All posts by HC6PE

Cómo obtener IPv6 para mi sitio web si mi proveedor de hosting sólo tiene IPv4

Hola

Bueno, sobre IPv6, quería comentarles de un servicio que estamos ofreciendo en EcuaLinux con la finalidad de que las organizaciones interesadas puedan ya implementar IPv6 en sus sitios web sin costo adicional alguno.

Como breve introducción:
Llevamos un buen tiempo trabajando con IPv6 en nuestros sitios y de algunos de nuestros clientes, en sentido general no han habido mayores dificultades en estos. Sin embargo frecuentemente nos topamos conque existe mucho desconocimiento sobre el proceso; incluso muchos mitos sobre lo que es o no es IPv6. Y no lo dudemos: también existen inconvenientes prácticos para llevar a cabo el proceso de implementación de IPv6 en los sistemas que actualmente utilizamos.

El pasado año 2012, desde el ministerio de telecomunicaciones a través del acuerdo ministerial 039-2012 se solicitó en al Artículo 1, inciso 2:

“Las instituciones y Organismos del sector Público señalados en el Art 225 de la Constitución de la República del Ecuador, deberán realizas las gestiones necesarias para que implementen sus sitios web y plataformas de servicios electrónicos, con el soporte y compatibilidad con el protocolo IPv6 de manera coexistente con el protocolo IPv4, en el plazo de un año contado a partir de la entrada en vigencia del presente acuerdo.”

En la maestría en redes que estamos siguiendo, hicimos un muestreo de diversos sitios gubernamentales (pero lo mismo aplica perfectamente a cualquier tipo de sitio web) y notamos que poco se ha avanzado en la implementación de IPv6 al menos en los sitios web, que son la parte visible de una organización en internet. Un ministerio o dos, un municipio o dos, una universidad o dos, una empresa comercial o dos, pero no es un número alto. Pero bueno: es normal! Es un protocolo que recién estamos comenzando a usar. Todo tiene que comenzar por los primeros ¿verdad?

Una de las justificaciones que tienen las organizaciones (públicas y privadas) es que los ISP no ofertan todavía en forma masiva IPv6 a las redes de los clientes. Y por tanto los potenciales usuarios finales de IPv6 ven como un inconveniente al proceso este hecho.

Otro de los “peros” que se tienen (pueden haber más) es que quizá el sitio web es un sistema ya instalado, funcionando, que quizá no controlen directamente pues está en un proveedor de hosting o de internet y que tocarle a este sistema con la finalidad de implementar IPv6 quizá no sea posible o les afectaría el sistema IPv4 actual y bueno, las típicas situaciones de: “el director, gerente, ministro, jefe, administrador, no nos permite que se vaya a caer el sitio ni un minuto para realizar este cambio, etc, etc, etc”

Ahora sí, sobre el sistema que creamos:
Nosotros pensamos en algo para ayudar en este proceso: Si no pueden poner IPv6 en su sistema ya sea porque a la red no llega IPv6, o porque estiman o saben que el proceso de implementación de IPv6 en su servidor web es o va a ser muy complejo… ofrezcamos una alternativa.

Y la explico mejor:

Supongamos que tengo un servidor con IPv4 en el cual está corriendo mi sitio web. Y a este servidor, por la razón que sea, no le puedo implementar IPv6 al momento; sin embargo quiero cumplir con el acuerdo ministerial e ir haciendo algo para que al menos mi sitio web esté presente por IPv6.

Para esto nosotros te ofrecemos un servidor localizado en nuestra red, el cual puede actuar de intermediario entre la red IPv6 y la red IPv4 donde está tu servidor.

El usuario sólo debe realizar los siguientes pasos:
1- registrarse en http://ipv6.ecualinux.com/,
2- agregar entonces el record (o los records) al que se quiere ponerle IPv6, por ejemplo www.midominio.gob.ec
3- entonces en los DNS que maneje su dominio, donde quiera que esté, solicitar que agreguen o agregar un record AAAA hacia la IPv6 que le daremos cuando realice el paso 2.

Unos minutos después de realizado el paso 3, el sistema ya estará funcional a través de IPv6. Mientras no realice los 3 pasos, el sistema no funcionará en IPv6.

¿Cómo se vería esta página web entonces? habrían dos formas:
– Si alguien desea ver el sitio por IPv4, obtendrá el record A de tu servidor, y accederá directito a tu servidor.
– Si alguien desea ver el sitio por IPv6, obtendrá el record AAAA de tu servidor, irá por tanto a un servidor nuestro que actuará de intermediario (proxy reverso) hacia la IPv4 (record A) de tu servidor.
Por tanto se verá la misma página web que si le viera por IPv4. Como ventaja adicional tu sitio ahora estará en dos lugares: en tu servidor web, y además se servirá el sitio desde un servidor nuestro en Norteamérica; esto podría tener como ventaja adicional el disminuir muy levemente el tráfico hacia tu sitio web original.

Todo esto sin tener que hacer ningún tipo de reconfiguración ni reprogramación de nada en el actual sistema web.

Este servicio no tiene costo, es un pequeño aporte al proceso de implementación, no es la panacea, lógicamente siempre hay peros y porqueses que dar sobre el cómo funciona el sistemita pero bueno, sabemos que funciona porque ya le tenemos a algunos sitios web trabajando en IPv6 a través de esta pasarela.

Durará lo necesario hasta que poco a poco las organizaciones vayan implementando IPv6 directamente.

