Hiparco

Recetas y trucos de GNU/Linux e informática en general

Alojado en http://guimi.net

Wireshark como usuario

Una herramienta muy potente de análisis de redes es Wireshark (antes conocido como Ethereal).
Sin embargo para poder funcionar necesita acceso de super-usuario (root) a la tarjeta de red.
Esto hace que habitalmente se use haciendo:
$ gksu wireshark

Sin embargo, en realidad, como indican en el blog de wireshark, quien realmente necesita ese acceso es una -en comparación- pequeña libreria: dumpcap.

Así pues para poder utilizar wireshark como usuario normal, basta dar acceso a la libreria dumpcap, como sigue:

## Añadimos el grupo wireshark
# groupadd wireshark
## Hacemos al grupo propietario de dumpcap y le damos permiso
# chgrp wireshark /usr/bin/dumpcap
# chmod 4750 /usr/bin/dumpcap
## Incluimos a nuestro usuario en el grupo
# usermod -a -G wireshark guimi

Wireshark, ethereal

En defensa de los derechos fundamentales en Internet

MANIFIESTO

Ante la inclusión en el Anteproyecto de Ley de Economía sostenible de modificaciones legislativas que afectan al libre ejercicio de las libertades de expresión, información y el derecho de acceso a la cultura a través de Internet, los periodistas, bloggers, usuarios, profesionales y creadores de Internet manifestamos nuestra firme oposición al proyecto, y declaramos que:

1.- Los derechos de autor no pueden situarse por encima de los derechos fundamentales de los ciudadanos, como el derecho a la privacidad, a la seguridad, a la presunción de inocencia, a la tutela judicial efectiva y a la libertad de expresión.

2.- La suspensión de derechos fundamentales es y debe seguir siendo competencia exclusiva del poder judicial. Ni un cierre sin sentencia. Este anteproyecto, en contra de lo establecido en el artículo 20.5 de la Constitución, pone en manos de un órgano no judicial -un organismo dependiente del Ministerio de Cultura-, la potestad de impedir a los ciudadanos españoles el acceso a cualquier página web.

3.- La nueva legislación creará inseguridad jurídica en todo el sector tecnológico español, perjudicando uno de los pocos campos de desarrollo y futuro de nuestra economía, entorpeciendo la creación de empresas, introduciendo trabas a la libre competencia y ralentizando su proyección internacional.

4.- La nueva legislación propuesta amenaza a los nuevos creadores y entorpece la creación cultural. Con Internet y los sucesivos avances tecnológicos se ha democratizado extraordinariamente la creación y emisión de contenidos de todo tipo, que ya no provienen prevalentemente de las industrias culturales tradicionales, sino de multitud de fuentes diferentes.

5.- Los autores, como todos los trabajadores, tienen derecho a vivir de su trabajo con nuevas ideas creativas, modelos de negocio y actividades asociadas a sus creaciones. Intentar sostener con cambios legislativos a una industria obsoleta que no sabe adaptarse a este nuevo entorno no es ni justo ni realista. Si su modelo de negocio se basaba en el control de las copias de las obras y en Internet no es posible sin vulnerar derechos fundamentales, deberían buscar otro modelo.

6.- Consideramos que las industrias culturales necesitan para sobrevivir alternativas modernas, eficaces, creíbles y asequibles y que se adecuen a los nuevos usos sociales, en lugar de limitaciones tan desproporcionadas como ineficaces para el fin que dicen perseguir.

7.- Internet debe funcionar de forma libre y sin interferencias políticas auspiciadas por sectores que pretenden perpetuar obsoletos modelos de negocio e imposibilitar que el saber humano siga siendo libre.

8.- Exigimos que el Gobierno garantice por ley la neutralidad de la Red en España, ante cualquier presión que pueda producirse, como marco para el desarrollo de una economía sostenible y realista de cara al futuro.

9.- Proponemos una verdadera reforma del derecho de propiedad intelectual orientada a su fin: devolver a la sociedad el conocimiento, promover el dominio público y limitar los abusos de las entidades gestoras.

