Ecuador, Linux, Seguridad

A ver, a ver, a quién le atacaron hoy

Leave a comment

Bueno, al incop!

Aquí la url de zone-h.org que es de donde obtengo los reportes diarios:

http://www.zone-h.org/mirror/id/19026232

sí, mira una captura de pantalla de la firma que les han subido:

Screenshot from 2013-01-17 20:59:23

Hum, sí.. pues mira, parece que tienen un joomla (oh sorpresa, otra vez un joomla) y el atacante aprovechó ya sea una falla de seguridad por no estar actualizado o correctamente protegido, o descubrió la clave.. y puso una firmita.

Qué significa la firmita? Es algo así como que les dicen: entré! Y puedo hacer más!

Señores, más cuidado, políticas más fuertes para evitar esto. El incop no es gracia, no es un sitio así así por cumplir.. es el sitio del incop! Por favor, más atención.

Cómo resolverán el problema? Seguramente no lo sabremos.. ahora se enterarán de que les atacaron, eliminarán la firmita y ya.. no dirán nada de lo sucedido, y no sabremos en lo absoluto cómo corrigieron el problema para que las otras instituciones puedan aprender de las acciones que ellos van a tomar. Y para que tengamos la tranquilidad de que tomaron medidas para que no vuelvan a atacarles por el mismo lugar.

Y repito: comprar más hardware o sistemas comerciales que no aportan conocimiento no va a solucionar el problema!

Cómo se puede evitar o mitigar esto? Con un continuo aprendizaje, aplicación de técnicas de seguridad, una correcta política de mantenimiento de los sistemas. Capa 8, orientémonos a la capa 8.

No estamos en 1998 cuado poner un sitio era subir un html y ya.. los sitios los están atacando y la seguridad es algo del día a día, más en lugares tan importantes como el incop.

También atacaron a otros sitios, creo que dos gobernaciones, pueden verles en www.zone-h.org

 

Cuba, Ecuador, Migración

Sobre el boletín “Ecuador requerirá carta de invitación para ingreso de ciudadanos cubanos”

Leave a comment

Un resumen de este post que hice en Enero del 2013, le he posteado hoy (febrero del 2013) en el sitio del minrex, con ciertas correcciones, adiciones, etc.. con la finalidad de tratar de llegar a los funcionarios del minrex que puedan realizar aportes/mejoras a este procedimiento con la finalidad de facilitar/agilitar/mejorar los trámites que este procedimiento require.

Estos comentarios los hago con la finalidad de aportar a que se faciliten los trámites a lo requerido en este boletín en donde se pueda.

Hace un día o dos el mmrree de Ecuador sacó un boletín que trata sobre el ingreso de ciudadanos cubanos a Ecuador. Por lo que leo del boletín es para lograr evitar el tráfico de personas y una migración ordenada. Bueno, existe el derecho pues a la final se pueden dar casos de tráfico de personas, etc.

En el boletín aquí listado del mmrree http://www.mmrree.gob.ec/2013/bol0014.asp se indica que:

“Ecuador requerirá a partir del 21 de enero la presentación previa de una carta de invitación a los ciudadanos de nacionalidad cubana para su ingreso al país, a través de los aeropuertos internacionales o pasos admitidos de frontera. La carta deberá ser legalizada ante el Ministerio de Relaciones Exteriores, Comercio e Integración y cumplir con requisitos orientados a contribuir a la vigencia de un flujo migratorio ordenado entre ambos países e impedir el tráfico de personas.”

Veamos algunas cosas:
1- Sobre el país de inicio del viaje:  El boletín es bien general. Habla de ciudadanos cubanos y nada más. Por tanto, un cubano que viva en México, o en Estados Unidos, o en Argentina, o en Perú. También es un ciudadano cubano y tendrá que cumplir el mismo requisito.

Parece gracioso lo que uno expone pero no es así, esto simplemente sujetará la entrada de los cubanos a mucha discrecionalidad por parte de quien le recibe en el país.. este funcionario que le recibe puede que entienda: caramba, si vive en México o en Perú pudo haberse ido hace rato a Estados Unidos (que es a la final el objetivo de muchos cubanos ok) y por tanto no tiene mucho sentido pedirle toda esta documentación.. y no sé, dejarle o no pasar si así lo estima su proceder. Pero si el que le recibe, se levantó mal ese día, con gripe o fiebre.. puede acogerse al texto literal del boletín que repito dice: “Ecuador requerirá a partir del 21 de enero la presentación previa de una carta de invitación a los ciudadanos de nacionalidad cubana para su ingreso al país”. Y por tanto esa persona que vino desde México, desde Monterrey, o desde Niagra Falls, Canadá, luego de muchas horas de viaje.. sea regresado con las mismas porque no tiene los documentos que son precisamente para prevenir el tráfico de personas (que típicamente ocurre hacia el norte.. de donde él viene).

Hay cubanos que viven ya 20 ó 30 años en USA y siguen manteniendo su ciudadanía cubana.. y ahora cómo harán con estos mayores que quieren venir a pasarse unas vacaciones merecidas en Galápagos? Creo que el objetivo de este boletín es para las personas cuyo aeropuerto de inicio del viaje es La Habana, no es tanto para los que viven en otros países.. verdad? Qué tal especificar mejor esto?.

2- Sobre la cantidad de entradas: Si alguien ya entró anteriormente al país… en verdad va a ser sujeto de tráfico de personas? No me parece tanto… yo pienso (quizá esté equivocado) que típicamente las personas que están siendo traficadas (no sé cómo sea la palabra) entran a un país una vez para seguir camino a su destino. No es que vienen y se pasan 2 semanas y regresan a su país y luego vienen de nuevo y se pasan un mes.. y lueeeeeeeeeeeego es que son sujetos del tráfico.. digo yo: Si alguien ha entrado 2, 3 veces , 5 veces a un país.. a mi no me parece que sea un comportamiento típico de alguien que está en un tema de tráfico. Y podría simplificarse su trámite de entrada y ser tratados como un argentino o un mexicano, o un colombiano que viene al país.. normal, con todas las medidas del caso pero sin diferenciar a los cubanos del resto.