Si algun ISP local desea, le podemos brindar el código de este sistema (de hecho luego veré que sea publicado el código) para que puedan implementar sus propias pasarelas. Pero esto nos implicaría un poco más de documentación sobre cómo dejar configurado el servicio y nos demoraría un poco más hacerlo.

Como último, y sobre el tema de capacitación que hablo al final de esta noticia:

También en el mismo artículo del acuerdo ministerial, en el inciso 5, indican que dictarán charlas, talleres, foros y jornadas teórico prácticas sobre aspectos técnicos de IPv6.

Respecto a este inciso: contactamos a varias personas en el mintel y subsecretaría de informática, enviamos incluso propuestas de capacitación sobre cursos prácticos en video sobre IPv6 en servidores Linux (que son la mayoría de los servidores usados para servicio web e incluso para servidores de comunicaciones) curso que ya ofrecemos y que se puede recibir incluso remotamente (Están pensados para llegar al máximo de personas) y hemos recibido al momento el silencio por respuesta.

Esperemos que para el próximo año se pueda también aportar con esta parte de los cursos pues en efecto uno de los inconvenientes que vemos no es la dificultad de la implementación de IPv6… no! (es fácil verdad?) el inconveniente es que las personas quizá por falta de tiempo en esta vida tan agitada que llevamos no tienen tiempo de investigar tranquilamente y probar el protocolo IPv6 y en efecto es muy útil el poder recibir un empujón en cuanto a la capacitación en IPv6.

A ver, a ver, a quién le atacaron hoy

Bueno, al incop!

Aquí la url de zone-h.org que es de donde obtengo los reportes diarios:

http://www.zone-h.org/mirror/id/19026232

sí, mira una captura de pantalla de la firma que les han subido:

Screenshot from 2013-01-17 20:59:23

Hum, sí.. pues mira, parece que tienen un joomla (oh sorpresa, otra vez un joomla) y el atacante aprovechó ya sea una falla de seguridad por no estar actualizado o correctamente protegido, o descubrió la clave.. y puso una firmita.

Qué significa la firmita? Es algo así como que les dicen: entré! Y puedo hacer más!

Señores, más cuidado, políticas más fuertes para evitar esto. El incop no es gracia, no es un sitio así así por cumplir.. es el sitio del incop! Por favor, más atención.

Cómo resolverán el problema? Seguramente no lo sabremos.. ahora se enterarán de que les atacaron, eliminarán la firmita y ya.. no dirán nada de lo sucedido, y no sabremos en lo absoluto cómo corrigieron el problema para que las otras instituciones puedan aprender de las acciones que ellos van a tomar. Y para que tengamos la tranquilidad de que tomaron medidas para que no vuelvan a atacarles por el mismo lugar.

Y repito: comprar más hardware o sistemas comerciales que no aportan conocimiento no va a solucionar el problema!

Cómo se puede evitar o mitigar esto? Con un continuo aprendizaje, aplicación de técnicas de seguridad, una correcta política de mantenimiento de los sistemas. Capa 8, orientémonos a la capa 8.

No estamos en 1998 cuado poner un sitio era subir un html y ya.. los sitios los están atacando y la seguridad es algo del día a día, más en lugares tan importantes como el incop.

También atacaron a otros sitios, creo que dos gobernaciones, pueden verles en www.zone-h.org

 

Sobre el boletín “Ecuador requerirá carta de invitación para ingreso de ciudadanos cubanos”

Un resumen de este post que hice en Enero del 2013, le he posteado hoy (febrero del 2013) en el sitio del minrex, con ciertas correcciones, adiciones, etc.. con la finalidad de tratar de llegar a los funcionarios del minrex que puedan realizar aportes/mejoras a este procedimiento con la finalidad de facilitar/agilitar/mejorar los trámites que este procedimiento require.

Estos comentarios los hago con la finalidad de aportar a que se faciliten los trámites a lo requerido en este boletín en donde se pueda.

Hace un día o dos el mmrree de Ecuador sacó un boletín que trata sobre el ingreso de ciudadanos cubanos a Ecuador. Por lo que leo del boletín es para lograr evitar el tráfico de personas y una migración ordenada. Bueno, existe el derecho pues a la final se pueden dar casos de tráfico de personas, etc.

En el boletín aquí listado del mmrree http://www.mmrree.gob.ec/2013/bol0014.asp se indica que:

“Ecuador requerirá a partir del 21 de enero la presentación previa de una carta de invitación a los ciudadanos de nacionalidad cubana para su ingreso al país, a través de los aeropuertos internacionales o pasos admitidos de frontera. La carta deberá ser legalizada ante el Ministerio de Relaciones Exteriores, Comercio e Integración y cumplir con requisitos orientados a contribuir a la vigencia de un flujo migratorio ordenado entre ambos países e impedir el tráfico de personas.”

Veamos algunas cosas:
1- Sobre el país de inicio del viaje:  El boletín es bien general. Habla de ciudadanos cubanos y nada más. Por tanto, un cubano que viva en México, o en Estados Unidos, o en Argentina, o en Perú. También es un ciudadano cubano y tendrá que cumplir el mismo requisito.

