit ip any any
(config)# interface Dialer 0
(config-if)# ip access-group 151 in

parte 1: Configuración básica ADSL con IP dinámica

16 de marzo de 2008

En esta parte configuraremos la interfaz WAN y la LAN desde cero, y dejaremos el router listo para poder navegar desde la LAN interna. Como requisitos necesitaremos tener listo los datos de conexión ADSL del proveedor.

+ Nos conectamos a la consola del router y vemos que arranca correctamente. Intentamos ver que el firmware se descomprimime bien, que arranca y miramos si hay algun tipo de configuración ya hecha.
+ Borramos la configuración que pueda tener el router pulsado sobre reset (botón de la parte trasera) y sin soltar, encendemos el router.
+ Después de botar nos dirá que no hay ningun tipo de configuración y que solo hay un usuario cisco/cisco creardo para comenzar a configurar.
+ Entramos como cisco/cisco y miramos las características del router. Primero hacemos un "show run" para ver la configuración de fábrica y luego un "show version" para ver el IOS que tiene el router y la memoria flash/ram que disponemos. Con el primer comando ya vemos que nos ha puesto en la LAN del router la 10.10.10.1 y que esta activado el DHCP. Con el segundo comando vemos que tenemos la versión 12.4 del IOS.
+ Configuramos un usuario administrador con privilegios máximos, el hostname y la fecha:

# conf term
(config)# hostname cisco857
(config)# # username admin privilege 15 secret 0 123456
(config)# # no username cisco
(config)# # no banner login
# exit
# clock set 22:45:00 March 14 2008
# copy run start
# reload
+ Es hora de configurar la interfaz interna, la LAN. Dado tendremos dos interfaces (una ethernet y otra inlambrica) que estaran dentro de la red interna, crearemos una interfaz virtual con la IP (por ejemplo) 192.168.1.1 (IP interna de nuestro router) para que estas dos interfaces "comparta" las propiedades de esta interfaz virtual.

# conf term
(config)# bridge irb
(config)# interface vlan 1
(config-if)# no ip address
(config-if)# bridge-group 1
(config-if)# ip nat inside
(config)# interface BVI 1
(config-if)# ip address 192.168.1.1 255.255.255.0
(config-if)# ip nat inside
(config-if)# ip virtual-reassembly
(config)# bridge 1 route ip
# copy run start
# reload
+ El siguiente paso es configurar nuestro PC con una IP del rango 192.168.1.0/24 y conectarlo al router por la ethernet. Una vez conectado al router podemos abrir una ventana de DOS y hacer un "ping 192.168.1.1" para ver si ya llegamos al router. Si no llegamos es que nos hemos dejado algo.
+ El proximo paso ya es configurar la interfaz Wan de la ADSL. Para ello necesitaremos a mano los datos de conexión de nuestro proveedor. En mi caso Ya.com. Necesitaremos crear un dialer con los datos de la ADSL y añadir a la interfaz de ATM este dialer.
# conf term
(config)# interface Dialer0
(config-if)# ip address negotiated
(config-if)# ip nat outside
(config-if)# ip virtual-reassembly
(config-if)# encapsulation ppp
(config-if)# dialer pool 1
(config-if)# dialer-group 1
(config-if)# no cdp enable
(config-if)# ppp authentication chap pap callin
(config-if)# ppp chap hostname ad99999999@yacomadsl
(config-if)# ppp chap password 0 12345678
(config-if)# ppp pap sent-username ad99999999@yacomadsl password 0 12345678
(config)# ip route 0.0.0.0 0.0.0.0 Dialer0
(config)# access-list 1 permit 192.168.1.0 0.0.0.255
(config)# ip nat inside source list 1 interface Dialer0 overload
(config)# dialer-list 1 protocol ip permit
(config)# interface ATM0.1 point-to-point
(config-subif)# pvc 8/32
(config-if-atm-vc)# encapsulation aal5mux ppp dialer
(config-if-atm-vc)# dialer pool-member 1
(config)# interface atm 0
(config-ig)# no shutdown
# copy run start
# reload
Probamos desde el router hacer un "ping 194.179.1.100" para ver si salimos a Internet. Si no conseguimos respuesta miramos son un "show interfaces" si las interfaces de ATM se han levantado y con un "debug ppp authentication" si no validamos bien con el proveedor.
+ Por ultimo solo nos queda configurar el DHCP. Para ello configuraremo el DHCP en el rango 192.168.1.11 al 192.168.1.254. Nos guardaremos 10 direcciones IP estaticas.
(config)# no ip dhcp excluded-address 10.10.10.1
(config)# no no ip dhcp pool sdm-pool
(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.10
(config)# ip dhcp pool midhdcp
(dhcp-config)# import all
(dhcp-config)# network 192.168.1.0 255.255.255.0
(dhcp-config)# default-router 192.168.1.1
(dhcp-config)# dns-server 194.179.1.100 194.179.1.101
(dhcp-config)# lease infinite

configuración Cisco 857W

El 857W es uno de los router más grandes de la serie 850 con soporte para ADSL, Wireless b/g y cuatro puertos fast-ethernet diseñado sobre todo para teletrabajo. En este post y sucesivos explicaré como ponerlo a punto desde cero para comenzar a trabajar. Precio aproximado del router, menos de 300€.

Como prerequisito necesitamos conectar el router por consola (con el famoso cablecito azul). Aunque con el router viene un CD con el Cisco SDM para poder configurarlo via Web/Java, yo lo configuraré desde cero por linea de comandos. Con la linea de comandos podremos afinar al maximo la configuración. Posteriormete quitaremos el cable de consola y continuaremos configurandolo por SSH.

Los pasos que seguiremos serán:

+ Parte 1: Configuración Basica ADSL con IP dinámica
+ Parte 2: Configuración inalámbrica con validación por Radius
+ Parte 3: Configuración para acceso por VPN por IpSec
+ Parte 4: Securizar
+ Parte 5: activación de dyndns

Más ejemplos de configuraciones aquí.

pchelpware, asistencia remota libre

9 de marzo de 2008

PDF de como montar un servicio de asistencia remota para tú empresa con el software libre de pchelpware.

pchelpware, asistencia remota libre.

mi cueva

5 de marzo de 2008