Otra parte:
El texto más abajo dice en su numeral 3: “El ciudadano ecuatoriano o extranjero residente podrá invitar solamente a un ciudadano cubano en un periodo de doce (12) meses. “

3- doce (12) meses contados a partir del primero de enero de cada año? o entre una invitación y otra? o entre la entrada efectiva del primer invitado y del segundo invitado? o entre lo que el primero salió y lo que el segundo entró? o cómo? No dejemos temas abiertos, que luego quedan a merced de lo que libremente pueda interpretar alguien según mil parámetros.

3a- Por cuánto tiempo será valida la invitación? 3? 6? 12 meses? no dice. Todo previsto por lo que veo, todo muy bien preparado eh?

4- Sobre los familiares: yo, ciudadano ecuatoriano, he traído a mis padres, a los dos, a la vez, a que se pasen un periodo con nosotros.. como son mayores de edad se les consigue pasajes a buenos precios y luego pues aquí están con nosotros, un mes, dos, tres.. y lógicamente se sienten más protegidos y seguros el poder depender el uno del otro durante el viaje, no son personas de 20 años.. vienen juntitos y les regresamos juntitos. Ahora no podré, yo su hijo solamente podré traer a uno en un periodo de doce (12) meses!

O tendré que buscar quién me ayude desinteresadamente a invitar a mi  madre, yo invitar a mi padre..  y si quiero traer a mi sobrina que no llega ni a 2 cifras en su edad a los 4 ó 5 meses de haber regresado ellos.. pues tendré que buscar una tercera persona.

Son mis familiares en un determinado grado de consanguineidad.

Pensemos negativamente: si hubiera habido algún interés de “tráfico” no les parece que hace rato hubiera existido? Son mis familiares, saben que vivo aquí, si en verdad estuviera en malos caminos hace rato lo que iba a suceder hubiera sucedido ya sea por una super idea mía o de ellos: “oye, llévame a mí, jubilado, a USA y déjame allá embarcado sin familiares ni un diablo”.

Además.. se está limitando a un ciudadano ecuatoriano el derecho de ver a sus dos padres juntos, o a su hermana, o sobrina o a todos, en el mismo instante de tiempo o a lo largo de un periodo determinado de tiempo.

Yo creo que si son familiares de hasta cierto grado se debería suavizar este tema. Con ellos entrar con algún documento que les demuestre la afinidad (copia notarizada de mi cédula, pasaporte de mi hermana donde consten sus dos apellidos que coinciden con los míos, o copia de la partida de nacimiento de mi hermana y/o sobrina, etc) creo que sería suficiente para demostrar lazos FAMILARES en el país. Pensemos en la familia, que no es lo mismo que invitar a un desconocido… digo yo.

5- Ahora, con esto de una invitación en 12 meses.. sucederá que se creará un mercado negro, no es cierto? Ya te diré cuando alguien me llame a ofrecerme 600usd por invitar a un perfecto desconocido. Lógicamente que sabes cuál será mi respuesta.. pero alguien más débil de mente, o con una necesidad de plata, o con un desconocimiento del problema legal en que se podría meter podría dar otra respuesta.

Bueno este es un tema que por demás afectará a los bolsillos de los interesados: el cubano que quiere venir, el cual tendrá que pagar una X cantidad porque le invite alguien, seguramente desconocido, que cobrará por invitarle, los intermediarios cobrarán X y pagarán Y, con X>>Y.

Lógicamente hay un componente peligroso que es la responsabilidad penal, y no es por justificarle, pero muchos ignorarán esto, por desconocimiento o por avaricia…

Ahora, mi punto: el que se puedan invitar a uno o a varias personas no disminuye la responsabilidad penal del que invita.Creo que ese límite se podría relajar un poco más, hay veces que uno necesita invitar a varias personas. Cuando el rector de una universidad necesite traer a 3 profesores? Sé que dirás que es otro tema.. pero este boletín no veo que haga excepciones.

Además: Por qué no dar una opción de que el mismo cubano que quiera venir pueda aplicar a algún tipo de garantía: al entrar, o antes de salir, deje una garantía de retorno a su punto de origen del viaje consistente en una X cantidad de dinero por cada día que indique que estará (o que la garantía la deje el que le invite). Hay que dar variantes.. hay gente que en verdad quiere venir a conocer, visitar las galápagos, y regresar.. son gente que tiene dinero y que nadie tiene que estarse responsabilizando económicamente por ellos, ellos pueden hacerlo solitos.

Ya casi al final del boletín dice:

“el o la invitante enviará los documentos al ciudadano cubano, quien deberá presentar los mismos a las autoridades migratorias al ingresar al Ecuador”

6-  es decir, ni siquiera pueden hacer un contacto entre los funcionarios que dan entrada al país y el MinREx donde el que invita legaliza los documentos, para que quede guardado el número de trámite y ya pueda entrar.. no.. hay que enviar hacia Cuba los documentos, no sólo por la demora, sino por los costos de envio de documentos… algo se puede trabajar aquí para facilitar las cosas.. llegar al sueño de “cero papeles”. Hay firmas electrónicas, se podría pensar en firmar estos papeles electrónicamente y que el invitado pueda descargarle desde una conexión de internet y traerle, hay variantes.

6a- “el o la invitante”… “al ciudano cubano”. Totalmente bien eh? En la priemra parte, super generosos, hablando al estilo “actual” del español.. “masculino o femenino”… “al masculino”. La redacción tiene el estilo inicial que se quiere imponer del español no discriminatorio respecto al género pero luego se olvidan de femenino/masculino y solo ponen masculino. No deberían revisarse? Yo propongo que se escriba así: “el o la invitante enviará los documentos al ciudadano o ciudadana cubano o cubana” ahi sí! Parece una picudez mía, pero si vamos a trabajar en el tema de género de esta forma de llamar siempre como M ó F y cosas así.. pues sigamos con el mismo tipo de redacción.

TAREA: redactar correctamente la siguiente parte: “El ciudadano ecuatoriano o extranjero residente podrá invitar solamente a un ciudadano cubano en un periodo de doce (12) meses.

Respuesta a la tarea: “El ciudadano ecuatoriano o la ciudadana ecuatoriana o extranjero o extranjera residente podrá invitar solamente a un ciudadano cubano o a una ciudadana cubana en un periodo de doce (12) meses.