Parece gracioso lo que uno expone pero no es así, esto simplemente sujetará la entrada de los cubanos a mucha discrecionalidad por parte de quien le recibe en el país.. este funcionario que le recibe puede que entienda: caramba, si vive en México o en Perú pudo haberse ido hace rato a Estados Unidos (que es a la final el objetivo de muchos cubanos ok) y por tanto no tiene mucho sentido pedirle toda esta documentación.. y no sé, dejarle o no pasar si así lo estima su proceder. Pero si el que le recibe, se levantó mal ese día, con gripe o fiebre.. puede acogerse al texto literal del boletín que repito dice: “Ecuador requerirá a partir del 21 de enero la presentación previa de una carta de invitación a los ciudadanos de nacionalidad cubana para su ingreso al país”. Y por tanto esa persona que vino desde México, desde Monterrey, o desde Niagra Falls, Canadá, luego de muchas horas de viaje.. sea regresado con las mismas porque no tiene los documentos que son precisamente para prevenir el tráfico de personas (que típicamente ocurre hacia el norte.. de donde él viene).

Hay cubanos que viven ya 20 ó 30 años en USA y siguen manteniendo su ciudadanía cubana.. y ahora cómo harán con estos mayores que quieren venir a pasarse unas vacaciones merecidas en Galápagos? Creo que el objetivo de este boletín es para las personas cuyo aeropuerto de inicio del viaje es La Habana, no es tanto para los que viven en otros países.. verdad? Qué tal especificar mejor esto?.

2- Sobre la cantidad de entradas: Si alguien ya entró anteriormente al país… en verdad va a ser sujeto de tráfico de personas? No me parece tanto… yo pienso (quizá esté equivocado) que típicamente las personas que están siendo traficadas (no sé cómo sea la palabra) entran a un país una vez para seguir camino a su destino. No es que vienen y se pasan 2 semanas y regresan a su país y luego vienen de nuevo y se pasan un mes.. y lueeeeeeeeeeeego es que son sujetos del tráfico.. digo yo: Si alguien ha entrado 2, 3 veces , 5 veces a un país.. a mi no me parece que sea un comportamiento típico de alguien que está en un tema de tráfico. Y podría simplificarse su trámite de entrada y ser tratados como un argentino o un mexicano, o un colombiano que viene al país.. normal, con todas las medidas del caso pero sin diferenciar a los cubanos del resto.

Otra parte:
El texto más abajo dice en su numeral 3: “El ciudadano ecuatoriano o extranjero residente podrá invitar solamente a un ciudadano cubano en un periodo de doce (12) meses. “

3- doce (12) meses contados a partir del primero de enero de cada año? o entre una invitación y otra? o entre la entrada efectiva del primer invitado y del segundo invitado? o entre lo que el primero salió y lo que el segundo entró? o cómo? No dejemos temas abiertos, que luego quedan a merced de lo que libremente pueda interpretar alguien según mil parámetros.

3a- Por cuánto tiempo será valida la invitación? 3? 6? 12 meses? no dice. Todo previsto por lo que veo, todo muy bien preparado eh?

4- Sobre los familiares: yo, ciudadano ecuatoriano, he traído a mis padres, a los dos, a la vez, a que se pasen un periodo con nosotros.. como son mayores de edad se les consigue pasajes a buenos precios y luego pues aquí están con nosotros, un mes, dos, tres.. y lógicamente se sienten más protegidos y seguros el poder depender el uno del otro durante el viaje, no son personas de 20 años.. vienen juntitos y les regresamos juntitos. Ahora no podré, yo su hijo solamente podré traer a uno en un periodo de doce (12) meses!

O tendré que buscar quién me ayude desinteresadamente a invitar a mi  madre, yo invitar a mi padre..  y si quiero traer a mi sobrina que no llega ni a 2 cifras en su edad a los 4 ó 5 meses de haber regresado ellos.. pues tendré que buscar una tercera persona.

Son mis familiares en un determinado grado de consanguineidad.

Pensemos negativamente: si hubiera habido algún interés de “tráfico” no les parece que hace rato hubiera existido? Son mis familiares, saben que vivo aquí, si en verdad estuviera en malos caminos hace rato lo que iba a suceder hubiera sucedido ya sea por una super idea mía o de ellos: “oye, llévame a mí, jubilado, a USA y déjame allá embarcado sin familiares ni un diablo”.

Además.. se está limitando a un ciudadano ecuatoriano el derecho de ver a sus dos padres juntos, o a su hermana, o sobrina o a todos, en el mismo instante de tiempo o a lo largo de un periodo determinado de tiempo.

Yo creo que si son familiares de hasta cierto grado se debería suavizar este tema. Con ellos entrar con algún documento que les demuestre la afinidad (copia notarizada de mi cédula, pasaporte de mi hermana donde consten sus dos apellidos que coinciden con los míos, o copia de la partida de nacimiento de mi hermana y/o sobrina, etc) creo que sería suficiente para demostrar lazos FAMILARES en el país. Pensemos en la familia, que no es lo mismo que invitar a un desconocido… digo yo.

5- Ahora, con esto de una invitación en 12 meses.. sucederá que se creará un mercado negro, no es cierto? Ya te diré cuando alguien me llame a ofrecerme 600usd por invitar a un perfecto desconocido. Lógicamente que sabes cuál será mi respuesta.. pero alguien más débil de mente, o con una necesidad de plata, o con un desconocimiento del problema legal en que se podría meter podría dar otra respuesta.

Bueno este es un tema que por demás afectará a los bolsillos de los interesados: el cubano que quiere venir, el cual tendrá que pagar una X cantidad porque le invite alguien, seguramente desconocido, que cobrará por invitarle, los intermediarios cobrarán X y pagarán Y, con X>>Y.

Lógicamente hay un componente peligroso que es la responsabilidad penal, y no es por justificarle, pero muchos ignorarán esto, por desconocimiento o por avaricia…

Ahora, mi punto: el que se puedan invitar a uno o a varias personas no disminuye la responsabilidad penal del que invita.Creo que ese límite se podría relajar un poco más, hay veces que uno necesita invitar a varias personas. Cuando el rector de una universidad necesite traer a 3 profesores? Sé que dirás que es otro tema.. pero este boletín no veo que haga excepciones.

Además: Por qué no dar una opción de que el mismo cubano que quiera venir pueda aplicar a algún tipo de garantía: al entrar, o antes de salir, deje una garantía de retorno a su punto de origen del viaje consistente en una X cantidad de dinero por cada día que indique que estará (o que la garantía la deje el que le invite). Hay que dar variantes.. hay gente que en verdad quiere venir a conocer, visitar las galápagos, y regresar.. son gente que tiene dinero y que nadie tiene que estarse responsabilizando económicamente por ellos, ellos pueden hacerlo solitos.

Ya casi al final del boletín dice:

“el o la invitante enviará los documentos al ciudadano cubano, quien deberá presentar los mismos a las autoridades migratorias al ingresar al Ecuador”

6-  es decir, ni siquiera pueden hacer un contacto entre los funcionarios que dan entrada al país y el MinREx donde el que invita legaliza los documentos, para que quede guardado el número de trámite y ya pueda entrar.. no.. hay que enviar hacia Cuba los documentos, no sólo por la demora, sino por los costos de envio de documentos… algo se puede trabajar aquí para facilitar las cosas.. llegar al sueño de “cero papeles”. Hay firmas electrónicas, se podría pensar en firmar estos papeles electrónicamente y que el invitado pueda descargarle desde una conexión de internet y traerle, hay variantes.

6a- “el o la invitante”… “al ciudano cubano”. Totalmente bien eh? En la priemra parte, super generosos, hablando al estilo “actual” del español.. “masculino o femenino”… “al masculino”. La redacción tiene el estilo inicial que se quiere imponer del español no discriminatorio respecto al género pero luego se olvidan de femenino/masculino y solo ponen masculino. No deberían revisarse? Yo propongo que se escriba así: “el o la invitante enviará los documentos al ciudadano o ciudadana cubano o cubana” ahi sí! Parece una picudez mía, pero si vamos a trabajar en el tema de género de esta forma de llamar siempre como M ó F y cosas así.. pues sigamos con el mismo tipo de redacción.

TAREA: redactar correctamente la siguiente parte: “El ciudadano ecuatoriano o extranjero residente podrá invitar solamente a un ciudadano cubano en un periodo de doce (12) meses.

Respuesta a la tarea: “El ciudadano ecuatoriano o la ciudadana ecuatoriana o extranjero o extranjera residente podrá invitar solamente a un ciudadano cubano o a una ciudadana cubana en un periodo de doce (12) meses.

TAREA2: redactar correctamente la siguiente parte: “Ecuador requerirá a partir del 21 de enero la presentación previa de una carta de invitación a los ciudadanos de nacionalidad cubana para su ingreso al país

Respuesta: no la daré, aquí tengo consideraciones sobre qué hacer con la palabra ‘cubana’ pues hace referencia feminista al terminar en -a indica género femenino y nos excluye a los masculinos y si a todo le vamos a “mascufeminizar” no sabría cómo redactar esta frase.

Qué es “mascufeminizar” es eso que ahora usan de llamar las cosas por femenino y masculino: los ciudadanos y las ciudadanas, los estudiantes y las estudiantas (wow), los choferes y las choferas, los toros y las toras, los vacos y las vacas, y cosas así

Cómo configurar alta disponibilidad con dos WAN (dos ISP)

Hace años realizé estas pruebas pero a patita, usando directamente los comandos de linux (tal y como se indica en el excelente libro de www.lartc.org)

Yo había pensando que había cambiado un poco la idea, pero no, sigue siendo la misma.

El escenario:

Supongamos que tenemos dos proveedores de internet, dos ISP, pueden ser el mismo ISP con dos conexiones o dos muy diferentes ISP.. y que queremos que los usuarios de nuestra red naveguen a través de ambos.

Bueno, pues requeriremos de una máquina con 3 tarjetas de red, una para cada WAN (para cada ISP) y otra para la LAN donde estarían nuestros sistemas.

Este gráfico que mostraré es muy burdo, puede ser mejorado (sobre todo por ejemplo insertando un servidor proxy, correos, control de contenidos, etc detrás de la tarjeta ETH02 del server que aquí muestro).

Esquema planteado para balanceo de carga entre dos conexiones de internet
Esquema planteado para balanceo de carga entre dos conexiones de internet

Este método que usaremos no hace magias, simplemente si un usuario solicita ir a un sitio web, el sistema le saca la petición por uno de los dos ISP. Si otro usuario solicita ir a otro sitio, pues le saca la petición por el otro ISP y así cada petición irá saliendo alternadamente por cada ISP.

No es perfecto: una vez que una petición sale por un ISP, se mantiene esta preferencia hasta que se cierre totalmente. Es por muchas cosas, por ejemplo para evitar que un sitio web sienta que le están jugando sucio si ve que un paquete llega por una IP y luego el siguiente por otra. Entonces se mantiene toda la conexión por un ISP, para que salga por la misma IP siempre.

Lógicamente esto tiene algo malo, si se cae el ISP por donde sale mi conexión, entonces me quedaré colgado un rato, hasta que se reinicialice la conexión por el otro ISP. Por suerte este será el escenario menos frecuente, y no ocurrirá a todas las conexiones, sino solamente a las que estén verdaderamente establecidas en ese momento. Típicamente ni se notará.

