parte 1: Configuración básica ADSL con IP dinámica

En esta parte configuraremos la interfaz WAN y la LAN desde cero, y dejaremos el router listo para poder navegar desde la LAN interna. Como requisitos necesitaremos tener listo los datos de conexión ADSL del proveedor.

+ Nos conectamos a la consola del router y vemos que arranca correctamente. Intentamos ver que el firmware se descomprimime bien, que arranca y miramos si hay algun tipo de configuración ya hecha.
+ Borramos la configuración que pueda tener el router pulsado sobre reset (botón de la parte trasera) y sin soltar, encendemos el router.
+ Después de botar nos dirá que no hay ningun tipo de configuración y que solo hay un usuario cisco/cisco creardo para comenzar a configurar.
+ Entramos como cisco/cisco y miramos las características del router. Primero hacemos un "show run" para ver la configuración de fábrica y luego un "show version" para ver el IOS que tiene el router y la memoria flash/ram que disponemos. Con el primer comando ya vemos que nos ha puesto en la LAN del router la 10.10.10.1 y que esta activado el DHCP. Con el segundo comando vemos que tenemos la versión 12.4 del IOS.
+ Configuramos un usuario administrador con privilegios máximos, el hostname y la fecha:

# conf term
(config)# hostname cisco857
(config)# # username admin privilege 15 secret 0 123456
(config)# # no username cisco
(config)# # no banner login
# exit
# clock set 22:45:00 March 14 2008
# copy run start
# reload

+ Es hora de configurar la interfaz interna, la LAN. Dado tendremos dos interfaces (una ethernet y otra inlambrica) que estaran dentro de la red interna, crearemos una interfaz virtual con la IP (por ejemplo) 192.168.1.1 (IP interna de nuestro router) para que estas dos interfaces "comparta" las propiedades de esta interfaz virtual.

# conf term
(config)# bridge irb
(config)# interface vlan 1
(config-if)# no ip address
(config-if)# bridge-group 1
(config-if)# ip nat inside
(config)# interface BVI 1
(config-if)# ip address 192.168.1.1 255.255.255.0
(config-if)# ip nat inside
(config-if)# ip virtual-reassembly
(config)# bridge 1 route ip
# copy run start
# reload

+ El siguiente paso es configurar nuestro PC con una IP del rango 192.168.1.0/24 y conectarlo al router por la ethernet. Una vez conectado al router podemos abrir una ventana de DOS y hacer un "ping 192.168.1.1" para ver si ya llegamos al router. Si no llegamos es que nos hemos dejado algo.
+ El proximo paso ya es configurar la interfaz Wan de la ADSL. Para ello necesitaremos a mano los datos de conexión de nuestro proveedor. En mi caso Ya.com. Necesitaremos crear un dialer con los datos de la ADSL y añadir a la interfaz de ATM este dialer.

# conf term
(config)# interface Dialer0
(config-if)# ip address negotiated
(config-if)# ip nat outside
(config-if)# ip virtual-reassembly
(config-if)# encapsulation ppp
(config-if)# dialer pool 1
(config-if)# dialer-group 1
(config-if)# no cdp enable
(config-if)# ppp authentication chap pap callin
(config-if)# ppp chap hostname ad99999999@yacomadsl
(config-if)# ppp chap password 0 12345678
(config-if)# ppp pap sent-username ad99999999@yacomadsl password 0 12345678
(config)# ip route 0.0.0.0 0.0.0.0 Dialer0
(config)# access-list 1 permit 192.168.1.0 0.0.0.255
(config)# ip nat inside source list 1 interface Dialer0 overload
(config)# dialer-list 1 protocol ip permit
(config)# interface ATM0.1 point-to-point
(config-subif)# pvc 8/32
(config-if-atm-vc)# encapsulation aal5mux ppp dialer
(config-if-atm-vc)# dialer pool-member 1
(config)# interface atm 0
(config-ig)# no shutdown
# copy run start
# reload

Probamos desde el router hacer un "ping 194.179.1.100" para ver si salimos a Internet. Si no conseguimos respuesta miramos son un "show interfaces" si las interfaces de ATM se han levantado y con un "debug ppp authentication" si no validamos bien con el proveedor.
+ Por ultimo solo nos queda configurar el DHCP. Para ello configuraremo el DHCP en el rango 192.168.1.11 al 192.168.1.254. Nos guardaremos 10 direcciones IP estaticas.

(config)# no ip dhcp excluded-address 10.10.10.1
(config)# no no ip dhcp pool sdm-pool
(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.10
(config)# ip dhcp pool midhdcp
(dhcp-config)# import all
(dhcp-config)# network 192.168.1.0 255.255.255.0
(dhcp-config)# default-router 192.168.1.1
(dhcp-config)# dns-server 194.179.1.100 194.179.1.101
(dhcp-config)# lease infinite

configuración Cisco 857W

El 857W es uno de los router más grandes de la serie 850 con soporte para ADSL, Wireless b/g y cuatro puertos fast-ethernet diseñado sobre todo para teletrabajo. En este post y sucesivos explicaré como ponerlo a punto desde cero para comenzar a trabajar. Precio aproximado del router, menos de 300€.