TAREA2: redactar correctamente la siguiente parte: “Ecuador requerirá a partir del 21 de enero la presentación previa de una carta de invitación a los ciudadanos de nacionalidad cubana para su ingreso al país

Respuesta: no la daré, aquí tengo consideraciones sobre qué hacer con la palabra ‘cubana’ pues hace referencia feminista al terminar en -a indica género femenino y nos excluye a los masculinos y si a todo le vamos a “mascufeminizar” no sabría cómo redactar esta frase.

Qué es “mascufeminizar” es eso que ahora usan de llamar las cosas por femenino y masculino: los ciudadanos y las ciudadanas, los estudiantes y las estudiantas (wow), los choferes y las choferas, los toros y las toras, los vacos y las vacas, y cosas así

Linux, Paneles de control

Cómo configurar alta disponibilidad con dos WAN (dos ISP)

Leave a comment

Hace años realizé estas pruebas pero a patita, usando directamente los comandos de linux (tal y como se indica en el excelente libro de www.lartc.org)

Yo había pensando que había cambiado un poco la idea, pero no, sigue siendo la misma.

El escenario:

Supongamos que tenemos dos proveedores de internet, dos ISP, pueden ser el mismo ISP con dos conexiones o dos muy diferentes ISP.. y que queremos que los usuarios de nuestra red naveguen a través de ambos.

Bueno, pues requeriremos de una máquina con 3 tarjetas de red, una para cada WAN (para cada ISP) y otra para la LAN donde estarían nuestros sistemas.

Este gráfico que mostraré es muy burdo, puede ser mejorado (sobre todo por ejemplo insertando un servidor proxy, correos, control de contenidos, etc detrás de la tarjeta ETH02 del server que aquí muestro).

Esquema planteado para balanceo de carga entre dos conexiones de internet
Esquema planteado para balanceo de carga entre dos conexiones de internet

Este método que usaremos no hace magias, simplemente si un usuario solicita ir a un sitio web, el sistema le saca la petición por uno de los dos ISP. Si otro usuario solicita ir a otro sitio, pues le saca la petición por el otro ISP y así cada petición irá saliendo alternadamente por cada ISP.

No es perfecto: una vez que una petición sale por un ISP, se mantiene esta preferencia hasta que se cierre totalmente. Es por muchas cosas, por ejemplo para evitar que un sitio web sienta que le están jugando sucio si ve que un paquete llega por una IP y luego el siguiente por otra. Entonces se mantiene toda la conexión por un ISP, para que salga por la misma IP siempre.

Lógicamente esto tiene algo malo, si se cae el ISP por donde sale mi conexión, entonces me quedaré colgado un rato, hasta que se reinicialice la conexión por el otro ISP. Por suerte este será el escenario menos frecuente, y no ocurrirá a todas las conexiones, sino solamente a las que estén verdaderamente establecidas en ese momento. Típicamente ni se notará.

Algunas personas piensan que esto se llama Bonding. Bonding es “pegar” y no es la idea esta. Bonding (también conocido como trunking) se hace cuando yo tengo dos tarjetas de red que se van a conectar a un mismo switch (a una misma vlan) y le uso para incrementar el canal hacia mi LAN y para que ante una falla la otra tarjeta siga sirviendo. En el bonding ambas interfaces actúan de común acuerdo, ambas tienen una única IP y se reparten los paquetes desde-hacia esa IP. El bonding se hace en LAN, no se hace en conexiones WAN.

Bueno, veamos el diagrama anterior: tengo dos ruteadores de dos ISP diferentes, ellos me han entregado una IP (192.168.9.1 el uno y 192.168.1.1) que sería el gateway hacia ellos. Ellos no saben y no esperan que tu tengas dos ISP, simplemente ellos esperan que tú configures una IP en tu servidor (192.168.9.3 el uno y 192.168.1.3 el otro) y que le pongas a ese servidor la IP de ellos de gateway (192.168.1.1 el uno y 192.168.9.1 el otro).

Pero nosotros no haremos eso. Nosotros bajaremos ZeroShell del sitio www.zeroshell.net y le pondremos a nuestro servidor 3 tarjetas:

  1. en ETH00 configuraremos la IP que nos dió el ISP1 (192.168.9.3).. y hasta le pondremos su gateway (192.168.9.1). Aquí reiniciamos y probamos ver si nos podemos conectar al zeroshell. Te toca aprender a guardar su “profile” la idea es que la máquina arranque con esta interfaz bien configurada en el profile que guardarás.
  2. En ETH01 configuraremos la IP que nos dió el ISP2 (192.168.1.1), y no le pondremos de momento el gateway de este ISP2.
  3. En ETH02 cofiguraremos la IP que pondremos hacia nuestra LAN, la 10.0.0.1 por ejemplo.

No continuemos hasta que logremos ver esto, las 3 interfaces configuradas como aqui indiqué:

Configuracion de la red en ZS para alta disponibilidad

Si te fijas, eth00 tiene la IP que me asignó el ISP1, y así mismo eth01 y eth02 la de mi lan.

Pondré una PC a mi LAN (eth02) y le pondré de IP 10.0.0.2 y de gateway 10.0.0.1. Lógicamente le pondré los dns que mejor me parezcan.

Ahora configuraré NAT, para que el equipo de mi red LAN (10.0.0.2 le conecté a ETH02) pueda navegar.

Para configurar NAT, mira la imagen anterior. Ves allí arriba un botoncito que dice: NAT. Pues dá click aquí y escoge AMBAS interfaces que están conectadas a los ISP: ETH00 y ETH01 en mi caso.

Probando el NAT:

No sigas si esta prueba no resulta: intenta realizar un ping desde el equipo de tu LAN (10.0.0.2) hacia internet, verás que funciona. Tiene que funcionar, sino revisa que el NAT esté bien definido y que el equipo pueda hacer ping a 10.0.0.1 que es el gateway de él. No sigas hasta que esto no funcione.