Algunas personas piensan que esto se llama Bonding. Bonding es “pegar” y no es la idea esta. Bonding (también conocido como trunking) se hace cuando yo tengo dos tarjetas de red que se van a conectar a un mismo switch (a una misma vlan) y le uso para incrementar el canal hacia mi LAN y para que ante una falla la otra tarjeta siga sirviendo. En el bonding ambas interfaces actúan de común acuerdo, ambas tienen una única IP y se reparten los paquetes desde-hacia esa IP. El bonding se hace en LAN, no se hace en conexiones WAN.

Bueno, veamos el diagrama anterior: tengo dos ruteadores de dos ISP diferentes, ellos me han entregado una IP (192.168.9.1 el uno y 192.168.1.1) que sería el gateway hacia ellos. Ellos no saben y no esperan que tu tengas dos ISP, simplemente ellos esperan que tú configures una IP en tu servidor (192.168.9.3 el uno y 192.168.1.3 el otro) y que le pongas a ese servidor la IP de ellos de gateway (192.168.1.1 el uno y 192.168.9.1 el otro).

Pero nosotros no haremos eso. Nosotros bajaremos ZeroShell del sitio www.zeroshell.net y le pondremos a nuestro servidor 3 tarjetas:

  1. en ETH00 configuraremos la IP que nos dió el ISP1 (192.168.9.3).. y hasta le pondremos su gateway (192.168.9.1). Aquí reiniciamos y probamos ver si nos podemos conectar al zeroshell. Te toca aprender a guardar su “profile” la idea es que la máquina arranque con esta interfaz bien configurada en el profile que guardarás.
  2. En ETH01 configuraremos la IP que nos dió el ISP2 (192.168.1.1), y no le pondremos de momento el gateway de este ISP2.
  3. En ETH02 cofiguraremos la IP que pondremos hacia nuestra LAN, la 10.0.0.1 por ejemplo.

No continuemos hasta que logremos ver esto, las 3 interfaces configuradas como aqui indiqué:

Configuracion de la red en ZS para alta disponibilidad

Si te fijas, eth00 tiene la IP que me asignó el ISP1, y así mismo eth01 y eth02 la de mi lan.

Pondré una PC a mi LAN (eth02) y le pondré de IP 10.0.0.2 y de gateway 10.0.0.1. Lógicamente le pondré los dns que mejor me parezcan.

Ahora configuraré NAT, para que el equipo de mi red LAN (10.0.0.2 le conecté a ETH02) pueda navegar.

Para configurar NAT, mira la imagen anterior. Ves allí arriba un botoncito que dice: NAT. Pues dá click aquí y escoge AMBAS interfaces que están conectadas a los ISP: ETH00 y ETH01 en mi caso.

Probando el NAT:

No sigas si esta prueba no resulta: intenta realizar un ping desde el equipo de tu LAN (10.0.0.2) hacia internet, verás que funciona. Tiene que funcionar, sino revisa que el NAT esté bien definido y que el equipo pueda hacer ping a 10.0.0.1 que es el gateway de él. No sigas hasta que esto no funcione.

Configurando Dual WAN

En el menú de la izquierda escojo: Net Balancer

  • En la sección Gateway List, aparecerá solamente el gateway que se corresponde con la eth00 (la conexión a la que le configuré el gateway anteriormente) Tiene el nombre DEFAULT GATEWAY. Tócale y aprieta el botón Change
  • En el recuadrito que te saldrá, en la parte que dice: IP Address, defínele la IP del gateway de ese ISP1 (192.168.9.1 en mi ejemplo).
  • En el mismo anterior recuadro que te saldrá, escoge Status y ponle en Active
  • Guardo y cierro esta ventana, me regresa a la ventana principal
  • Ahora aprieto el botón Add
  • Aquí En descripción pongo algo que sea referente al ISP2
  • En IP Address pongo la IP del gateway del ISP2
  • En Status, le pongo Active (enable, habilitado, lo que diga)
  • Guardo y cierro.
  • ahora tendré definido dos gateways. El del ISP1 y el del ISP2
  • A la derecha habilito el ICMP Failover checking.
  • Abajo en Failover IP addresses, pongo una o varias IPs hacia las cuales probará el sistema: el sistema cada algunos segundos enviará un ping a esas IPs si no responde, es que está caído ese canal y le deshabilita por un rato. Sugiero pongas por ejemplo 8.8.8.8 que es la IP de un dns de google que nunca se cae.
  • Ah sí, le pongo enable en las Failover IP Addresses que configuré
  • Arriba arriba a la derecha de la ventana principal dice; Mode, le dejé como estaba como Load Balancing and Failover.
  • Arriba arriba a la izquierda de la ventana principal dice: Status, le marco ese checkbox para que se active.
  • Entonces aprieto en Save.

Luego de un ratito ya estará funcionando.

Verificaciones:

Cómo le probé: Bueno, apagué, desconecté uno de los dos ISP mientras hacía ping desde la PC de la red LAN.

Luego reconecté la conexión de ese ISP, y cuando ya estaba activo, desconecté el otro.. y probé, y el ping funcionaba.

Luego le reconecté a este ISP. Para que se mantuvieran los dos canales.

Viendo los logs fíjate cómo el sistema reporta que le apagué una conexión (la default) cómo lo detecta y le desactiva, y luego que se enciende le detecta y activa. Lo mismo con la otra conexión que le llamé Paul (pues iba por la conexión que tiene Paul para su uso) y se nota cómo se detecta la desconexión y la reconexión.