Como prerequisito necesitamos conectar el router por consola (con el famoso cablecito azul). Aunque con el router viene un CD con el Cisco SDM para poder configurarlo via Web/Java, yo lo configuraré desde cero por linea de comandos. Con la linea de comandos podremos afinar al maximo la configuración. Posteriormete quitaremos el cable de consola y continuaremos configurandolo por SSH.

Los pasos que seguiremos serán:

+ Parte 1: Configuración Basica ADSL con IP dinámica
+ Parte 2: Configuración inalámbrica con validación por Radius
+ Parte 3: Configuración para acceso por VPN por IpSec
+ Parte 4: Securizar
+ Parte 5: activación de dyndns

Más ejemplos de configuraciones aquí.

pchelpware, asistencia remota libre

PDF de como montar un servicio de asistencia remota para tú empresa con el software libre de pchelpware.

pchelpware, asistencia remota libre.

mi cueva

gmail+fetchmail

Para que fetchmail recoja el correo de una cuenta de correo de GMail necesitamos dos cosas: primero que la cuenta tenga activado el acceso por POP y luego que en el servidor estén cargados los certificados SSL para GMail y configurado correctamente el .fetchmailrc.

Lo primero que haremos es activar el servicio de POP para que desde fuera se pueda descargar el correo. Desde el webmail de GMail vamos a "Configuración->Reenvío y descarga POP/IMAP->Descarga correo POP" y seleccionamos la opción "Habilitar POP para todos los mensajes".

Dado que GMail solo acepta conexiones seguras SSL por el puerto 995 necesitaremos que el servidor tenga cargado los certificados necesarios.

# mkdir /root/.certs
# echo bye openssl s_client -connect pop.gmail.com:995 -showcerts sed -n '/BEGIN/,/END/p' > /root/.certs/gmail.pem
# cat <<eof > /root/.certs/equifax.pem
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
eof
# cacertdir_rehash /root/.certs
# echo bye openssl s_client -connect pop.gmail.com:995 -CApath /root/.certs 2> /dev/null grep Verify

Ahora que ya tenemos los certificados guardados, podemos configurar el archivo /root/.fechmailrc con:

set spambounce
poll pop.gmail.com
proto pop3
no dns
localdomains
midominio.com
user "midominio@gmail.com"
pass "mipass"
ssl sslcertck
sslcertpath "/root/.certs"
is *
fetchall

Por ultimo podemos lanzar el modo debugger (consultar el log) el fetchmail con "fechmail -F -v -d 3600" o en modo normal sin el parámetro -v para que recoja el correo cada hora.
Más información aqui.

warzone.elhacker.net

Por fin soy "Veteran" a dia de hoy en el WarZone de elhacker.net, en el puesto 50 de 896. Las pruebas de criptografía se me resisten, no creo que sea capaz de hacer ninguna :(

Esperaré más tiempo antes de publicar mis soluciones a las pruebas.

configuración de Proxy transparente

Existen muchos manuales para configurar Squid en Internet. Este manual de configuración que dejo sobre Squid se centra sobre todo en la forma de filtrar contenido Web (denegar o aceptar ciertas paginas Web), filtro de archivos (exes, mp3, etc) y generación de reports diarios para controlar por donde estan navegando los usuarios.

Configuración de Proxy transparente

zimbra como solución libre a un servidor de correo

Os dejo un PDF donde explico como montar un servidor de correo libre en Linux basado en una distribición libre de Zimbra. Hasta ahora lleva dos años funcionando en producción con más 3000 mensajes diarios.

Zimbra como solución libre a un servidor de correo

la formación en auditoría

El otro día llego al departamento el numero 17 de la Revista "auditoría y seguridad" y nos llamo la atención (gracias a mi jefe que me enteré) un artículo sobre los beneficios de formarse como auditor escrito por Rocío Troyano. Con este apellido no se si hacer el curso... no me inspira confianza. Artículo completo aqui.

distribución automática de certificado

Si tenemos un entorno con Active Directory y queremos hacer una distribución automática de un certificado por todas las maquinas de nuestra red podemos utilizar este sistema. La idea es que todas las maquinas de mi red puedan tener un certificado Web generado por uno mismo para entrar en la Intranet, el Webmail o donde sea.
Para conseguir esto haremos que todos los usuarios del AD ejecuten un script para cargar el certificado dentro de su almacén de "Entidades de certificación raíz de confianza". En mi caso los scripts de usuario están escritos en Windows Script Host.

Las lineas que necesitamos son:

Set wshShell = WScript.CreateObject("WScript.Shell")
wshShell.Run "\\server\sysvol\domain\scripts\certutil.exe -addstore root \\server\sysvol\domain\scripts\mi_certificado.cer,1,TRUE"

Por ultimo necesitaremos copiar dentro de "sysvol\script" los siguientes archivos: cerutil.exe, certreq.exe, certadm.dll, certcli.dll, certmgr.dll y por ultimo el certificado que queremos instalar. De esta forma al entrar en el dominio estaran disponibles. La certutil es una utilidad de Windows 2003 Server que forma parte del Certificate Server y lo podéis encontrar dentro de windows/system32.