Navegando a través de SSH

Tal y como menciono en el título. Gracias a SSH se puede navegar de forma anónima y totalmente segura por la web. En realidad gracias a que SSH soporta SOCKS.

Utilidad:

• Navegar de forma anónima y segura.
• Acceder a sitios restringidos por un firewall, proxy, etc.
• Acceder a servidores web de la red interna del servidor SSH.
• ......... Seguramente muuuuuuchas más.
  

Habrá que seguir investigando.

Requisitos:

• Disponer de un servidor SSH (remoto).
• Cliente WEB que permita configurar SOCKS. Lo he probado con Iceweasel (Firefox).
  

Ni que decir tiene, que en el sitio público desde donde vayamos a realizar la operación debe haber un puerto disponible para SSH. Por defecto el 22 (tcp). Además, hemos de tener acceso al servidor SSH con nuestro usuario correspondiente.

Aunque parezca increíble, ya no habría que hacer nada más salvo que establecer la conexión vía SSH de manera que se cree un Proxy con SOCKS y configurar nuestro navegador web.

Estableciendo el túnel SSH (Proxy SOCKS):

ssh -D 4321 usuario@servidor_ssh

La orden anterior nos poermitiría crear el túnel SSH. Se encarga de redirigir la información de nuestro cliente web. Para ello se ha usado la opción "-D" y un puerto, en mi caso el 4321. Obviamente, tendremos que modificar la configuración de nuestro navegador para que envíe la información a nuestro "proxy local", que a su vez enviará la información cifrada por SSH al servidor.

En el navegador web, en mi caso Iceweasel, tendremos que ir a "Editar/Preferencias" y ahí dentro, pestaña "Avanzado" y en esa sección a la pestaña "Red". Pinchamos en "Configuración..." y obtendremos una pantalla emergente.

Ahora que estamos en la sección adecuada, seleccionamos o modificamos los siguientes campos:

1. Marcar "Configuración manual del proxy".
2. En las casillas de "Servidor SOCKS" escribir "127.0.0.1" y puerto "4321".
3. Dejar marcado "SOCKS v5".
4. Añadir los dominios o sitios que deseemos en "No usar proxy para:". ("No vamos a salir para quedarnos en casa").

Así, una vez aplicados los cambios, todo debería funcionar a la perfección. Sin embargo, se puede optimizar o mejorar un poco más la cosa.
Por ejemplo, tal y como está ahora configurado el navegador web, todas nuestras consultas DNS realizadas cuando naveguemos se seguirán realizando en el servidor DNS del sitio donde estemos y no a través de nuestro túnel SSH.

Para que también se realicen las consultas DNS a través de SSH, hemos de escribir en nuestro navegador "about:config" y cambiar la clave "network.proxy.socks_remote_dns" a "true". (Esto es posible gracias a la versión 5 del protocolo SOCKS).

Además podemos mejorar la forma en que lanzamos nuestro cliente SSH para crear el túnel:

ssh -qnN -D 4321 usuario@servidor_ssh &

Lo que hacemos con el comando anterior, a parte de dejarlo corriendo en segundo plano, es ejecutarlo en modo "quiet", que haga caso omiso de lo que se introduzca por el teclado y que no se ejecute ningún comando. Si vamos a usar esa conexión como un túnel, ¿para que se quiere un prompt?.

Así estaría todo configurado para navegar de manera segura, anónima y poder acceder a sitios restringidos y a páginas web que se sirvan en la red interna donde está el servidor SSH.

Eso es todo. Espero que os haya gustado.

Salu2! ;)

VirtualBox en Debian Lenny

Buenas a tod@s! Puede resultar una tontería escribir esto, cuando desde nuestro Debian podemos hacer un...

#aptitude install virtualbox-ose

Pero mi intención es explicar como instalar la última versión (no open-source) desde los repositorios de VirtualBox. A diferencia de la versión OSE (Open Source Edition) que ofrece Lenny, la de los repositorios de VirtualBox, entre otras cosas, permite conectar máquinas virtuales a la red local con gran facilidad. Pongámonos entonces manos a la obra.

Paso 1: Configurar los repositorios.

Añadimos a nuestra lista de repositorios la siguiente entrada.

deb http://download.virtualbox.org/virtualbox/debian lenny non-free

Para ello hacemos en una terminal:

#nano /etc/apt/sources.list

e introducimos la línea de arriba. Agregamos las claves públicas del repositorio de VirtualBox:

$wget http://download.virtualbox.org/virtualbox/debian/sun_vbox.asc
#apt-key add sun_vbox.asc && rm sun_vbox.asc

Paso 2: Instalar VirtualBox.