Screenshot from 2013-01-15 14:54:53

En resumen, es factible hacer failover de forma bastante fácil.

Lógicamente esta es una pequeña introducción al tema, pues hay variantes un poco más especializadas (por ejemplo cómo hacer para recibir correos, cómo priorizar un canal sobre el otro, etc). Pero definitivamente con esta introducción seguramente podrás ya seguir investigando las otras variantes.

Todo este experimento lo hice a través de sistemas virtualizados para facilitarme la vida.

Lo que pienso yo, un cubano “emigrado” sobre la posibilidad de salir del país sin restricciones del gobierno de Cuba

A partir de hoy todo se semejará mucho a lo que siempre debió ser: el que tenga las condiciones económicas, el interés y/o la necesidad… ese podrá salir. El que pueda superar las restricciones que otros países imponen, como en cualquier país puede existir.. pues saldrá. Pero ya no habrá que enfrentar una barrera que tu propio país te imponía.

Cómo lo usarán? Qué cambios en las políticas adoptarán ahora los otros países que pueden comenzar a recibir una cantidad mayor de visitantes desde la Isla.. no sé, pero ya era hora de que el gobierno se comenzara a quitar ese estigma de que es el que no dejaba salir a las personas.

Ya basta que alguien desconocido tenga que autorizar a los hijos ver a los padres, a los abuelos visitar a los nietos, a los compatriotas visitar a su propio país. En fin, el derecho (que no es obligación ni certeza de nada) de poder entrar y salir libremente de tu país ya está algo más cercano ya para la mayoría.

Qué pretende esta acción? Fines humanos como que la familia alejada se pueda ver más fácilmente? Fines económicos para salir un poco del problema de los posibles desempleados que puede generarse de los despidos estatales?

Cuándo se resolverán el resto de reclamos? Que todos los que no tengan delitos por penar puedan salir si lo desean? Que nos dejen de catalogar como emigrantes.. o que si así lo hagan sean para fines estadísticos pero no para fines de residencia en nuestro país.. Que nuestros hijos puedan ser inscritos como cubanos a pesar de que somos “emigrantes”. Falta bastante por avanzar, bastante. No es una opinión negativista. Este paso que hicieron es mucho más a lo que teníamos hasta ayer mismo, pero faltan más por tomar, espero que los sigan tomando.

Algunos piensan que debería estar agradecido por esta medida. Y yo me pregunto: agradecido por qué? Por algo que era un derecho humano? Algo que debió ser hace mucho tiempo así? Gracias pero no. Los derechos no creo que se agradecen.

Ambato, Ecuador, 14 de Enero del 2013, 12:03 de la mañana. A 3 minutos del día añorado por todos.

Presentación de arp y dns spoofing con ettercap

En el módulo de seguridades nos pidieron que nuestro grupo hiciera un pequeño trabajo de forma autónoma y presentara a los compañeros.. era sobre cómo hacer arp spoofing y dns spoofing utilizando una herramienta bastante conocida llamada ettercap para aplicar un ataque muy antiguo de spoofing en una red local.

No es la ciencia, existe muchísima información sobre este ataque, que no por ser antiguo o bien conocido deja de ser un problema.. todavía en estos tiempos es factible aplicarlo.

Aquí pongo un pdf del documento que nos sirvió de apoyo para presentar el resultado de la prueba.

ARP & DNS Spoofing – Presentación-1

Ettercap es bastante conocido y bien documentado de forma tal que realizar la prueba basándonos en los requerimientos (enviar respuestas de dns incorrectas a un equipo víctima presentándole una falsa página de facebook) fue realmente cautivador 😉 y por mi lado me permitió cerciorarme una vez más que asegurar una red es bastante complejo eh, no es cuestión de un hardware y ya.

Resultados del experimento de medición de Jitter propuesto para módulo de Banda Ancha de la maestría en redes

Este es el borrador con el que nos preparamos para demostrar el experimento de medición de jitter en VoIP dentro de una red congestionada:

ResultadosExperimento2012-01-02

 

 

“Por algo me as de recordar”

Así decía la parte de atrás de un bus allá por el 2000 aquí en Ambato… y no sé por qué.. pero no me he podido olvidar de la frase.

A veces las faltas de ortografía son un recurso de marketing, me decía un amigo hoy…. otras veces son inolvidables.

Usando ZeroShell para probar QoS

Este documento lo publiqué a fines del año pasado para que mis  compañeros de la maestría en redes tuvieran una herramienta en Software Libre con la cual probar un escenario que nos habían planteado para medir el jitter entre dos puntos de una red congestionada.

Aquí publico la parte técnica de este documento pues me parece útil que otras personas puedan tener acceso a cómo probar el escenario y además usar ZS:

——————————————————–

Bueno, la idea de este laboratorio independiente es la siguiente:
Se necesita priorizar el tráfico de VoIP para evitar o minimizar el jitter.

Ahora consideremos:

1- El detectar el equipo que consume ancho de banda no me parece una buena idea puesto que no será un sólo equipo el que consuma ancho de banda, sino que pueden ser equipos diversos en diversos momentos del tiempo. Ahora es cierto que típicamente lo que sugieren algunas personas es precisamente esto pero no estoy de acuerdo con esta sugerencia.

2- Otra opción sería poner en redes diferentes los equipos que harán VoIP de los que tendrán un tráfico normal de forma tal que controle yo lo que consume cada red. Esto es válido, pero no es el caso que nos ocupa ahora.