Configurando Dual WAN

En el menú de la izquierda escojo: Net Balancer

  • En la sección Gateway List, aparecerá solamente el gateway que se corresponde con la eth00 (la conexión a la que le configuré el gateway anteriormente) Tiene el nombre DEFAULT GATEWAY. Tócale y aprieta el botón Change
  • En el recuadrito que te saldrá, en la parte que dice: IP Address, defínele la IP del gateway de ese ISP1 (192.168.9.1 en mi ejemplo).
  • En el mismo anterior recuadro que te saldrá, escoge Status y ponle en Active
  • Guardo y cierro esta ventana, me regresa a la ventana principal
  • Ahora aprieto el botón Add
  • Aquí En descripción pongo algo que sea referente al ISP2
  • En IP Address pongo la IP del gateway del ISP2
  • En Status, le pongo Active (enable, habilitado, lo que diga)
  • Guardo y cierro.
  • ahora tendré definido dos gateways. El del ISP1 y el del ISP2
  • A la derecha habilito el ICMP Failover checking.
  • Abajo en Failover IP addresses, pongo una o varias IPs hacia las cuales probará el sistema: el sistema cada algunos segundos enviará un ping a esas IPs si no responde, es que está caído ese canal y le deshabilita por un rato. Sugiero pongas por ejemplo 8.8.8.8 que es la IP de un dns de google que nunca se cae.
  • Ah sí, le pongo enable en las Failover IP Addresses que configuré
  • Arriba arriba a la derecha de la ventana principal dice; Mode, le dejé como estaba como Load Balancing and Failover.
  • Arriba arriba a la izquierda de la ventana principal dice: Status, le marco ese checkbox para que se active.
  • Entonces aprieto en Save.

Luego de un ratito ya estará funcionando.

Verificaciones:

Cómo le probé: Bueno, apagué, desconecté uno de los dos ISP mientras hacía ping desde la PC de la red LAN.

Luego reconecté la conexión de ese ISP, y cuando ya estaba activo, desconecté el otro.. y probé, y el ping funcionaba.

Luego le reconecté a este ISP. Para que se mantuvieran los dos canales.

Viendo los logs fíjate cómo el sistema reporta que le apagué una conexión (la default) cómo lo detecta y le desactiva, y luego que se enciende le detecta y activa. Lo mismo con la otra conexión que le llamé Paul (pues iba por la conexión que tiene Paul para su uso) y se nota cómo se detecta la desconexión y la reconexión.

Screenshot from 2013-01-15 14:54:53

En resumen, es factible hacer failover de forma bastante fácil.

Lógicamente esta es una pequeña introducción al tema, pues hay variantes un poco más especializadas (por ejemplo cómo hacer para recibir correos, cómo priorizar un canal sobre el otro, etc). Pero definitivamente con esta introducción seguramente podrás ya seguir investigando las otras variantes.

Todo este experimento lo hice a través de sistemas virtualizados para facilitarme la vida.

Cuba, Migración

Lo que pienso yo, un cubano “emigrado” sobre la posibilidad de salir del país sin restricciones del gobierno de Cuba

Leave a comment

A partir de hoy todo se semejará mucho a lo que siempre debió ser: el que tenga las condiciones económicas, el interés y/o la necesidad… ese podrá salir. El que pueda superar las restricciones que otros países imponen, como en cualquier país puede existir.. pues saldrá. Pero ya no habrá que enfrentar una barrera que tu propio país te imponía.

Cómo lo usarán? Qué cambios en las políticas adoptarán ahora los otros países que pueden comenzar a recibir una cantidad mayor de visitantes desde la Isla.. no sé, pero ya era hora de que el gobierno se comenzara a quitar ese estigma de que es el que no dejaba salir a las personas.

Ya basta que alguien desconocido tenga que autorizar a los hijos ver a los padres, a los abuelos visitar a los nietos, a los compatriotas visitar a su propio país. En fin, el derecho (que no es obligación ni certeza de nada) de poder entrar y salir libremente de tu país ya está algo más cercano ya para la mayoría.

Qué pretende esta acción? Fines humanos como que la familia alejada se pueda ver más fácilmente? Fines económicos para salir un poco del problema de los posibles desempleados que puede generarse de los despidos estatales?

Cuándo se resolverán el resto de reclamos? Que todos los que no tengan delitos por penar puedan salir si lo desean? Que nos dejen de catalogar como emigrantes.. o que si así lo hagan sean para fines estadísticos pero no para fines de residencia en nuestro país.. Que nuestros hijos puedan ser inscritos como cubanos a pesar de que somos “emigrantes”. Falta bastante por avanzar, bastante. No es una opinión negativista. Este paso que hicieron es mucho más a lo que teníamos hasta ayer mismo, pero faltan más por tomar, espero que los sigan tomando.

Algunos piensan que debería estar agradecido por esta medida. Y yo me pregunto: agradecido por qué? Por algo que era un derecho humano? Algo que debió ser hace mucho tiempo así? Gracias pero no. Los derechos no creo que se agradecen.

Ambato, Ecuador, 14 de Enero del 2013, 12:03 de la mañana. A 3 minutos del día añorado por todos.

Linux, Maestría en Redes, Seguridad

Presentación de arp y dns spoofing con ettercap

Leave a comment

En el módulo de seguridades nos pidieron que nuestro grupo hiciera un pequeño trabajo de forma autónoma y presentara a los compañeros.. era sobre cómo hacer arp spoofing y dns spoofing utilizando una herramienta bastante conocida llamada ettercap para aplicar un ataque muy antiguo de spoofing en una red local.

No es la ciencia, existe muchísima información sobre este ataque, que no por ser antiguo o bien conocido deja de ser un problema.. todavía en estos tiempos es factible aplicarlo.

Aquí pongo un pdf del documento que nos sirvió de apoyo para presentar el resultado de la prueba.

ARP & DNS Spoofing – Presentación-1

Ettercap es bastante conocido y bien documentado de forma tal que realizar la prueba basándonos en los requerimientos (enviar respuestas de dns incorrectas a un equipo víctima presentándole una falsa página de facebook) fue realmente cautivador 😉 y por mi lado me permitió cerciorarme una vez más que asegurar una red es bastante complejo eh, no es cuestión de un hardware y ya.

Ecuador, Linux, Maestría en Redes, QoS

Resultados del experimento de medición de Jitter propuesto para módulo de Banda Ancha de la maestría en redes

Leave a comment

Este es el borrador con el que nos preparamos para demostrar el experimento de medición de jitter en VoIP dentro de una red congestionada:

ResultadosExperimento2012-01-02

 

 

Ecuador

“Por algo me as de recordar”

Leave a comment

Así decía la parte de atrás de un bus allá por el 2000 aquí en Ambato… y no sé por qué.. pero no me he podido olvidar de la frase.