En una consola, hacemos lo siguiente:
#aptitude update
#aptitude install virtualbox-2.1

Durante la instalación saldrá una pantalla informativa avisando que los usuarios deben pertenecer al grupo 'vboxusers'.
Si todo va bien, el instalador debería añadirlos de forma automática. Si este no fuera el caso:

#adduser tu_usuario vboxusers

Una vez finalizada la instalación, y para que todo funcione correctamente, lo mejor será cerrar la sesión del usuario y volver a entrar.

____________________________________

Pués eso sería todo lo que hay que hacer. Esta versión de VBox carga de forma automática los módulos necesarios para su funcionamiento.

Para lanzar VirtualBox, su lanzador en Gnome se encuentra en:

Aplicaciones/Herramientas del sistema/Sun xVM VirtualBox

Si no apareciera dicha entrada, podemos hacer en la consola un $killall gnome-panel

Enlace al blog "Der3des" sobre VirtualBox en general y -muy interesante- sobre la clonación de los discos en VirtualBox.

Nada más.

Un saludo y a disfrutarlo.

¿'Falta de conocimiento' o 'flojera'?

Navegando por la web de una tienda virtual de informática he encontrado una cosa curiosa en la descripción de un producto. Se trata de un switch, Cisco además, y por eso lo pongo en el blog de RAL.

¿¡Cables liados!?

¿Cómo es posible que una tienda con tantísimos clientes y tan conocida en la red ponga algo así?

En fin, también hay por ahí algunos pájaros que dicen que un armario de comunicaciones te puede dejar pegado.

Editando..............
Enlace el producto en cuestión: AQUÍ.
Web de la tienda: AQUÍ.
..............................

Un saludote!

ScanLine v1.01

Buenas a tod@s!

Os cuelgo a continuación mi presentación sobre el escáner de puertos "ScanLine". Es un programa muy útil sacado de la web Foundstone.

Para descargarla pongo a continuación unos enlaces. Está en formato "pdf" para que nadie tenga problemas a la hora de abrirla.

• Enlace 1.
• Enlace 2.

Espero que os resulte útil.

Un saludo! ;)

Wicd y WPA1/2

Buenas a tod@s!

Hoy no escribiré ninguna noticia. Voy a exponer cómo hice funcionar en mi portátil, con Debian Lenny, mi conexión WiFi cifrada con WPA2.

En primer lugar, y para que nos situemos, el gestor de conexiones inalámbricas que uso es Wicd.
Ayer tras la clase de RAL me decidí a poner en mi conexión WPA2. Mi PSP ya no se puede conectar a internet :-( .

Al llegar a mi casa y configurar mi router+switch+pa (Comtrend CT-536+) traté de conectarme desde mi portatil. Me llevé una sorpresa al observar como al darle a conectar (con la contraseña wpa2 y los datos previamente introducidos) no había forma de que eso se autenticara.

Tras buscar por google, ver la lista de bugs de wicd en launchpad, etc. encontré... ESTO.

Por lo visto el script que gestiona la conexión wpa1/2 en wicd tiene un pequeño bug. Modificándolo tal y como viene en el enlace de arriba se solucionó mi problema.

Ahora, con SSID oculta, filtrado MAC, IP estática y WPA2 creo que estoy bastante más protegido que antes cuando usaba WEP.

Eso es todo... de momento ;-)

Actualización: Desde la versión 1.5.7 de WICD ya no existe el problema aquí expuesto.

Kernel 2.6.27 matando hardware de red

Bueno, pues parece ser que han habido unas regresiones peligrosas en el driver e1000e del nuevo kernel de Linux.
La cuestión es que este driver ha dejado inutilizados algunos adaptadores ethernet Gigabit de Intel, corrompiendo previamente su EEPROM. Este bug (Bug #11382), ha aparecido en las versiones RC del kernel 2.6.27.

OpenSuse 11.1, Suse Linux Enterprise 11 (betas) y Ubuntu 8.10 (Alpha6) avisan del problema para evitar que los usuarios lo experimenten.
De momento, Ubuntu a puesto el driver e1000e en la lista negra para que no pueda ser usado.

El kernel 2.6.27-rc7 incluye parches para prevenir la corrupción de la EEPROM en el chip Intel e1000 (no-E). Aunque el e1000e no tenga aún un parche para evitar este problema, ya se puede encontrar en el -mm tree (aquí).

Fuente: Phoronix

De momento eso es todo.

Salu2! ;)

Probando el blog

Bueno, pues aquí estamos haciendo un blog para la clase de Redes del CFGS (ASI) en el Gonzalo Nazareno.

De momento nada más. Ya adornaré para probar blogspot en mi casa y con más tiempo.

Salu2! ;)