3- Cuando hice el trabajo (porque ya lo hice) no nos habían indicado que además había que usar el emulador gns3 que es un gran consumidor de ram y complica por gusto el trabajo y no aporta mucho al hecho de diferenciar en clases el ancho de banda, por tanto en esta explicación no hablaré del gns3 ya que incluso no nos indican todavía cómo configurar frame relay, tema simple pero algunos no conocen.

Por tanto le realicé el laboratorio de la siguiente forma:

Para virtualizar usé KVM pero bien podrían usar VirtualBox

Cada equipo le instalé con 1GB de ram pero una vez le encendí le bajé a 256MB pues como es Linux en modo texto no hace falta tanta RAM. De disco creo que le puse 5GB a cada equipo pero podría ser menos (2 ó 3 GB ) si no vas a instalar modo gráfico.

En KVM creé 5 máquinas virtuales:
1 equipo con Linux ZeroShell (ZS) en el medio.
2 máquinas CentOS a la izquierda de ZeroShell
2 máquinas CentOS a la derecha de ZheroShell, una de ellas será Trixbox.

ZeroShell es una distro que pueden bajar de aquí:
http://www.zeroshell.org

La imagen ISO tiene como 200MB, a algunos de los compañeros del grupo 1 que tuvieron el interés de acercarse ya les copié el ISO. Por demás se puede bajar de este sitio si te interesa probar esto que estoy indicando

A la máquina virtual de zeroshell le creé dos redes LAN:
– una de las LAN le llamé “izquierda” y es donde irán los dos equipos que estarán a la izquierda de ZS
– la otra se llamó “derecha” y como ya habrás adivinado es donde irán los dos equipos de la derecha

En uno de los equipos de la derecha puse trixbox , que es una distro de linux basada en CentOS con todo preparado para actuar de servidor de telefonía y que puede se bajada de http://www.trixbox.org la realidad esta parte me resultó rápida porque en este KVM teníamos un trixbox que usábamos hace unos meses y ahi estaba todavía y ya estaba configurado y demás.

En uno de los equipos de la izquierda instalé CentOS con un paquete del repositorio EPEL llamado SIPP (yum install sipp) que es un sistema que realiza varias y continuas llamadas a un servidor de SIP (el trixbox) y parece ser (esto toca validarlo) que me puede ayudar a medir el jitter de esas llamadas a través de wireshark pues al generar tantas llamadas genera suficiente tráfico para que wireshark pueda realizar mediciones. (ACTUALIZACION: A la final preferimos no usar sipp y usar un softphone como ekiga o twinkle para realizar llamadas a la extension 7777 y que quedara activa por buen tiempo).

En este mismo equipo donde puse sipp también instalé wireshark (yum install wireshark-gnome) y me conecté a él vía SSH con los switches -XYC para poder observar esta aplicación wireshark que es gráfica

Sobre los otros dos equipos: el que sobra a la izq y el que sobra a la der, fueron los generadores de tráfico. En ambos instalé CentOS y dentro de ellos instalé un paquete llamado iperf que está en el repositorio de EPEL.

(Como tema aparte: En realidad instalé un sólo CentOS y luego de instalarle el repo de EPEL le cloné y obtuve estos 3 centos similares en su paquetería. Todo esto gracias a las clases de virtualización que dictamos con Linux)

Sigamos: En el CentOS de la derecha ejecuté entonces: iperf -s que es el iperf listo para actuar como servidor, para recibir tráfico indiscriminado

En el de la izquierda ejecuté: iperf -c ipdel.iperf.dela.derecha lo que me permite generar tráfico de este cliente iperf hacia el anterior iperf que actúa como servidor.

Bueno, esto lo ejecuté tantas veces como me pareció conveniente. Y en realidad pueden estudiar más el iperf ya que este tiene una opción para decirle al cliente de iperf que no envíe solo 10 ó 30 segundos de tráfico sino que se pase enviando tráfico por varios minutos, etc. Así fue como hice en la vida real.

Siempre instalé CentOS-6 en los equipos de la der y de la izq. Y este CentOS pueden bajarlo de: http://centos.mirror.iweb.ca/6/isos/i386/CentOS-6.3-i386-minimal.iso es la variante mínima, para que no se demoren tanto en el proceso de instalación.

De los 5 equipos instalados:

  • los 4 Centos van dos conectados a la red de la izq y dos conectados a la red de la derecha (uno es trixbox que es una variante especializada de centos) y todos estos 4 fueron creados con una sóla tarjeta de red cada uno. (ACTUALIZACION: uno de los equipos de la izquierda no fue centos sino debian, pero no altera el cómo se hacen las cosas)
  • El equipo ZS es el único que tendrá 2 tarjetas de red, una hacia la red de la izq donde están dos centos y otro hacia la red de la der donde están los otros dos centos.
  • ACTUALIZACION: El debian actuó de NAT para que todos los equipos de esta red pudieran navegar a internet e instalar paquetes

Ahora viene lo interesante: Entré al zeroshell, y le configuré como un bridge. A los 4 equipos de ambos lados les puse una IP de la misma red e igual le puse una IP de la red al zeroshell.

Usé un recurso idéntico para ponerles la IP: Supongamos al zeroshell le configuré la IP 100, entonces a los de la izq le puse una IP menor que 100 y a los de la derecha una IP mayor que 100, para saber que si era 101, era un equipo de la derecha del 100 (del ZS) y si era .98 era un equipo con una IP menor que 100 y por tanto a la izquierda del ZS.

Entonces seguí las instrucciones aquí dadas:
http://www.zeroshell.org/qos/

Para catalogar el tráfico y todo funcionó! Lógico que seguir estas instrucciones te tomará un rato pero bueno, esta es la parte importante para la clase, el probar QoS.