A veces las faltas de ortografía son un recurso de marketing, me decía un amigo hoy…. otras veces son inolvidables.

Linux, Maestría en Redes, QoS

Usando ZeroShell para probar QoS

2 Comments

Este documento lo publiqué a fines del año pasado para que mis  compañeros de la maestría en redes tuvieran una herramienta en Software Libre con la cual probar un escenario que nos habían planteado para medir el jitter entre dos puntos de una red congestionada.

Aquí publico la parte técnica de este documento pues me parece útil que otras personas puedan tener acceso a cómo probar el escenario y además usar ZS:

——————————————————–

Bueno, la idea de este laboratorio independiente es la siguiente:
Se necesita priorizar el tráfico de VoIP para evitar o minimizar el jitter.

Ahora consideremos:

1- El detectar el equipo que consume ancho de banda no me parece una buena idea puesto que no será un sólo equipo el que consuma ancho de banda, sino que pueden ser equipos diversos en diversos momentos del tiempo. Ahora es cierto que típicamente lo que sugieren algunas personas es precisamente esto pero no estoy de acuerdo con esta sugerencia.

2- Otra opción sería poner en redes diferentes los equipos que harán VoIP de los que tendrán un tráfico normal de forma tal que controle yo lo que consume cada red. Esto es válido, pero no es el caso que nos ocupa ahora.

3- Cuando hice el trabajo (porque ya lo hice) no nos habían indicado que además había que usar el emulador gns3 que es un gran consumidor de ram y complica por gusto el trabajo y no aporta mucho al hecho de diferenciar en clases el ancho de banda, por tanto en esta explicación no hablaré del gns3 ya que incluso no nos indican todavía cómo configurar frame relay, tema simple pero algunos no conocen.

Por tanto le realicé el laboratorio de la siguiente forma:

Para virtualizar usé KVM pero bien podrían usar VirtualBox

Cada equipo le instalé con 1GB de ram pero una vez le encendí le bajé a 256MB pues como es Linux en modo texto no hace falta tanta RAM. De disco creo que le puse 5GB a cada equipo pero podría ser menos (2 ó 3 GB ) si no vas a instalar modo gráfico.

En KVM creé 5 máquinas virtuales:
1 equipo con Linux ZeroShell (ZS) en el medio.
2 máquinas CentOS a la izquierda de ZeroShell
2 máquinas CentOS a la derecha de ZheroShell, una de ellas será Trixbox.

ZeroShell es una distro que pueden bajar de aquí:
http://www.zeroshell.org

La imagen ISO tiene como 200MB, a algunos de los compañeros del grupo 1 que tuvieron el interés de acercarse ya les copié el ISO. Por demás se puede bajar de este sitio si te interesa probar esto que estoy indicando

A la máquina virtual de zeroshell le creé dos redes LAN:
– una de las LAN le llamé “izquierda” y es donde irán los dos equipos que estarán a la izquierda de ZS
– la otra se llamó “derecha” y como ya habrás adivinado es donde irán los dos equipos de la derecha

En uno de los equipos de la derecha puse trixbox , que es una distro de linux basada en CentOS con todo preparado para actuar de servidor de telefonía y que puede se bajada de http://www.trixbox.org la realidad esta parte me resultó rápida porque en este KVM teníamos un trixbox que usábamos hace unos meses y ahi estaba todavía y ya estaba configurado y demás.

En uno de los equipos de la izquierda instalé CentOS con un paquete del repositorio EPEL llamado SIPP (yum install sipp) que es un sistema que realiza varias y continuas llamadas a un servidor de SIP (el trixbox) y parece ser (esto toca validarlo) que me puede ayudar a medir el jitter de esas llamadas a través de wireshark pues al generar tantas llamadas genera suficiente tráfico para que wireshark pueda realizar mediciones. (ACTUALIZACION: A la final preferimos no usar sipp y usar un softphone como ekiga o twinkle para realizar llamadas a la extension 7777 y que quedara activa por buen tiempo).

En este mismo equipo donde puse sipp también instalé wireshark (yum install wireshark-gnome) y me conecté a él vía SSH con los switches -XYC para poder observar esta aplicación wireshark que es gráfica

Sobre los otros dos equipos: el que sobra a la izq y el que sobra a la der, fueron los generadores de tráfico. En ambos instalé CentOS y dentro de ellos instalé un paquete llamado iperf que está en el repositorio de EPEL.

(Como tema aparte: En realidad instalé un sólo CentOS y luego de instalarle el repo de EPEL le cloné y obtuve estos 3 centos similares en su paquetería. Todo esto gracias a las clases de virtualización que dictamos con Linux)

Sigamos: En el CentOS de la derecha ejecuté entonces: iperf -s que es el iperf listo para actuar como servidor, para recibir tráfico indiscriminado

En el de la izquierda ejecuté: iperf -c ipdel.iperf.dela.derecha lo que me permite generar tráfico de este cliente iperf hacia el anterior iperf que actúa como servidor.

Bueno, esto lo ejecuté tantas veces como me pareció conveniente. Y en realidad pueden estudiar más el iperf ya que este tiene una opción para decirle al cliente de iperf que no envíe solo 10 ó 30 segundos de tráfico sino que se pase enviando tráfico por varios minutos, etc. Así fue como hice en la vida real.

Siempre instalé CentOS-6 en los equipos de la der y de la izq. Y este CentOS pueden bajarlo de: http://centos.mirror.iweb.ca/6/isos/i386/CentOS-6.3-i386-minimal.iso es la variante mínima, para que no se demoren tanto en el proceso de instalación.

De los 5 equipos instalados:

  • los 4 Centos van dos conectados a la red de la izq y dos conectados a la red de la derecha (uno es trixbox que es una variante especializada de centos) y todos estos 4 fueron creados con una sóla tarjeta de red cada uno. (ACTUALIZACION: uno de los equipos de la izquierda no fue centos sino debian, pero no altera el cómo se hacen las cosas)
  • El equipo ZS es el único que tendrá 2 tarjetas de red, una hacia la red de la izq donde están dos centos y otro hacia la red de la der donde están los otros dos centos.
  • ACTUALIZACION: El debian actuó de NAT para que todos los equipos de esta red pudieran navegar a internet e instalar paquetes

Ahora viene lo interesante: Entré al zeroshell, y le configuré como un bridge. A los 4 equipos de ambos lados les puse una IP de la misma red e igual le puse una IP de la red al zeroshell.

Usé un recurso idéntico para ponerles la IP: Supongamos al zeroshell le configuré la IP 100, entonces a los de la izq le puse una IP menor que 100 y a los de la derecha una IP mayor que 100, para saber que si era 101, era un equipo de la derecha del 100 (del ZS) y si era .98 era un equipo con una IP menor que 100 y por tanto a la izquierda del ZS.

Entonces seguí las instrucciones aquí dadas:
http://www.zeroshell.org/qos/

Para catalogar el tráfico y todo funcionó! Lógico que seguir estas instrucciones te tomará un rato pero bueno, esta es la parte importante para la clase, el probar QoS.

Le puse un control de ancho de banda al ZS para que no dejara pasar más de 1 ó 2 mbits entre ambos lados… entonces realicé las siguientes pruebas (se pueden realizar más):

1- puse al sipp twinkle (equipo de la izq) a conectarse al server de trixbox (equipo de la der) a generar llamadas a la extensión 7777 (conexiones) y en efecto todo funcionó de maravillas. Este sistema de sipp podría ser sustituido por un cliente de telefonía sip si el caso lo amerita. Por ejempo ekiga. (ACTUALIZACION: así hice al final)

2- entonces puse a los equipos de iperf a generar tráfico (el cliente iperf a la izq y el servidor a la der) y en efecto en esos momentos el sipp comenzó a reportar pérdidas de llamadas pues el canal estaba saturado, pues recuerda que al ZS le dije que iba a ser un canal de 1 ó 2mbit/s

3- entonces seguí las instrucciones listadas en la última url que te he dado para clasificar y activar el control de tráfico, detectando en una cola todo lo relacionado con voip (rtp, skype, sip, etc), luego poniendo esta cola con más prioridad que el resto del tráfico, etc.. y repetí el paso 2… y el sipp ya no reportó pérdidas en las llamadas!
4- ahi me puse a hacer otros experimentos pues el ZS tiene chorro de cosas, pero esto ya no es tema del laboratorio este.

Consideraciones finales:

Para las personas que conocen Linux (que supongo sean la mayoría pues me dijeron que algunos ya han recibido muy buenas capacitaciones en Linux) este proceso les tomará varias horas en echarlo a andar, quizá un par de días bien dedicados a esto.

De mi parte me tomó como 2 días encontrar una solución que me pareciera adecuada (la de ZS) y varias horas más el preparar y probar el escenario aquí descrito. Hay más soluciones que puedes investigar si deseas, muchas más, tienes todo un mes todavía para investigar y prepararle el laboratorio.

Para los que no conocen Linux: es hora de comenzar a estudiarlo porque el tiempo apremia.

¿Cómo incorporar el gns3 ahi? Realmente no me parece conveniente y, la verdad sea dicha, para ser un experimento me parece ya bastante complejo e interesante. Incorporar el gns3 en mi caso me sería problemático pues ya tendría que dedicar otro hardware al gns3 ya que este es realmente un emulador, que consume recursos, que es lento (hecho en un lenguaje interpretado) y hasta incluso debido a ser un emulador podría falsear las interpretaciones que podríamos hacer de este experimento por su lentitud y consumo de recursos.

Pienso que se va a aprender lo siguiente (con lo hasta ahora dicho):

  1. A instalar linux, para algunos
  2. A instalar trixbox, para algunos
  3. A instalar zeroshell, para casi todos
  4. A configurar un repositorio para poder instalar sipp, para algunos
  5. A configurar una extensión en trixbox, para algunos
  6. A configurar un teléfono sip, para algunos
  7. a configurar ZS, para casi todos
  8. A configurar QoS en ZS, para casi todos
  9. A luego probar todo este escenario, para todos.
Ecuador, Seguridad

Sitio de CONATEL atacado

Leave a comment

Bueno, he recibido el resumen diario de www.zone-h.org y me topo conque hay varios sitios .gob.ec defaceados. Tres por lo que veo.

Encabezando la lista.. www.conatel.gob.ec, ya sabíamos que tenían problemas con la IPv6 que tiene definida, cosa que ya publiqué hace muchas semanas, ver aquí: http://www.ernestoperez.com/2012/11/que-pasa-si-tenemos-ipv6-mal-configurada/

Ahora un atacante le dejó una firmita: http://www.conatel.gob.ec/x.txt que parece simple.. pero con esto el atacante simplemente indica: “pude escribir algo en tu sitio web.. por tanto: puedo escribir más”

¿Cuánto se darán cuenta? Supongo que el 3 de Enero 2 de Enero cuando regresen de vacaciones por fin de año. Quizá hoy mismo.

Pero lo más importante: ¿Cómo procederán para arreglar el asunto? Esto sí lo tengo seguro: la técnica del avestruz. ¿Cuál es? Eliminar la firmita, y aparentar que no ha ocurrido nada.. “disimula, disimula que nadie nos está viendo”. Lógicamente no publicarán nada de lo ocurrido para que otras organizaciones puedan aprender del ataque que les han hecho, y veamos si hacen una investigación sobre el ataque que les han hecho con el fin de evitarlo de nuevo. Hablo de técnicamente enterarse qué , cómo y por qué ocurrió… de eso hablo cuando digo investigar.

De paso, por favor: arreglen el tema del IPv6, está dando timeout!

Pueden ver una imagen de la firmita que les dejaron aquí: http://www.zone-h.org/mirror/id/18824110

Ellos no son los únicos… hoy, en el mismo resumen que me envía zone-h.org están también:

www.inh.gob.ec con la misma firma (x.txt)

También www.conadis.gob.ec con la misma firma

¿Es Linux más seguro sólo por ser Linux?

¿Mejora mi seguridad con poner más hardware?

NO, el problema de seguridad, el fundamental en estos momentos, está en CAPA 8.