10.- En democracia, las leyes y sus modificaciones deben aprobarse tras el oportuno debate público y habiendo consultado previamente a todas las partes implicadas. No es de recibo que se realicen cambios legislativos que afectan a derechos fundamentales en una ley no orgánica y que versa sobre otra materia.

 
Dice Arsenio Escolar:

Presidente, vicepresidenta, ministra: no es la música la que se muere por las descargas. Es la obsoleta industria de los discos y los cd, como se han muerto muchas otras industrias con los cambios tecnológicos a lo largo de la historia. La Ley de Economía Sostenible, que ha de tener una visión de futuro, de innovación, de mirar hacia dónde vamos, no puede convertirse en la ley de defensa del pasado, de lo viejo, de lo que no ha sabido adaptarse a los cambios. La Ley de Economía Sostenible no puede convertirse en la Ley de Defensa de la Industria Musical Insostenible.

 
Cómo se suele decir: ¡Pásalo!

Redes de Comunicaciones

Por fín he publicado en versión web el monográfico sobre redes de comunicaciones que publiqué hace un tiempo en PDF (Redes de Comunicaciones en PDF):
Redes de Comunicaciones en HTML.
Redes de Comunicaciones
Incluye conceptos básicos sobre arquitecturas de red, descripción de la pila ISO OSI y la pila Internet, detalles de protocolos IP, IPSec, TCP, UDP… protocolos Ethernet y 802.11, protocolos WAN (Frame-Relay, SDH, PDH, PoS…), redes de acceso (xDSL, CATV…), VPN, redes multimedia, seguridad en redes (protocolos de encriptación, esquemas de seguridad…)

En esta página están los diferentes monográficos y tutoriales sobre informática que voy publicando.

Redes, ISO OSI, Internet, IP, TCP, UDP, Ethernet, 802.11, WAN, VPN, redes multimedia, seguridad de redes

Conocer que equipos hay en una red

Hay varias herramientas que nos permiten conocer que equipos son alcanzables en nuestra red.
 

nmap

Herramienta de exploración de redes y analizador de puertos.
 
$ nmap -sP 192.168.0.0/24

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-06-27 10:13 CEST
Host equipo1 (192.168.0.1) appears to be up.
Host equipo2 (192.168.0.2) appears to be up.
Host equipo3 (192.168.0.4) appears to be up.
...
Nmap finished: 256 IP addresses (12 hosts up) scanned in 2.219 seconds

 

fping

Una herramienta de ping que se puede utilizar fácilmente para múltiples equipos y en scripts.
 
$ fping -g 192.168.0.0/24

192.168.0.0 error while sending ping: Permission denied
192.168.0.1 is alive
192.168.0.2 is alive
192.168.0.3 is alive
ICMP Host Unreachable from 192.168.0.2  for ICMP Echo sent to 192.168.0.4
...

 
O mejor:
$ fping -g 192.168.0.0/24 2> /dev/null | grep alive

192.168.0.1 is alive
192.168.0.2 is alive
192.168.0.3 is alive
...

 

ip

Herramienta de configuración del protocolo ip. Permite ver y modificar rutas, dispositivos, tuneles…
 
$ ip neig

192.168.0.4 dev eth1 lladdr xx:xx:xx:xx:xx:xx STALE
192.168.0.60 dev eth1 lladdr xx:xx:xx:xx:xx:xx STALE
192.168.0.61 dev eth1 lladdr xx:xx:xx:xx:xx:xx STALE
192.168.0.52 dev eth1 lladdr xx:xx:xx:xx:xx:xx STALE
...

 

nbtscan

Escanea redes en busca de nombres NETBIOS.
 
# nbtscan -r 192.168.0.0/24

Doing NBT name scan for addresses from 192.168.0.0/24

IP address       NetBIOS Name     Server    User             MAC address
------------------------------------------------------------------------------
192.168.0.0    Sendto failed: Permission denied
192.168.0.2     <unknown>                  <unknown>
192.168.0.60    xxxx-LAB10       <server>  xxxx-LAB10       xx:xx:xx:xx:xx:xx
192.168.0.52    xxxxxxxxxxxx-01  <server>  xxxxxxxxxxxx-01  xx:xx:xx:xx:xx:xx
192.168.0.61    xxxx-LAB11       <server>  xxxx-LAB11       xx:xx:xx:xx:xx:xx
...

