Opinion

POSS – Post Open Source Software

Leave a comment

Llevo mucho tiempo pensando en esto, pero muchas veces otros asuntos me hacen olvidarme de esto.

Por qué tengo que poner una licencia a un software que hago? Si lo que he aprendido lo he aprendido de ver, oir, leer y generar mis propias ideas?

Cuando tenemos que poner una licencia en un software que se hace, yo siempre escojo una lo más abierta posible, me encanta WTFPL y ojalá la pudiera usar más y más. O incluso que no hayan licencias… es un trabajo hecho por mí y ya, me siento feliz con eso.

Hoy, leyendo en Slashdot han publicado un enlace a un interesante artículo sobre algo que llaman POSS del cual yo no había leído antes y vale la pena leerle:

http://tieguy.org/blog/2013/01/27/taking-post-open-source-seriously-as-a-statement-about-copyright-law/

 

Hace algún tiempo he venido notando que muchos desarrolladores optan por licencias más abiertas, menos restrictivas para con el que desee usar el Software que se está ofreciendo… y era de esperar que este tema del POSS fuera a coger fuerza, aunque no lo esperaba tan rápido.

Cuba

Esto no es una conexión satelital

1 Comment

hace unos minutos, trazando la ruta a un periódico en línea cubano (www.granma.cubaweb.cu) es evidente que la IP 200.0.16.141 que es parte final de su ruta, no está yendo por un enlace satelital.

un enlace satelital tiene tiempos típicos de 500ms, nunca nunca NUNCA bajan de 400ms… el mínimo de un RTT de un satélite, en un ambiente ideal y de cero congestionamiento es un numero ligeramente por debajo de 500ms (480 si mal no recuerdo). NUNCA verás un RTT en un satélite inferior a 400. Los satélites geoestacionarioes están a aproximadamente 36mil kms. Por tanto cuando envías un paquete , por ejemplo icmp-echo, el paquete sube al satélite, baja al destino, luego se regresa la respuesta que realiza el mismo recorrido: sube al satélite y baja al origen. Por tanto recorre la siguiente distancia: 36000+36000+36000+36000=144000kms.. la velocidad de la luz es de 297mil kms por segundo por tanto podríamos redondear a que por satélite un paquete va y viene (RTT) en 0.5 segundos, o lo que es lo mismo 500ms.

Hoy tracé una ruta desde Canadá hasta el sitio web www.granma.cubaweb.cu

El último ruteador en responder, fue el paso 15:

[eperez@srv3 ~]$ traceroute -n 190.6.81.131
traceroute to 190.6.81.131 (190.6.81.131), 30 hops max, 40 byte packets
1  * * *
2  184.107.1.41  1.963 ms  1.953 ms *
3  4.59.176.9  0.857 ms  0.850 ms  0.827 ms
4  * * *
5  * * *
6  * * *
7  * * *
8  4.69.134.158  13.971 ms * 4.69.134.158  13.922 ms
9  4.69.149.4  14.845 ms * *
10  4.79.17.54  14.794 ms  14.745 ms *
11  * * *
12  * * *
13  80.255.62.6  535.598 ms  535.510 ms  535.550 ms
14  200.0.16.82  354.744 ms  354.648 ms  354.690 ms
15  200.0.16.141  361.644 ms  361.626 ms  361.608 ms

La IP corresponde con:

inetnum:     200.0.16/24
status:      allocated
aut-num:     N/A
owner:       CUBADATA
ownerid:     CU-CUBA-LACNIC
responsible: Rafael L�pez Guerra
address:     Ave. Independencia y 19 Mayo, s/n,
address:     10600 – La Habana – CH
country:     CU
phone:       +53 7 574242 []
owner-c:     JOQ
tech-c:      JOQ
abuse-c:     JOQ
inetrev:     200.0.16/24
nserver:     NS1.NAP.ETECSA.NET
nsstat:      20130120 AA
nslastaa:    20130120
nserver:     NS2.NAP.ETECSA.NET
nsstat:      20130120 AA
nslastaa:    20130120
created:     20030512
changed:     20030512

nic-hdl:     JOQ
person:      Rafael Lopez Guerra
e-mail:      [email protected]
address:     Ave. Independencia y 19 Mayo, MIC, s/n,
address:     10600 – Ciudad Habana – CH
country:     CU
phone:       +53 7 8854242 [0]
created:     20030124
changed:     20120322

El número, 361 es menor que 500.. por tanto NO PUEDE SER UNA CONEXIÓN DE SATELITE PURO.

La IP está en Cuba, por los tiempos es una IP en un canal mixto que pasa por una conexión subacuática larga , quizá una mezcla de microondas con fibra óptica y lógicamente algún enlace MAN dentro de la misma ciudad.

El canal entra por el este, cerca de Santiago, el sitio web del granma debe estar en La Habana.. hay fibra interna en el país, posiblemente haya un delay de unos 50ms adicionales entre Santiago y La Habana. Sumar unos 100 entre El caribe Venezolano y Santiago y sumar unos 130 entre enlaces desde Estados Unidos/Canadá (que es de donde trazo la ruta) hacia Venezuela más rutas internas en Venezuela.

El Mínimo entre Canadá y el sitio en La Habana donde está alojado el granma sería: 130+100+50=280… este RTT de 361 es perfectamente normal, un poquito por encima del mínimo pero definitivamente no es por satélite pues por satélite no bajaría de 500.

A propósito, así es como se veía un traceroute desde Ecuador hasta Cuba hace unos años, gracias a roslyn por guardar esto. Si se fijan, todo normal hasta que se entraba a la red en cuba (700ms por lo que veo):

 

Cómo se veía un traceroute a Cuba cuando usaban satélite
Cómo se veía un traceroute a Cuba cuando usaban satélite

Telefónica afirma que no tiene nada que ver con la fibra entre Venezuela y Cuba, puede ser verdad, esto lo maneja una corporación independiente que puede haber contratado el tráfico y haber enrutado el AS a través de telefónica sinque esto implique que telefónica maneje el cable ALBA-1 directamente

Hay ciertos misterios todavía en la ruta, veo que pasan por algunos lugares que al menos yo no esperaría, pero supongo todo se irá ajustando poco a poco.

Otro tema: sobre fin de año me comuniqué con mi familia varias veces por teléfono, y la llamada sonaba “no satelital”. Qué es esto? Bueno, cuando hablas por satélite, como son 500ms, no es una conversación fluída, el humano detecta una pausa larga, pues cualquier pausa que supere los 150ms el oído humano la detecta. No sé si has hablado por satélite, si habías hablado antes con Cuba lo notabas: tu preguntabas algo, y tenías que esperar, la tendencia tuya era repetir o decir “me oyes” pues te parece que del otro lado no te han recibido, y es cierto, el humano al otro lado está recién recibiendo a los 250ms la voz tuya y en lo que responde, pasan 250 más…

bueno, pues por fin de año no sucedía eso, podíamos reirnos, interrumpirnos y todo dentro de una conversación aparentemente normal, sin delay por los 500ms. De hecho ahi conversé con mis padres que parece que ya estaban saliendo por la fibra pues la comunicación era bien fluída y bastante normal, sin la demora de 500ms.

Actualización: acabo de hablar con mis padres, me dieron la IP publica que les asignan en su modem dialup en Camagüey, los tiempos son bastante bajos para ser una conexión hasta Camagüey y por dialup. Está un ping a google alrededor de 600ms, desde un dialup en Camagüey y en horario pico (8pm hora de Cuba)…. la última vez que probé los tiempos superaban ampliamente los 900ms a cualquier lugar, incluso más de 1000 de forma bastante persistente con altísima pérdida de paquetes.

Han abierto los sitios web que acostumbran a leer y se han abierto bastante rápido, comparado con lo que ocurría antes.

al fin!!!!!!

ACTUALZACION al 24/1

Cubadebate y otros medios ya confirman a través de un escueto comunicado de la ETECSA http://www.cubadebate.cu/noticias/2013/01/24/cable-submarino-alba-1-esta-operativo-y-se-comienzan-pruebas-para-trafico-de-internet/

Le gané a cubadebate en investigación periodística 😉

ipv6, Linux

Cómo obtener IPv6 para mi sitio web si mi proveedor de hosting sólo tiene IPv4

3 Comments

Hola

Bueno, sobre IPv6, quería comentarles de un servicio que estamos ofreciendo en EcuaLinux con la finalidad de que las organizaciones interesadas puedan ya implementar IPv6 en sus sitios web sin costo adicional alguno.

Como breve introducción:
Llevamos un buen tiempo trabajando con IPv6 en nuestros sitios y de algunos de nuestros clientes, en sentido general no han habido mayores dificultades en estos. Sin embargo frecuentemente nos topamos conque existe mucho desconocimiento sobre el proceso; incluso muchos mitos sobre lo que es o no es IPv6. Y no lo dudemos: también existen inconvenientes prácticos para llevar a cabo el proceso de implementación de IPv6 en los sistemas que actualmente utilizamos.

El pasado año 2012, desde el ministerio de telecomunicaciones a través del acuerdo ministerial 039-2012 se solicitó en al Artículo 1, inciso 2:

“Las instituciones y Organismos del sector Público señalados en el Art 225 de la Constitución de la República del Ecuador, deberán realizas las gestiones necesarias para que implementen sus sitios web y plataformas de servicios electrónicos, con el soporte y compatibilidad con el protocolo IPv6 de manera coexistente con el protocolo IPv4, en el plazo de un año contado a partir de la entrada en vigencia del presente acuerdo.”

En la maestría en redes que estamos siguiendo, hicimos un muestreo de diversos sitios gubernamentales (pero lo mismo aplica perfectamente a cualquier tipo de sitio web) y notamos que poco se ha avanzado en la implementación de IPv6 al menos en los sitios web, que son la parte visible de una organización en internet. Un ministerio o dos, un municipio o dos, una universidad o dos, una empresa comercial o dos, pero no es un número alto. Pero bueno: es normal! Es un protocolo que recién estamos comenzando a usar. Todo tiene que comenzar por los primeros ¿verdad?

Una de las justificaciones que tienen las organizaciones (públicas y privadas) es que los ISP no ofertan todavía en forma masiva IPv6 a las redes de los clientes. Y por tanto los potenciales usuarios finales de IPv6 ven como un inconveniente al proceso este hecho.

Otro de los “peros” que se tienen (pueden haber más) es que quizá el sitio web es un sistema ya instalado, funcionando, que quizá no controlen directamente pues está en un proveedor de hosting o de internet y que tocarle a este sistema con la finalidad de implementar IPv6 quizá no sea posible o les afectaría el sistema IPv4 actual y bueno, las típicas situaciones de: “el director, gerente, ministro, jefe, administrador, no nos permite que se vaya a caer el sitio ni un minuto para realizar este cambio, etc, etc, etc”

Ahora sí, sobre el sistema que creamos:
Nosotros pensamos en algo para ayudar en este proceso: Si no pueden poner IPv6 en su sistema ya sea porque a la red no llega IPv6, o porque estiman o saben que el proceso de implementación de IPv6 en su servidor web es o va a ser muy complejo… ofrezcamos una alternativa.

Y la explico mejor:

Supongamos que tengo un servidor con IPv4 en el cual está corriendo mi sitio web. Y a este servidor, por la razón que sea, no le puedo implementar IPv6 al momento; sin embargo quiero cumplir con el acuerdo ministerial e ir haciendo algo para que al menos mi sitio web esté presente por IPv6.

Para esto nosotros te ofrecemos un servidor localizado en nuestra red, el cual puede actuar de intermediario entre la red IPv6 y la red IPv4 donde está tu servidor.

El usuario sólo debe realizar los siguientes pasos:
1- registrarse en http://ipv6.ecualinux.com/,
2- agregar entonces el record (o los records) al que se quiere ponerle IPv6, por ejemplo www.midominio.gob.ec
3- entonces en los DNS que maneje su dominio, donde quiera que esté, solicitar que agreguen o agregar un record AAAA hacia la IPv6 que le daremos cuando realice el paso 2.

Unos minutos después de realizado el paso 3, el sistema ya estará funcional a través de IPv6. Mientras no realice los 3 pasos, el sistema no funcionará en IPv6.

¿Cómo se vería esta página web entonces? habrían dos formas:
– Si alguien desea ver el sitio por IPv4, obtendrá el record A de tu servidor, y accederá directito a tu servidor.
– Si alguien desea ver el sitio por IPv6, obtendrá el record AAAA de tu servidor, irá por tanto a un servidor nuestro que actuará de intermediario (proxy reverso) hacia la IPv4 (record A) de tu servidor.
Por tanto se verá la misma página web que si le viera por IPv4. Como ventaja adicional tu sitio ahora estará en dos lugares: en tu servidor web, y además se servirá el sitio desde un servidor nuestro en Norteamérica; esto podría tener como ventaja adicional el disminuir muy levemente el tráfico hacia tu sitio web original.

Todo esto sin tener que hacer ningún tipo de reconfiguración ni reprogramación de nada en el actual sistema web.

Este servicio no tiene costo, es un pequeño aporte al proceso de implementación, no es la panacea, lógicamente siempre hay peros y porqueses que dar sobre el cómo funciona el sistemita pero bueno, sabemos que funciona porque ya le tenemos a algunos sitios web trabajando en IPv6 a través de esta pasarela.

Durará lo necesario hasta que poco a poco las organizaciones vayan implementando IPv6 directamente.

Si algun ISP local desea, le podemos brindar el código de este sistema (de hecho luego veré que sea publicado el código) para que puedan implementar sus propias pasarelas. Pero esto nos implicaría un poco más de documentación sobre cómo dejar configurado el servicio y nos demoraría un poco más hacerlo.

Como último, y sobre el tema de capacitación que hablo al final de esta noticia:

También en el mismo artículo del acuerdo ministerial, en el inciso 5, indican que dictarán charlas, talleres, foros y jornadas teórico prácticas sobre aspectos técnicos de IPv6.

Respecto a este inciso: contactamos a varias personas en el mintel y subsecretaría de informática, enviamos incluso propuestas de capacitación sobre cursos prácticos en video sobre IPv6 en servidores Linux (que son la mayoría de los servidores usados para servicio web e incluso para servidores de comunicaciones) curso que ya ofrecemos y que se puede recibir incluso remotamente (Están pensados para llegar al máximo de personas) y hemos recibido al momento el silencio por respuesta.

Esperemos que para el próximo año se pueda también aportar con esta parte de los cursos pues en efecto uno de los inconvenientes que vemos no es la dificultad de la implementación de IPv6… no! (es fácil verdad?) el inconveniente es que las personas quizá por falta de tiempo en esta vida tan agitada que llevamos no tienen tiempo de investigar tranquilamente y probar el protocolo IPv6 y en efecto es muy útil el poder recibir un empujón en cuanto a la capacitación en IPv6.

Ecuador, Linux, Seguridad

A ver, a ver, a quién le atacaron hoy

Leave a comment

Bueno, al incop!

Aquí la url de zone-h.org que es de donde obtengo los reportes diarios:

http://www.zone-h.org/mirror/id/19026232

sí, mira una captura de pantalla de la firma que les han subido:

Screenshot from 2013-01-17 20:59:23

Hum, sí.. pues mira, parece que tienen un joomla (oh sorpresa, otra vez un joomla) y el atacante aprovechó ya sea una falla de seguridad por no estar actualizado o correctamente protegido, o descubrió la clave.. y puso una firmita.

Qué significa la firmita? Es algo así como que les dicen: entré! Y puedo hacer más!

Señores, más cuidado, políticas más fuertes para evitar esto. El incop no es gracia, no es un sitio así así por cumplir.. es el sitio del incop! Por favor, más atención.

Cómo resolverán el problema? Seguramente no lo sabremos.. ahora se enterarán de que les atacaron, eliminarán la firmita y ya.. no dirán nada de lo sucedido, y no sabremos en lo absoluto cómo corrigieron el problema para que las otras instituciones puedan aprender de las acciones que ellos van a tomar. Y para que tengamos la tranquilidad de que tomaron medidas para que no vuelvan a atacarles por el mismo lugar.

Y repito: comprar más hardware o sistemas comerciales que no aportan conocimiento no va a solucionar el problema!

Cómo se puede evitar o mitigar esto? Con un continuo aprendizaje, aplicación de técnicas de seguridad, una correcta política de mantenimiento de los sistemas. Capa 8, orientémonos a la capa 8.

No estamos en 1998 cuado poner un sitio era subir un html y ya.. los sitios los están atacando y la seguridad es algo del día a día, más en lugares tan importantes como el incop.

También atacaron a otros sitios, creo que dos gobernaciones, pueden verles en www.zone-h.org

 

Cuba, Ecuador, Migración

Sobre el boletín “Ecuador requerirá carta de invitación para ingreso de ciudadanos cubanos”

Leave a comment

Un resumen de este post que hice en Enero del 2013, le he posteado hoy (febrero del 2013) en el sitio del minrex, con ciertas correcciones, adiciones, etc.. con la finalidad de tratar de llegar a los funcionarios del minrex que puedan realizar aportes/mejoras a este procedimiento con la finalidad de facilitar/agilitar/mejorar los trámites que este procedimiento require.

Estos comentarios los hago con la finalidad de aportar a que se faciliten los trámites a lo requerido en este boletín en donde se pueda.

Hace un día o dos el mmrree de Ecuador sacó un boletín que trata sobre el ingreso de ciudadanos cubanos a Ecuador. Por lo que leo del boletín es para lograr evitar el tráfico de personas y una migración ordenada. Bueno, existe el derecho pues a la final se pueden dar casos de tráfico de personas, etc.

En el boletín aquí listado del mmrree http://www.mmrree.gob.ec/2013/bol0014.asp se indica que:

“Ecuador requerirá a partir del 21 de enero la presentación previa de una carta de invitación a los ciudadanos de nacionalidad cubana para su ingreso al país, a través de los aeropuertos internacionales o pasos admitidos de frontera. La carta deberá ser legalizada ante el Ministerio de Relaciones Exteriores, Comercio e Integración y cumplir con requisitos orientados a contribuir a la vigencia de un flujo migratorio ordenado entre ambos países e impedir el tráfico de personas.”

Veamos algunas cosas:
1- Sobre el país de inicio del viaje:  El boletín es bien general. Habla de ciudadanos cubanos y nada más. Por tanto, un cubano que viva en México, o en Estados Unidos, o en Argentina, o en Perú. También es un ciudadano cubano y tendrá que cumplir el mismo requisito.

Parece gracioso lo que uno expone pero no es así, esto simplemente sujetará la entrada de los cubanos a mucha discrecionalidad por parte de quien le recibe en el país.. este funcionario que le recibe puede que entienda: caramba, si vive en México o en Perú pudo haberse ido hace rato a Estados Unidos (que es a la final el objetivo de muchos cubanos ok) y por tanto no tiene mucho sentido pedirle toda esta documentación.. y no sé, dejarle o no pasar si así lo estima su proceder. Pero si el que le recibe, se levantó mal ese día, con gripe o fiebre.. puede acogerse al texto literal del boletín que repito dice: “Ecuador requerirá a partir del 21 de enero la presentación previa de una carta de invitación a los ciudadanos de nacionalidad cubana para su ingreso al país”. Y por tanto esa persona que vino desde México, desde Monterrey, o desde Niagra Falls, Canadá, luego de muchas horas de viaje.. sea regresado con las mismas porque no tiene los documentos que son precisamente para prevenir el tráfico de personas (que típicamente ocurre hacia el norte.. de donde él viene).

Hay cubanos que viven ya 20 ó 30 años en USA y siguen manteniendo su ciudadanía cubana.. y ahora cómo harán con estos mayores que quieren venir a pasarse unas vacaciones merecidas en Galápagos? Creo que el objetivo de este boletín es para las personas cuyo aeropuerto de inicio del viaje es La Habana, no es tanto para los que viven en otros países.. verdad? Qué tal especificar mejor esto?.

2- Sobre la cantidad de entradas: Si alguien ya entró anteriormente al país… en verdad va a ser sujeto de tráfico de personas? No me parece tanto… yo pienso (quizá esté equivocado) que típicamente las personas que están siendo traficadas (no sé cómo sea la palabra) entran a un país una vez para seguir camino a su destino. No es que vienen y se pasan 2 semanas y regresan a su país y luego vienen de nuevo y se pasan un mes.. y lueeeeeeeeeeeego es que son sujetos del tráfico.. digo yo: Si alguien ha entrado 2, 3 veces , 5 veces a un país.. a mi no me parece que sea un comportamiento típico de alguien que está en un tema de tráfico. Y podría simplificarse su trámite de entrada y ser tratados como un argentino o un mexicano, o un colombiano que viene al país.. normal, con todas las medidas del caso pero sin diferenciar a los cubanos del resto.

Otra parte:
El texto más abajo dice en su numeral 3: “El ciudadano ecuatoriano o extranjero residente podrá invitar solamente a un ciudadano cubano en un periodo de doce (12) meses. “

3- doce (12) meses contados a partir del primero de enero de cada año? o entre una invitación y otra? o entre la entrada efectiva del primer invitado y del segundo invitado? o entre lo que el primero salió y lo que el segundo entró? o cómo? No dejemos temas abiertos, que luego quedan a merced de lo que libremente pueda interpretar alguien según mil parámetros.

3a- Por cuánto tiempo será valida la invitación? 3? 6? 12 meses? no dice. Todo previsto por lo que veo, todo muy bien preparado eh?

4- Sobre los familiares: yo, ciudadano ecuatoriano, he traído a mis padres, a los dos, a la vez, a que se pasen un periodo con nosotros.. como son mayores de edad se les consigue pasajes a buenos precios y luego pues aquí están con nosotros, un mes, dos, tres.. y lógicamente se sienten más protegidos y seguros el poder depender el uno del otro durante el viaje, no son personas de 20 años.. vienen juntitos y les regresamos juntitos. Ahora no podré, yo su hijo solamente podré traer a uno en un periodo de doce (12) meses!

O tendré que buscar quién me ayude desinteresadamente a invitar a mi  madre, yo invitar a mi padre..  y si quiero traer a mi sobrina que no llega ni a 2 cifras en su edad a los 4 ó 5 meses de haber regresado ellos.. pues tendré que buscar una tercera persona.

Son mis familiares en un determinado grado de consanguineidad.

Pensemos negativamente: si hubiera habido algún interés de “tráfico” no les parece que hace rato hubiera existido? Son mis familiares, saben que vivo aquí, si en verdad estuviera en malos caminos hace rato lo que iba a suceder hubiera sucedido ya sea por una super idea mía o de ellos: “oye, llévame a mí, jubilado, a USA y déjame allá embarcado sin familiares ni un diablo”.

Además.. se está limitando a un ciudadano ecuatoriano el derecho de ver a sus dos padres juntos, o a su hermana, o sobrina o a todos, en el mismo instante de tiempo o a lo largo de un periodo determinado de tiempo.

Yo creo que si son familiares de hasta cierto grado se debería suavizar este tema. Con ellos entrar con algún documento que les demuestre la afinidad (copia notarizada de mi cédula, pasaporte de mi hermana donde consten sus dos apellidos que coinciden con los míos, o copia de la partida de nacimiento de mi hermana y/o sobrina, etc) creo que sería suficiente para demostrar lazos FAMILARES en el país. Pensemos en la familia, que no es lo mismo que invitar a un desconocido… digo yo.

5- Ahora, con esto de una invitación en 12 meses.. sucederá que se creará un mercado negro, no es cierto? Ya te diré cuando alguien me llame a ofrecerme 600usd por invitar a un perfecto desconocido. Lógicamente que sabes cuál será mi respuesta.. pero alguien más débil de mente, o con una necesidad de plata, o con un desconocimiento del problema legal en que se podría meter podría dar otra respuesta.

Bueno este es un tema que por demás afectará a los bolsillos de los interesados: el cubano que quiere venir, el cual tendrá que pagar una X cantidad porque le invite alguien, seguramente desconocido, que cobrará por invitarle, los intermediarios cobrarán X y pagarán Y, con X>>Y.

Lógicamente hay un componente peligroso que es la responsabilidad penal, y no es por justificarle, pero muchos ignorarán esto, por desconocimiento o por avaricia…

Ahora, mi punto: el que se puedan invitar a uno o a varias personas no disminuye la responsabilidad penal del que invita.Creo que ese límite se podría relajar un poco más, hay veces que uno necesita invitar a varias personas. Cuando el rector de una universidad necesite traer a 3 profesores? Sé que dirás que es otro tema.. pero este boletín no veo que haga excepciones.

Además: Por qué no dar una opción de que el mismo cubano que quiera venir pueda aplicar a algún tipo de garantía: al entrar, o antes de salir, deje una garantía de retorno a su punto de origen del viaje consistente en una X cantidad de dinero por cada día que indique que estará (o que la garantía la deje el que le invite). Hay que dar variantes.. hay gente que en verdad quiere venir a conocer, visitar las galápagos, y regresar.. son gente que tiene dinero y que nadie tiene que estarse responsabilizando económicamente por ellos, ellos pueden hacerlo solitos.

Ya casi al final del boletín dice:

“el o la invitante enviará los documentos al ciudadano cubano, quien deberá presentar los mismos a las autoridades migratorias al ingresar al Ecuador”

6-  es decir, ni siquiera pueden hacer un contacto entre los funcionarios que dan entrada al país y el MinREx donde el que invita legaliza los documentos, para que quede guardado el número de trámite y ya pueda entrar.. no.. hay que enviar hacia Cuba los documentos, no sólo por la demora, sino por los costos de envio de documentos… algo se puede trabajar aquí para facilitar las cosas.. llegar al sueño de “cero papeles”. Hay firmas electrónicas, se podría pensar en firmar estos papeles electrónicamente y que el invitado pueda descargarle desde una conexión de internet y traerle, hay variantes.

6a- “el o la invitante”… “al ciudano cubano”. Totalmente bien eh? En la priemra parte, super generosos, hablando al estilo “actual” del español.. “masculino o femenino”… “al masculino”. La redacción tiene el estilo inicial que se quiere imponer del español no discriminatorio respecto al género pero luego se olvidan de femenino/masculino y solo ponen masculino. No deberían revisarse? Yo propongo que se escriba así: “el o la invitante enviará los documentos al ciudadano o ciudadana cubano o cubana” ahi sí! Parece una picudez mía, pero si vamos a trabajar en el tema de género de esta forma de llamar siempre como M ó F y cosas así.. pues sigamos con el mismo tipo de redacción.

TAREA: redactar correctamente la siguiente parte: “El ciudadano ecuatoriano o extranjero residente podrá invitar solamente a un ciudadano cubano en un periodo de doce (12) meses.

Respuesta a la tarea: “El ciudadano ecuatoriano o la ciudadana ecuatoriana o extranjero o extranjera residente podrá invitar solamente a un ciudadano cubano o a una ciudadana cubana en un periodo de doce (12) meses.

TAREA2: redactar correctamente la siguiente parte: “Ecuador requerirá a partir del 21 de enero la presentación previa de una carta de invitación a los ciudadanos de nacionalidad cubana para su ingreso al país

Respuesta: no la daré, aquí tengo consideraciones sobre qué hacer con la palabra ‘cubana’ pues hace referencia feminista al terminar en -a indica género femenino y nos excluye a los masculinos y si a todo le vamos a “mascufeminizar” no sabría cómo redactar esta frase.

Qué es “mascufeminizar” es eso que ahora usan de llamar las cosas por femenino y masculino: los ciudadanos y las ciudadanas, los estudiantes y las estudiantas (wow), los choferes y las choferas, los toros y las toras, los vacos y las vacas, y cosas así

Linux, Paneles de control

Cómo configurar alta disponibilidad con dos WAN (dos ISP)

Leave a comment

Hace años realizé estas pruebas pero a patita, usando directamente los comandos de linux (tal y como se indica en el excelente libro de www.lartc.org)

Yo había pensando que había cambiado un poco la idea, pero no, sigue siendo la misma.

El escenario:

Supongamos que tenemos dos proveedores de internet, dos ISP, pueden ser el mismo ISP con dos conexiones o dos muy diferentes ISP.. y que queremos que los usuarios de nuestra red naveguen a través de ambos.

Bueno, pues requeriremos de una máquina con 3 tarjetas de red, una para cada WAN (para cada ISP) y otra para la LAN donde estarían nuestros sistemas.

Este gráfico que mostraré es muy burdo, puede ser mejorado (sobre todo por ejemplo insertando un servidor proxy, correos, control de contenidos, etc detrás de la tarjeta ETH02 del server que aquí muestro).

Esquema planteado para balanceo de carga entre dos conexiones de internet
Esquema planteado para balanceo de carga entre dos conexiones de internet

Este método que usaremos no hace magias, simplemente si un usuario solicita ir a un sitio web, el sistema le saca la petición por uno de los dos ISP. Si otro usuario solicita ir a otro sitio, pues le saca la petición por el otro ISP y así cada petición irá saliendo alternadamente por cada ISP.

No es perfecto: una vez que una petición sale por un ISP, se mantiene esta preferencia hasta que se cierre totalmente. Es por muchas cosas, por ejemplo para evitar que un sitio web sienta que le están jugando sucio si ve que un paquete llega por una IP y luego el siguiente por otra. Entonces se mantiene toda la conexión por un ISP, para que salga por la misma IP siempre.

Lógicamente esto tiene algo malo, si se cae el ISP por donde sale mi conexión, entonces me quedaré colgado un rato, hasta que se reinicialice la conexión por el otro ISP. Por suerte este será el escenario menos frecuente, y no ocurrirá a todas las conexiones, sino solamente a las que estén verdaderamente establecidas en ese momento. Típicamente ni se notará.

Algunas personas piensan que esto se llama Bonding. Bonding es “pegar” y no es la idea esta. Bonding (también conocido como trunking) se hace cuando yo tengo dos tarjetas de red que se van a conectar a un mismo switch (a una misma vlan) y le uso para incrementar el canal hacia mi LAN y para que ante una falla la otra tarjeta siga sirviendo. En el bonding ambas interfaces actúan de común acuerdo, ambas tienen una única IP y se reparten los paquetes desde-hacia esa IP. El bonding se hace en LAN, no se hace en conexiones WAN.

Bueno, veamos el diagrama anterior: tengo dos ruteadores de dos ISP diferentes, ellos me han entregado una IP (192.168.9.1 el uno y 192.168.1.1) que sería el gateway hacia ellos. Ellos no saben y no esperan que tu tengas dos ISP, simplemente ellos esperan que tú configures una IP en tu servidor (192.168.9.3 el uno y 192.168.1.3 el otro) y que le pongas a ese servidor la IP de ellos de gateway (192.168.1.1 el uno y 192.168.9.1 el otro).

Pero nosotros no haremos eso. Nosotros bajaremos ZeroShell del sitio www.zeroshell.net y le pondremos a nuestro servidor 3 tarjetas:

  1. en ETH00 configuraremos la IP que nos dió el ISP1 (192.168.9.3).. y hasta le pondremos su gateway (192.168.9.1). Aquí reiniciamos y probamos ver si nos podemos conectar al zeroshell. Te toca aprender a guardar su “profile” la idea es que la máquina arranque con esta interfaz bien configurada en el profile que guardarás.
  2. En ETH01 configuraremos la IP que nos dió el ISP2 (192.168.1.1), y no le pondremos de momento el gateway de este ISP2.
  3. En ETH02 cofiguraremos la IP que pondremos hacia nuestra LAN, la 10.0.0.1 por ejemplo.

No continuemos hasta que logremos ver esto, las 3 interfaces configuradas como aqui indiqué:

Configuracion de la red en ZS para alta disponibilidad

Si te fijas, eth00 tiene la IP que me asignó el ISP1, y así mismo eth01 y eth02 la de mi lan.

Pondré una PC a mi LAN (eth02) y le pondré de IP 10.0.0.2 y de gateway 10.0.0.1. Lógicamente le pondré los dns que mejor me parezcan.

Ahora configuraré NAT, para que el equipo de mi red LAN (10.0.0.2 le conecté a ETH02) pueda navegar.

Para configurar NAT, mira la imagen anterior. Ves allí arriba un botoncito que dice: NAT. Pues dá click aquí y escoge AMBAS interfaces que están conectadas a los ISP: ETH00 y ETH01 en mi caso.

Probando el NAT:

No sigas si esta prueba no resulta: intenta realizar un ping desde el equipo de tu LAN (10.0.0.2) hacia internet, verás que funciona. Tiene que funcionar, sino revisa que el NAT esté bien definido y que el equipo pueda hacer ping a 10.0.0.1 que es el gateway de él. No sigas hasta que esto no funcione.

Configurando Dual WAN

En el menú de la izquierda escojo: Net Balancer

  • En la sección Gateway List, aparecerá solamente el gateway que se corresponde con la eth00 (la conexión a la que le configuré el gateway anteriormente) Tiene el nombre DEFAULT GATEWAY. Tócale y aprieta el botón Change
  • En el recuadrito que te saldrá, en la parte que dice: IP Address, defínele la IP del gateway de ese ISP1 (192.168.9.1 en mi ejemplo).
  • En el mismo anterior recuadro que te saldrá, escoge Status y ponle en Active
  • Guardo y cierro esta ventana, me regresa a la ventana principal
  • Ahora aprieto el botón Add
  • Aquí En descripción pongo algo que sea referente al ISP2
  • En IP Address pongo la IP del gateway del ISP2
  • En Status, le pongo Active (enable, habilitado, lo que diga)
  • Guardo y cierro.
  • ahora tendré definido dos gateways. El del ISP1 y el del ISP2
  • A la derecha habilito el ICMP Failover checking.
  • Abajo en Failover IP addresses, pongo una o varias IPs hacia las cuales probará el sistema: el sistema cada algunos segundos enviará un ping a esas IPs si no responde, es que está caído ese canal y le deshabilita por un rato. Sugiero pongas por ejemplo 8.8.8.8 que es la IP de un dns de google que nunca se cae.
  • Ah sí, le pongo enable en las Failover IP Addresses que configuré
  • Arriba arriba a la derecha de la ventana principal dice; Mode, le dejé como estaba como Load Balancing and Failover.
  • Arriba arriba a la izquierda de la ventana principal dice: Status, le marco ese checkbox para que se active.
  • Entonces aprieto en Save.

Luego de un ratito ya estará funcionando.

Verificaciones:

Cómo le probé: Bueno, apagué, desconecté uno de los dos ISP mientras hacía ping desde la PC de la red LAN.

Luego reconecté la conexión de ese ISP, y cuando ya estaba activo, desconecté el otro.. y probé, y el ping funcionaba.

Luego le reconecté a este ISP. Para que se mantuvieran los dos canales.

Viendo los logs fíjate cómo el sistema reporta que le apagué una conexión (la default) cómo lo detecta y le desactiva, y luego que se enciende le detecta y activa. Lo mismo con la otra conexión que le llamé Paul (pues iba por la conexión que tiene Paul para su uso) y se nota cómo se detecta la desconexión y la reconexión.

Screenshot from 2013-01-15 14:54:53

En resumen, es factible hacer failover de forma bastante fácil.

Lógicamente esta es una pequeña introducción al tema, pues hay variantes un poco más especializadas (por ejemplo cómo hacer para recibir correos, cómo priorizar un canal sobre el otro, etc). Pero definitivamente con esta introducción seguramente podrás ya seguir investigando las otras variantes.

Todo este experimento lo hice a través de sistemas virtualizados para facilitarme la vida.

Cuba, Migración

Lo que pienso yo, un cubano “emigrado” sobre la posibilidad de salir del país sin restricciones del gobierno de Cuba

Leave a comment

A partir de hoy todo se semejará mucho a lo que siempre debió ser: el que tenga las condiciones económicas, el interés y/o la necesidad… ese podrá salir. El que pueda superar las restricciones que otros países imponen, como en cualquier país puede existir.. pues saldrá. Pero ya no habrá que enfrentar una barrera que tu propio país te imponía.

Cómo lo usarán? Qué cambios en las políticas adoptarán ahora los otros países que pueden comenzar a recibir una cantidad mayor de visitantes desde la Isla.. no sé, pero ya era hora de que el gobierno se comenzara a quitar ese estigma de que es el que no dejaba salir a las personas.

Ya basta que alguien desconocido tenga que autorizar a los hijos ver a los padres, a los abuelos visitar a los nietos, a los compatriotas visitar a su propio país. En fin, el derecho (que no es obligación ni certeza de nada) de poder entrar y salir libremente de tu país ya está algo más cercano ya para la mayoría.

Qué pretende esta acción? Fines humanos como que la familia alejada se pueda ver más fácilmente? Fines económicos para salir un poco del problema de los posibles desempleados que puede generarse de los despidos estatales?

Cuándo se resolverán el resto de reclamos? Que todos los que no tengan delitos por penar puedan salir si lo desean? Que nos dejen de catalogar como emigrantes.. o que si así lo hagan sean para fines estadísticos pero no para fines de residencia en nuestro país.. Que nuestros hijos puedan ser inscritos como cubanos a pesar de que somos “emigrantes”. Falta bastante por avanzar, bastante. No es una opinión negativista. Este paso que hicieron es mucho más a lo que teníamos hasta ayer mismo, pero faltan más por tomar, espero que los sigan tomando.

Algunos piensan que debería estar agradecido por esta medida. Y yo me pregunto: agradecido por qué? Por algo que era un derecho humano? Algo que debió ser hace mucho tiempo así? Gracias pero no. Los derechos no creo que se agradecen.

Ambato, Ecuador, 14 de Enero del 2013, 12:03 de la mañana. A 3 minutos del día añorado por todos.

Linux, Maestría en Redes, Seguridad

Presentación de arp y dns spoofing con ettercap

Leave a comment

En el módulo de seguridades nos pidieron que nuestro grupo hiciera un pequeño trabajo de forma autónoma y presentara a los compañeros.. era sobre cómo hacer arp spoofing y dns spoofing utilizando una herramienta bastante conocida llamada ettercap para aplicar un ataque muy antiguo de spoofing en una red local.

No es la ciencia, existe muchísima información sobre este ataque, que no por ser antiguo o bien conocido deja de ser un problema.. todavía en estos tiempos es factible aplicarlo.

Aquí pongo un pdf del documento que nos sirvió de apoyo para presentar el resultado de la prueba.

ARP & DNS Spoofing – Presentación-1

Ettercap es bastante conocido y bien documentado de forma tal que realizar la prueba basándonos en los requerimientos (enviar respuestas de dns incorrectas a un equipo víctima presentándole una falsa página de facebook) fue realmente cautivador 😉 y por mi lado me permitió cerciorarme una vez más que asegurar una red es bastante complejo eh, no es cuestión de un hardware y ya.

Member of SKCC#7163T