Le puse un control de ancho de banda al ZS para que no dejara pasar más de 1 ó 2 mbits entre ambos lados… entonces realicé las siguientes pruebas (se pueden realizar más):

1- puse al sipp twinkle (equipo de la izq) a conectarse al server de trixbox (equipo de la der) a generar llamadas a la extensión 7777 (conexiones) y en efecto todo funcionó de maravillas. Este sistema de sipp podría ser sustituido por un cliente de telefonía sip si el caso lo amerita. Por ejempo ekiga. (ACTUALIZACION: así hice al final)

2- entonces puse a los equipos de iperf a generar tráfico (el cliente iperf a la izq y el servidor a la der) y en efecto en esos momentos el sipp comenzó a reportar pérdidas de llamadas pues el canal estaba saturado, pues recuerda que al ZS le dije que iba a ser un canal de 1 ó 2mbit/s

3- entonces seguí las instrucciones listadas en la última url que te he dado para clasificar y activar el control de tráfico, detectando en una cola todo lo relacionado con voip (rtp, skype, sip, etc), luego poniendo esta cola con más prioridad que el resto del tráfico, etc.. y repetí el paso 2… y el sipp ya no reportó pérdidas en las llamadas!
4- ahi me puse a hacer otros experimentos pues el ZS tiene chorro de cosas, pero esto ya no es tema del laboratorio este.

Consideraciones finales:

Para las personas que conocen Linux (que supongo sean la mayoría pues me dijeron que algunos ya han recibido muy buenas capacitaciones en Linux) este proceso les tomará varias horas en echarlo a andar, quizá un par de días bien dedicados a esto.

De mi parte me tomó como 2 días encontrar una solución que me pareciera adecuada (la de ZS) y varias horas más el preparar y probar el escenario aquí descrito. Hay más soluciones que puedes investigar si deseas, muchas más, tienes todo un mes todavía para investigar y prepararle el laboratorio.

Para los que no conocen Linux: es hora de comenzar a estudiarlo porque el tiempo apremia.

¿Cómo incorporar el gns3 ahi? Realmente no me parece conveniente y, la verdad sea dicha, para ser un experimento me parece ya bastante complejo e interesante. Incorporar el gns3 en mi caso me sería problemático pues ya tendría que dedicar otro hardware al gns3 ya que este es realmente un emulador, que consume recursos, que es lento (hecho en un lenguaje interpretado) y hasta incluso debido a ser un emulador podría falsear las interpretaciones que podríamos hacer de este experimento por su lentitud y consumo de recursos.

Pienso que se va a aprender lo siguiente (con lo hasta ahora dicho):

  1. A instalar linux, para algunos
  2. A instalar trixbox, para algunos
  3. A instalar zeroshell, para casi todos
  4. A configurar un repositorio para poder instalar sipp, para algunos
  5. A configurar una extensión en trixbox, para algunos
  6. A configurar un teléfono sip, para algunos
  7. a configurar ZS, para casi todos
  8. A configurar QoS en ZS, para casi todos
  9. A luego probar todo este escenario, para todos.

Sitio de CONATEL atacado

Bueno, he recibido el resumen diario de www.zone-h.org y me topo conque hay varios sitios .gob.ec defaceados. Tres por lo que veo.

Encabezando la lista.. www.conatel.gob.ec, ya sabíamos que tenían problemas con la IPv6 que tiene definida, cosa que ya publiqué hace muchas semanas, ver aquí: http://www.ernestoperez.com/2012/11/que-pasa-si-tenemos-ipv6-mal-configurada/

Ahora un atacante le dejó una firmita: http://www.conatel.gob.ec/x.txt que parece simple.. pero con esto el atacante simplemente indica: “pude escribir algo en tu sitio web.. por tanto: puedo escribir más”

¿Cuánto se darán cuenta? Supongo que el 3 de Enero 2 de Enero cuando regresen de vacaciones por fin de año. Quizá hoy mismo.

Pero lo más importante: ¿Cómo procederán para arreglar el asunto? Esto sí lo tengo seguro: la técnica del avestruz. ¿Cuál es? Eliminar la firmita, y aparentar que no ha ocurrido nada.. “disimula, disimula que nadie nos está viendo”. Lógicamente no publicarán nada de lo ocurrido para que otras organizaciones puedan aprender del ataque que les han hecho, y veamos si hacen una investigación sobre el ataque que les han hecho con el fin de evitarlo de nuevo. Hablo de técnicamente enterarse qué , cómo y por qué ocurrió… de eso hablo cuando digo investigar.

De paso, por favor: arreglen el tema del IPv6, está dando timeout!

Pueden ver una imagen de la firmita que les dejaron aquí: http://www.zone-h.org/mirror/id/18824110

Ellos no son los únicos… hoy, en el mismo resumen que me envía zone-h.org están también:

www.inh.gob.ec con la misma firma (x.txt)

También www.conadis.gob.ec con la misma firma

¿Es Linux más seguro sólo por ser Linux?

¿Mejora mi seguridad con poner más hardware?

NO, el problema de seguridad, el fundamental en estos momentos, está en CAPA 8.

Actualización al 1 de Enero:

El sitio de conatel sigue con la firma del atacante. Además anoche atacaron al municipio de palora así como al sitio www.escuelalegislativa.gob.ec así se ve al día de hoy el sitio:

Sitio web www.escuelalegislativa.gob.ec defaceado
Sitio web www.escuelalegislativa.gob.ec defaceado