 

Conocer que equipos hay en una red, Buscar equipos en una red, Averiguar que equipos hay en una red

NIC.es vuelve a cagarla (le gusta tener problemas)

Cuando se liberalizaron los dominio .es ya tuvieron problemas. El día que se abría la inscripción libre los servidores se bloquearon debido a las miles de peticiones simultáneas que recibieron de parte de máquinas programadas para conectarse todos el mismo día a la misma hora.

Ahora van a liberar los dominios multilingües .es y no han aprendido nada. Esta semana ya he recibido tres anuncios de distintos proveedores de internet para que pre-registre mis dominios con ellos, asegurando que sus máquinas el día 12 a las 00:00 lanzarán todas las peticiones. En los mismos mensajes avisan de posibles problemas por

colapso, todo el mundo sabe que ocurrirá.

No es tan dificil. El problema es que las peticiones se atienden por orden de llegada, así que todos piden a la vez. Bastaría con organizar el siguiente sistema:
- Desde el día x a las 00:00 hasta el día x+15 a las 23:59 se aceptan todas las peticiones que se hagan de dominios, avisando bien claro que NO se atenderán por orden de llegada. Incluso se puede establecer una primera

entrega escalonada de peticiones con los distribuidores autorizados.
- Un mismo dominio puede ser solicitado tantas veces como sea necesario por distintas personas físicas o jurídicas que, exactamente igual que ahora, deben inscribirse previamente.
- El día x+16 a las 00:00 se asignarán los dominios mediante sorteo entre todos los solicitantes de cada uno y se enviará notificación a los agraciados.
- No se aceptan consultas hasta el día x+17 (para entonces la gente sabe si le han asignado un dominio o no y nadie inunda de peticiones a nic.es)

Es igual de arbitrario, pero no colapsa las máquinas de nic.es, ni la red española, ni nada. Es limpio y suficientemente ecuánime. Además garantiza que el día elegido a las 00:01 estarán los dominios asignados y operativos, sin problemas de DoS.

Se puede pensar que un grupo de empresas puede solicitar varias veces el mismo dominio. Eso no es peor que el que un grupo de empresas bombardee los servidores de nic.es realizando DoS el día x a las 00:00. No es más “trampeable” que el sistema actual.
Y no olvidemos que hablamos del “turno libre”, las empresas ya tienen sus dominios.

 

Confianza ssh

Introducción

Vamos a ver como hacer que el usuario de una máquina con servidor SSH (“servidor”) confíe en unas claves SSH. De esta manera podemos acceder al equipo sin utilizar un par usuario/password del servidor.

Si además los ficheros de claves ssh no tienen “passphrase” las conexiones ssh (ssh, scp…) se realizarán sin preguntar nada al usuario. Esto es cómodo pero altamente peligroso y desaconsejado.

Lo que se recomienda es no permitir acceso clave/usuario al servidor sino solo por ficheros ssh y que éstos tengan clave (passphrase).
De esta forma para acceder al equipo hace falta disponer de algo (fichero de claves) y conocer algo (passphrase).

[Configuración de ssh]

Notas

  • La confianza la establece un usuario concreto del equipo “servidor”.

  • El servidor debe estar configurado para aceptar confianzas (por omisión lo está).
  • Recordemos que la clave pública (id_dsa.pub), no hace falta protegerla, es pública y puede transmitirse en claro si es necesario.
  • Recordemos que la clave privada (id_dsa) es fundamental protegerla, es privada y solo debe transmitirse por medios seguros. éste es el fichero que tendremos que llevar con nosotros para conectar con el servidor y que deberemos proteger con la passphrase.
  • Si se accede a diferentes servidores los ficheros de clave privada pueden renombrarse libremente, por ejemplo como id_dsa-servidor.
  • Un mismo usuario de un mismo servidor puede disponer de diferentes pares de claves
  • Una confianza (par de claves) puede configurarse para incluir limitaciones

Configuración

Primero generamos las claves ssh (esto se puede hacer desde cualquier equipo):

$ ssh-keygen -t dsa

Esto generará una clave privada (id_dsa) y una clave pública (id_dsa.pub).

Después autorizamos en el servidor el acceso a la clave pública.

$ cat cat .ssh/id_dsa.pub >> .ssh/authorized_keys

Ajustamos los permisos:

$ chmod 700 ~/.ssh
$ chmod 600 ~/.ssh/*
$ chmod g-w ~/

opcionalmente se pueden incluir opciones en la clave autorizada, como command=”command”, no-pty, no-port-forwarding… (man sshd).

Uso

Para cambiar (o des/asignar) una passphrase de un fichero de claves hacemos:

$ ssh-keygen -p -f .ssh/id_dsa

Se recomienda cambiar la passphrase regularmente.

 
Desde cualquier equipo si se dispone de la clave privada (id_dsa) de puede acceder al servidor mediante:

$ ssh servidor -i id_dsa

También puede utilizarse toda la potencia de ssh, por ejemplo:

$ ssh usuario@servidor -p x -N -f -i id_dsa -L 5901:localhost:5901

Cliente PuTTY para Windows

Para usar la clave en PuTTY (Windows):

  1. Copiamos la clave privada al equipo

  2. Usamos PuTTYGen para importar la clave y guardarla como .ppk
    • Conversions->Import key

    • Introducir la passphrase
    • Pulsar “Save private key” y guardarla con extensión .ppk
  3. Al hacer la conexión, en el menú SSH->Auth seleccionamos nuestro fichero .ppk
  4. Si al conectar muestra el error “Key is of wrong type (PuTTY SSH2 private key)“, seleccionar en PuTTY Connections->SSH el protocolo “2″.

Otros artículos relacionados

Configuración de ssh
Túneles SSH
Uso de ssh
Uso de scp
sshfs – Montando recursos mediante SSH y FUSE

ssh, putty, clave, confianza, dsa

Samba – Resolución de problemas

Comprobaciones

Empezamos con algunas comprobaciones básicas

# smbclient -L localhost
# smbclient -L localhost -U%
# smbclient -L localhost -U guimi
# smbclient -U guimi //Servidor/guimi

 

También podemos seguir “The samba checklist“, que en resumen sería:

# testparm smb.conf
# ping Mi-servidor
# ping Un-cliente
# smbclient -L localhost
# smbclient -L localhost -U%
# smbclient -L localhost -U guimi -W MI_dominio
# smbclient -L Mi-servidor
# smbclient -L Mi-servidor -U%
# smbclient -L Mi-servidor -U guimi -W MI_dominio
# nmblookup -B Mi-servidor __SAMBA__
# nmblookup -B Un-cliente ‘*’
# nmblookup -d 2 ‘*’
# smbclient //Mi_servidor/Un_recurso
# nmblookup -M Mi_dominio

En un cliente Windows:

c:\> net view \\Mi-servidor
c:\> net use x: \\Mi_servidor\Un_recurso

 

Posibles errores

signing is mandatory (w2003)

Si el servidor es un Windows 2003 Server puede generar el error:

cli_negprot: SMB signing is mandatory and we have disabled it.
10659: protocol negotiation failed
SMB connection failed

Para solventarlo hay que modificar el registro del servidor, bajo la clave
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

Y poner “enablesecuritysignature” y “requiresecuritysignature” a 0.

Clientes Windows XP

Los clientes deben tener instalado el servicio “Cliente de redes Microsoft”.
 
Según indica Microsoft:
“Windows XP Home Edition no se puede unir a un dominio. Sólo se puede configurar como un miembro de un grupo de trabajo.”
 
Para que una maquina con Windows XP Professional pueda acceder al dominio puede ser necesario cambiar la siguiente entrada del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\parameters

Y poner “requiresignorseal” a 0.
Además en las políticas de seguridad del hay que tener deshabilitadas:

  • Miembro de dominio: Descifrar o firmar digitalmente datos de un canal seguro (siempre)

  • Miembro de dominio: Deshabilitar cambios de contraseña de cuentas de equipo.
  • Miembro de dominio: Requerir clave de sesión protegida (W2000 o más reciente).

Resolución de problemas en Samba, Configurar Samba, Problemas frecuentes SMB