Actualización al 1 de Enero:

El sitio de conatel sigue con la firma del atacante. Además anoche atacaron al municipio de palora así como al sitio www.escuelalegislativa.gob.ec así se ve al día de hoy el sitio:

Sitio web www.escuelalegislativa.gob.ec defaceado
Sitio web www.escuelalegislativa.gob.ec defaceado
Cuba, Cujae

Memorias del periodo especial tiempo libre y tentaciones (III)

Leave a comment

Ya habíamos hablado del tema de la comida en la universidad, lógicamente era un tema que no se puede separar del resto, pero ya no me referiré directamente al día a día por la comida. Era desayuno, almuerzo y comida en la universidad.. con poca variación.

Recuerdo que pasaban vendiendo en el primer año, tarjetas del comedor, eran sacadas no sé de dónde, era mercado negro, costaban como 40 pesos al mes, y nos daba el chance a comer otra vez.  Otra variante era maquillar la tarjeta. Es decir, tenían unos numeritos correspondientes al día. Te marcaban ese día con bolígrafo. Luego cogíamos con una cuchilla y borrábamos la marquita del día habían expertos en eliminar la marca del bolígrafo. Otros previamente le pasaban un poco de jabón por el recuadro del número para que no se marcara o se marcara muy ligeramente y fuera fácil de sacar.

Lo que sucedió en la práctica es que en vez de darte X cantidad de arroz, la cantidad se iba reduciendo para cubrir la demanda que había.. y a la final realmente: ni aún cuando comieras 2 veces lograbas llegar a una ración adecuada. Esto pronto lo atajaron y nos dieron números, tarjetas numeradas, y te en una hoja que ellas mantenían marcaban el número tuyo al entrar y ya no podías repetir. En verdad las raciones se incrementaron, pero igual eran insuficientes para vivir solamente de ellas ok?

Seguía agudizándose la falta de todo, jabón, shampoo, comida, transporte. Sí, porque transporte en La Habana casi no había. Por la universidad pasaban 4 rutas de guaguas, y quizá la que más frecuente pasaba era cada media hora o 20 minutos. Eran como 10mil estudiantes en la universidad. Más de la mitad eran externos (vivían en La Habana). Carros no tenían ellos, ver a un estudiante en carro era algo llamativo, digamos que uno de cada 100 o 500, eran realmente pocos.

La universidad queda técnicamente en La Habana, en Marianao, pero para llegar a la Habana que todos conocen (malecón, plaza, playa, centro habana, habana vieja) para llegar a allá habían unos 7 a 10kms, no era ahi mismito la cosa. Nosotros, los que vivíamos dentro de la universidad, en la beca, realmente entre semana no salíamos mayormente de la universidad, porque igual de difícil era regresar. Entonces era un riesgo. Además por mi lado, realmente las tareas, ejercicios que nos ponían no era como para no hacerlos. El profesor igual enfrentaba dificultades para llegar a dictarnos clases, seguramente de conseguir la comida, a ellos igual se les iba la luz 8 y 10 horas diarias en la casa, tenían que ver cómo vestirse, etc, etc.. pero no dudaban en desaprobarte si es que no hacías una tarea excelentemente bien o una prueba. No valía ninguna justificación como “se fue la luz” “tenía hambre” “no había papel”.. las mismas podían tener los profesores y nunca te hablaban ni siquiera de sus dificultades.. y sí las tenían igualito a nosotros.

Los fines de semana sí se podía hacer, lógicamente te tocaba salir a una hora determinada y no regresar hasta por la tarde-noche. Perdías el almuerzo. Desayunabas a las 8am, salías, a las 930 quizá estabas ya en La Habana.. y el almuerzo acababa a las 2pm.. tampoco es que ibas a estar de regreso tipo 11 ó 12… te tocaba pasarte el día en blanco: cero agua, cero comida (porque no vendían en ese momento, no habían ni agua embotellada, ni botellitas para el agua, etc). Sí se disfrutaba, se conocía, podías ir a los cines (no escaseaban), sentarte en un parque si es que había algún banco que servía. Sí se conocía. Si conocíamos a alguien en la ciudad se le iba a visitar, con cautela, tampoco es que te ibas a aparecer a la hora de almuerzo.. la escazes afectaba a todos.. con cuidado. Y bueno, ya de tardecita, tipo 4 ó 5pm regresabas, el horario de la comida acababa a las 8pm así que con tiempo para llegar, comer y listo.

Al otro día yo no repetía lo mismo.. ahi tocaba lavar la ropa (no conocí de personas que lavaban ropa allá), y ponerla a secar mientras le vigilabas (porque se la podían robar, la escazes era grande). Estudiar algo, leer mucho, dormir bastante.

Un detalle: en la CUJAE no faltaba la luz. Excepto si caía un rayo muy grande que nos dejaba varias horas sin luz, algo que tampoco era frecuente pero sí sucedía a veces… no faltaba la luz. Como quiera leerse: o que el gobierno lo hacía para que tuviéramos condiciones para estudiar.. o que el gobierno lo hacía para que la universidad no se le fuera a sublevar.. me voy por la primera opción.. no se nos iba la luz, no nos faltaba el agua (excepto que no subía a los pisos del 3ro para arriba).

Eso era el beneficio. Mucho tiempo dedicado a dormir.. a leer, a dormir.. y a pensar en comida. Yo soñaba con algún día poderme comprar una lata de leche condensada y una de sardinas. Y en efecto cuando salí a Canadá en el 1998, lo primero que compré fue eso precisamente eso. Soñaba con una pizza grande, de jamón, soñaba conque se podían producir hamburguesas sin respetar las leyes de transformación de la materia (es decir, producirlas del aire).

Particularmente pensaba, y nunca se me ha quitado eso: Qué estarán haciendo las personas en estos momentos en Jamaica? En República Dominicana? En La Florida? En esos momentos en que pasábamos tantas dificultades, Jamaica queda a unos cientos de kms al sur de mi ciudad natal.. en qué andará la gente?  Y ahora me pregunto: Qué hacías tú que vivías en Ecuador en esos años 1992-1994? Pensabas alguna vez en la batalla que teníamos por sobrevivir a allá? Seguramente oías las noticias que hablaban de escándalos, de los balseros de Cuba, de temas generales y muy impactantes, pero nunca puntualizaste a una persona, no pensaste: caramba, en este momento alguien llamado Ernesto, está pasando una necesidad, un hambre del carajo.

A propósito, debido a estas necesidades, alguna que otra gente desertaba de los estudios. Recuerdo que en mi cuarto (vivían 8 por cuarto) uno de los estudiantes dejó la carrera por estudiar para ser hotelero. Para atender al turismo. Mientras más cerca estuvieras del turista mejor.. por ejemplo si eras el que tomabas la orden, la servía, cobraba.. alguna platica se hacía. Porque el turista siempre deja una propinita, 1USD, 0.50? 5? 10?… para nosotros fue duro porque con el dólar se podían comprar ciertas comodidades, un jabón costaba como 35c, un par de medias no sé, menos de 1usd, o cosas así.. pero nosotros simplemente no los teníamos. El dólar en el 1993 llega a costar 160 pesos cada uno. Y mis padres ganaban como 350 pesos o algo así al mes… habían personas que ganaban un poco más.. muchos ganaban entre 200-300.. es decir, era raro el que hiciera el equivalente a 2usd. Pero tampoco verle así.. habían muchas cosas subsidiadas para que no te murieras de hambre.. comida por ejemplo.. lo básico lo podías tener.. lo básico… a precios subsidiados.. .pero ya.

La ropa desapareció de las tiendas desde antes del 1992… eso se conseguía y se consigue a precios de mercado, a nada subsidiado… en dólares muchas veces.. y este muchacho que dejó la carrera se aparecía cada noche (porque seguía durmiendo en la cujae) con una X cantidad de dólares, 5, 15, 20, 50… y uno viendo eso, pasando hambre, necesidades, sin un jabón, y teniendo que estudiar como un mulo porque el profesor no te perdonaba en el aula, te calificaba como si vivieras en la abundancia y sin problemas.

Universidad = UnoVaAVerSiDá

Varios hicieron eso, en sentido general, no en nuestro cuarto, en sentido general, se iban por profesiones que les generaban una solución a sus problemas ahora. A criar animales, vender puercos, contrabandear jabón, en fin.. mil cosas menos a capacitarse.

Y así muchos, por respetar quizá lo que nuestros padres deseaban para nosotros, seguimos estudiando, o porque veíamos más a futuro, seguimos estudiando… aunque ver al futuro en esos momentos era algo difícil. Mejor era concentrarse en el día a día.

Las vacaciones eran un momento para nosotros los que vivíamos más lejos sumamente importante. Era la oportunidad de que es lavara la sábana por primera vez en 6 meses. Porque yo iba a la casa al acabar cada semestre. El mosquitero era una vez al año que le lavaban.

No era tan fácil como decir: me voy! No hijito no. Mira, primero eran las pruebas finales, ya tu sabías desde varios meses antes la fecha exacta de las pruebas. Eran normalmente 2 semanas de prueba. Luego era una semana de revalorización (a los que no aprobaban les repetían la prueba en esta semana).

Para mi el objetivo era no llevar revalorización, porque perdía una semana de vacaciones. Así que teníaque estudiar lo suficiente para aprobar TODO en las pruebas ordinarias. A mí me daba igual la nota (porque podías ir a revalorización para subir nota porque así lo deseabas!).. nada, me daba igual, conque estuviera aprobado, yo arrancaba para la casa.

Ah no, no es arrancar y ya. Camagüey queda a 570kms de La Habana, tenías que sacar el pasaje exactamente 30 días antes del que querías viajar (por eso era importante no desaprobar) y no era de ir y sacarlo.. era bien difícil.. pero de eso ya hablé en otro post…

Al llegar a casa, todo era tranquilidad, de cierta forma se invertía ecuación: Ya no tenía que estudiar, era todo tranquilidad, no tenía que batallar por la comida, porque sea la que hubiere… ahi estaba a cualquier hora esperando por mí. La ciudad era más recorrible, en bicicleta se podía andar toda la ciudad.. pero por otro lado sí faltaba la luz, mucho… no tenía computadoras a mi disposición.

Eso de que faltara la luz no es que falte y ya… te imaginas Cuba en Julio-Agosto. Es como Guayaquil pero con un 90% de humedad.. caluroso, una sauna… ahora supón que se fue la luz.. entonces quítale el aire natural (quita el acondicionado si quieres, que tampoco hay luz como te dije)… ya? así? Te parece rico dormir en una sopa de calor? Porque tampoco hay ventilador, porque no hay luz… contento? Bueno, ahora ponle mosquitos.

cómo te proteges de los mosquitos si no hay productos para evitarlos? No hay repelente? Ahhh con mosquitero… cómo te vas a tapar con un mosquitero si no hay luz y por tanto no hay ventilador? Si no corre el aire?

Si te sales del mosquitero, te comen los mosquitos.. si te pones dentro del mosquitero te ahogas de calor y no es cuento.

¿Solución? la que yo adopté inicialmente fue dormir con la nariz afuera… sí.. por alguna razón los mosquitos no me picaban la nariz y boca.. por tanto le sacaba el hocico del mosquitero, bien protegido y cerradito… con el hocico afuera.. sudado todo por adentro, pero podía respirar.

Sólo te dejo una pregunta planteada: ¿Te has respirado un mosquito alguna vez? Te dejo a tu imaginación eso.

Por suerte esto ocurría solamente durante mi verano.. ya en la cujae sí teníamos luz por tanto ventilador en mi caso, y sí circulaba el aire por las noches.. quizá era un área donde había buen viento o estaba mejor hechos los edificios de albergue.

Al final, en vacaciones opté por dormir en el techo: me subía un catre y una sábana y dormía al sereno hasta que amanecía. Allá arriba sí circulaba algo de aire y por tanto no habían mosquitos. Me levantaba con dolor de garganta por el frío del amanecer quizá.. pero podía dormir.

Eso era.. luego todo fue cambiando, ya a fines del 1994 las cosas fueron cambiando, ocurrió la crisis de los balseros, se comenzó a recibir (por parte de algunos, nosotros no) dinero del exterior, en fin, ciertas cosas comenzaron a mejorar y ya aunque algunos puedan decir que el país está mal, o lo que sea.. no es igual al 1992-1994.. eso sí fue duro.

Esto es cómo lo ví yo, lógicamente hay muchos temas que quizá por el tiempo he olvidado mencionar, o que quizá no viví o sufrí yo. ¿Cómo lo vivieron otros? Seguro que les fue difícil de una forma u otra.. dudo que fácil fue para alguien.

Member of SKCC#7163T