pchelpware, asistencia remota libre

PDF de como montar un servicio de asistencia remota para tú empresa con el software libre de pchelpware.

pchelpware, asistencia remota libre.

mi cueva

gmail+fetchmail

Para que fetchmail recoja el correo de una cuenta de correo de GMail necesitamos dos cosas: primero que la cuenta tenga activado el acceso por POP y luego que en el servidor estén cargados los certificados SSL para GMail y configurado correctamente el .fetchmailrc.

Lo primero que haremos es activar el servicio de POP para que desde fuera se pueda descargar el correo. Desde el webmail de GMail vamos a "Configuración->Reenvío y descarga POP/IMAP->Descarga correo POP" y seleccionamos la opción "Habilitar POP para todos los mensajes".

Dado que GMail solo acepta conexiones seguras SSL por el puerto 995 necesitaremos que el servidor tenga cargado los certificados necesarios.

# mkdir /root/.certs
# echo bye openssl s_client -connect pop.gmail.com:995 -showcerts sed -n '/BEGIN/,/END/p' > /root/.certs/gmail.pem
# cat <<eof > /root/.certs/equifax.pem
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
eof
# cacertdir_rehash /root/.certs
# echo bye openssl s_client -connect pop.gmail.com:995 -CApath /root/.certs 2> /dev/null grep Verify

Ahora que ya tenemos los certificados guardados, podemos configurar el archivo /root/.fechmailrc con:

set spambounce
poll pop.gmail.com
proto pop3
no dns
localdomains
midominio.com
user "midominio@gmail.com"
pass "mipass"
ssl sslcertck
sslcertpath "/root/.certs"
is *
fetchall

Por ultimo podemos lanzar el modo debugger (consultar el log) el fetchmail con "fechmail -F -v -d 3600" o en modo normal sin el parámetro -v para que recoja el correo cada hora.
Más información aqui.

warzone.elhacker.net

Por fin soy "Veteran" a dia de hoy en el WarZone de elhacker.net, en el puesto 50 de 896. Las pruebas de criptografía se me resisten, no creo que sea capaz de hacer ninguna :(

Esperaré más tiempo antes de publicar mis soluciones a las pruebas.

configuración de Proxy transparente

Existen muchos manuales para configurar Squid en Internet. Este manual de configuración que dejo sobre Squid se centra sobre todo en la forma de filtrar contenido Web (denegar o aceptar ciertas paginas Web), filtro de archivos (exes, mp3, etc) y generación de reports diarios para controlar por donde estan navegando los usuarios.

Configuración de Proxy transparente

zimbra como solución libre a un servidor de correo

Os dejo un PDF donde explico como montar un servidor de correo libre en Linux basado en una distribición libre de Zimbra. Hasta ahora lleva dos años funcionando en producción con más 3000 mensajes diarios.

Zimbra como solución libre a un servidor de correo

la formación en auditoría

El otro día llego al departamento el numero 17 de la Revista "auditoría y seguridad" y nos llamo la atención (gracias a mi jefe que me enteré) un artículo sobre los beneficios de formarse como auditor escrito por Rocío Troyano. Con este apellido no se si hacer el curso... no me inspira confianza. Artículo completo aqui.

distribución automática de certificado

Si tenemos un entorno con Active Directory y queremos hacer una distribución automática de un certificado por todas las maquinas de nuestra red podemos utilizar este sistema. La idea es que todas las maquinas de mi red puedan tener un certificado Web generado por uno mismo para entrar en la Intranet, el Webmail o donde sea.
Para conseguir esto haremos que todos los usuarios del AD ejecuten un script para cargar el certificado dentro de su almacén de "Entidades de certificación raíz de confianza". En mi caso los scripts de usuario están escritos en Windows Script Host.

Las lineas que necesitamos son:

Set wshShell = WScript.CreateObject("WScript.Shell")
wshShell.Run "\\server\sysvol\domain\scripts\certutil.exe -addstore root \\server\sysvol\domain\scripts\mi_certificado.cer,1,TRUE"

Por ultimo necesitaremos copiar dentro de "sysvol\script" los siguientes archivos: cerutil.exe, certreq.exe, certadm.dll, certcli.dll, certmgr.dll y por ultimo el certificado que queremos instalar. De esta forma al entrar en el dominio estaran disponibles. La certutil es una utilidad de Windows 2003 Server que forma parte del Certificate Server y lo podéis encontrar dentro de windows/system32.

configurar ancho de banda en Cisco

Con las versiones de IOS que soportan QoS tenemos el comando rate-limit que nos permite configurar la característica de Committed Access Rate (CAR). Con ella lo que voy hacer es limitar el ancho de banda de los servicios que tenemos detrás de nuestro router Cisco.

Supongamos que tenemos un router Cisco y detrás dos servidores. Uno servidor SMTP/POP por donde toda la empresa leer y envia el correo y luego un servidor Web donde la empresa cuelga documentacion para descargar desde Internet. Dado que solo tenemos una ADSL de 8mbps de download y 640kbps de upload no queremos que los servicios de SMTP y las descargas de manuales desde Internet nos hundan la ADSL en la miseria.

Lo que haremos es limitar el acho de banda a estos servicios. Lo primero que haremos es especificar cuanto ancho de banda quiero para cada servicio teniendo en cuenta los 8mbps/640kbps.

Para la entrada de correo haremos una limitación de 256kbps (respecto los 8mbps).
Para la salida de correo haremos una limitación de 128kbps (respecto los 640kps).
Para la salida de contenido Web haremos una limitación de 256kbps (respecto los 640kbps).

Para configurar el rate-limit necesitaremos también dos valores más que se recomienda calcular con la formula proporcionada por Cisco. Estos valores son el "normal burst" y el "extended burst". Según Cisco estos valores se calcula por:

"normal burst" = rate * (1 byte)/(8 bits) * 1.5 seconds "extended burst" = 2 * "normal burst"

Para restringir el ancho de banda a los servicios de nuestro problema tendremos que utilizar una ACL.

La cosa quedaria así:

# limitamos el trafico Web saliente
access-list 10 permit tcp any eq www any
# limitamos el trafico smtp entrante
access-list 11 permit tcp any any eq smtp
# limitamos el trafico smto saliente
access-list 12 permit tcp any eq smtp any
# liminado el ancho de banda del trafico Web saliente
rate-limit output access-group 10 256000 48000 96000 conform-action transmit exceed-action drop 
# limitamos el ancho de banda del correo entrante
rate-limit input access-group 11 256000 48000 96000 conform-action transmit exceed-action drop
# limitamos el ancho de banda del correo saliente
rate-limit output access-group 12 128000 24000 48000 conform-action transmit exceed-action drop

peina al niño

Lo que nunca hay que hacer:

Lo que tienes que procurar hacer: