Bienvenido al foro un gusto que estes por aca, espero verte seguido 

besos 

Bienvenido al foro espero verte seguido por aca 

besos 

En este manual hablaremos sobre el SSH y cómo configurarlo para acceder remotamente a nuestro equipo con GNU/Linux, también podremos acceder a nuestros routers si tienen firmwares basados en Linux como Tomato RAF.

¿Qué es SSH?

Las siglas corresponden a Secure SHell. Sirve para acceder a máquinas remotas, igual que hace telnet, pero de una forma segura ya que la conexión va cifrada. El transporte se hace mediante TCP, por tanto nos garantiza que las órdenes van a llegar a su destino (conectivo, fiable, orientado a conexión).

Seguridad

El cifrado de SSH proporciona autenticidad e integridad de los datos transmitidos por una red insegura como internet.

Utiliza llaves públicas para la autenticación en la máquina remota.

SSH no sólo sirve para usar comandos en máquinas remotas, sino para transferencias de ficheros de forma segura ya sea por SCP o sFTP y servicios de escritorio remoto.

Mirad 25 formas para sacarle partido al SSH: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Instalación

Vamos a usar OpenSSH por tanto vamos a instalarlo:

sudo apt-get install openssh-server

Ahora procedemos a su configuración.

Comandos que debemos tener en cuenta
Para editar la configuración del servidor SSH debemos hacer en consola:

sudo gedit /etc/ssh/sshd_config

Para arrancar el servidor:

sudo /etc/init.d/ssh start

* Starting OpenBSD Secure Shell server sshd

Para parar el servidor:

sudo /etc/init.d/ssh stop

* Stopping OpenBSD Secure Shell server sshd

Para reiniciar el servidor:

sudo /etc/init.d/ssh restart

* Restarting OpenBSD Secure Shell server sshd

Configuración del servidor

Una vez instalado, vamos a configurar el servidor, hacemos en consola:

sudo gedit /etc/ssh/sshd_config

Y podremos editar sus opciones, os pongo mi fichero de configuración y una explicación de lo que podéis cambiar.

# Package generated configuration file
# See the sshd_config(5) manpage for details

# Ponemos el puerto a escuchar por el SSH, por defecto es el 22. Deberemos abrir un puerto en nuestro router redirigiendo hacia la IP interna de la máquina donde lo tengamos.
Port 1234

# Usaremos el protocolo 2 de SSH, mucho más seguro, por tanto forzamos a que siempre conecten por protocolo 2.
Protocol 2

# HostKeys for protocol version 2. El lugar donde se guardan las keys.
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key

#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 2048

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication, importante la parte PermitRootLogin...es vuestra decisión
LoginGraceTime 120
PermitRootLogin no
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile    %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes

# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no

# similar for protocol version 2
HostbasedAuthentication no

# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication

#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes
MaxAuthTries 2

Si usamos SFTP enjaulado debemos poner esto y comentar la línea (Subsystem sftp /usr/lib/openssh/sftp-server):

Subsystem sftp internal-sftp
Match user servidor
ChrootDirectory /home/jail/home
AllowTcpForwarding no
ForceCommand internal-sftp

Como podéis ver, usando openssh-server también tenéis levantado un servidor sFTP.

Enjaular un usuario con OpenSSH en Ubuntu
Imaginemos que queremos crear un usuario a nuestro amigo Sanobis, pero no queremos que pueda ver todos los archivos del sistema, es decir, vamos a enjaularle en su directorio /home/ únicamente.

Nos bajamos este archivo:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Y lo ponemos en el directorio raíz por comodidad.

Le asignamos permisos 700

sudo chmod 700 make_chroot_jail.sh

A continuación escribimos:

bash make_chroot_jail.sh sanobis

Tecleamos yes, y a continuación metemos la clave que queramos que tenga (estamos creando un usuario nuevo).

Ahora, su directorio enjaulado es /home/jail/home/sanobis

Salimos y entramos por ssh y veremos que efectivamente no podrá salir de ese directorio. No hace falta que reiniciemos el servidor SSH.

Opciones adicionales de Seguridad

Podemos conectarnos al servidor sin usuario clave, utilizando un certificado RSA que proporcionará mucha más seguridad, pero como siempre que sucede en estos casos...es más incómodo y no siempre vas a llevar encima tu certificado, por tanto esta parte la voy a obviar.

Podemos también instalar el programa fail2ban para banear IPs que hagan muchos intentos de conexión fallidos (que metan mal la clave).

Podemos instalarlo poniendo

sudo apt-get install fail2ban

Ahora hacemos:

sudo gedit /etc/fail2ban/jail.local

Y pegamos esto:

[ssh]
enabled = true
port = 1234
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

Y lo iniciamos,paramos y reiniciando haciendo como si fuera el SSH, en este caso start=iniciar:

sudo /etc/init.d/fail2ban start

Para ver los LOGS de conexión haced esto:

cd /var/log/

gedit auth.log

También tenemos otro programa dedicado exclusivamente al SSH, se llama DenyHost y tiene una gran base de datos de IPs conocidas como atacantes. Con esto estaremos un poquito más seguros.

Fuente: ADSLZONE

besos 

Muchos usuarios encontrarían diversas ventajas en el hecho de poder utilizar dos líneas de WhatsApp en un mismo terminal, y es que aún se dan muchos casos en el que un mismo usuario cuenta con varias cuentas de móvil; ya sea por trabajo o ya sea, como se viene dando mucho últimamente y cada vez más, porque el usuario emigra fuera de España y le interesa mantener su línea de  WhatsApp española para aquellos que no dispongan de su nuevo número y deseen localizarlo vía mensajería instantánea desde su país de origen. Es cierto que además últimamente se le ha dado mucho bombo a cómo escapar del pago por suscripción anual de WhatsApp; pues bien, el "truco" que contamos a continuación puede servir bien para los primeros casos como para este último (según se aplique), ya que al darte de alta en WhatsApp por primera vez con segundas líneas, la aplicación de mensajería te otorga automáticamente 12 meses de suscripción gratuita.

Requisitos
Lo primero que debemos aclarar para conseguir nuestro objetivo con éxito son los requisitos:

1.  más importante es que nuestro terminal debe estar rooteado. Así que si no tienes acceso root al tuyo o no es algo que tengas en mente llevar a cabo, hasta aquí puedes leer.
2. El segundo requisito es disponer de un segundo número de teléfono móvil, ya que las líneas de WhatsApp van siempre unidas a un número de teléfono. Si ya dispones de uno no tendrás que realizar el siguiente proceso que contamos a continuación, que consiste en generar un número de teléfono virtual y gratuito a través de Fonyou. Así que si no cuentas con un segundo número de teléfono, debes completar el siguiente punto.


Generar un número de teléfono virtual y gratuito con Fonyou
Como ya hemos comentado, dándonos de alta en WhatsApp con un nuevo número de teléfono dispondremos de 12 meses de suscripción gratuita tal como otorga la compañía a todas sus nuevas altas. Así que muy seguramente estés interesado en este paso si ya has caducado tus anteriores líneas. La solución la encontramos en Fonyou una operadora que nos facilitará de manera gratuita un número de teléfono sin coste alguno después de registrarnos y facilitar nuestros datos,  sin que en ningún momento nos pidan los datos bancarios. Así que adelante (recomendamos que el siguiente proceso se realice a través de un ordenador):

1.  Nos registramos en Fonyou You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
a través del link directo al registro de nuevo usuario You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

2. El proceso de registro es tan sencillo como escoger el que será nuestro número de teléfono e introducir los datos personales que nos soliciten.


3. A continuación recibirás un correo de activación en el correo que hayas indicado en tu registro. Tendrás que hacer click en el link de activación que allí te indiquen para validar tu nuevo número.
En ese momento ya tendremos nuestro número gratuito de Fonyou, que anotaremos para introducirlo más tarde en WhatsApp con el fin de dar de alta nuestra nueva línea.

Generar dos perfiles de WhatsApp en un mismo Androide con Titanium Backup
Como podréis imaginar, el sistema de nuestro androide sólo nos deja instalar una sóla aplicación de WhatsApp en el mismo terminal. Si intentamos instalar dos versiones distintas de la misma app, lo que el sistema hará será sobrescribir una encima de otra, por lo que lo único que conseguiríamos de esta manera sería quedarnos con la última versión que hayamos intentado instalar. Pues bien, nos encontramos una vez más con otro privilegio de ser root o tener permisos de superusuario, que es la posibilidad de crear distintos perfiles en un mismo sistema.

La herramienta que utilizaremos para crear los dos perfiles que necesitamos es Titanium Backup (es posible que necesitemos la versión Pro), una aplicación muy útil y disponible en Google Play, que además de ofrecer un gran abanico de posibilidades a la hora de crear copias de seguridad en nuestro sistema, es capaz de crear perfiles dobles de una sola aplicación. Si ya has conseguido instalar Titanium Backup en el teléfono, debes seguir el siguiente proceso para cumplir el objetivo:

1. Entra a la app Titanium Backup y ve a " Cambiar Perfil...". Selecciona "Crear nuevo perfil de datos". En este punto debes crear dos perfiles: el primero, que pondrá nombre al que estés utilizando en ese momento, y al que puedes llamar, por ejemplo, "predeterminado" (este será el que tengas que seleccionar cuando quieras acceder a tu línea de WhatsApp estándar); y un segundo perfil que puedes llamar "alternativo".


2. Desde el mismo menú al que hemos accedido mediante la pestaña "Cambiar perfil...", activamos nuestro perfil predeterminado.
3. Salimos de ese menú y ahora vamos, en el mismo Titanium, a la etiqueta de "Copiar/Restaurar" y buscamos la app "WhatsApp". Dejamos pulsado encima de la app y en la pantalla que vemos en ese momento seleccionamos "Activar múltiples perfiles" (En la imagen de abajo sólo vemos "Desactivar múltiples perfiles" porque en el teléfono de la imagen ya están activados). En ese momento estamos aplicando los dos perfiles creados solamente a la aplicación WhatsApp; y como estamos en el perfil predeterminado, si abrimos WhatsApp veremos nuestra línea de siempre funcionando con normalidad.


4. Volvemos al menú anterior de "Cambiar Perfil" donde ahora elegiremos el perfil alternativo.
5. Entramos a WhatsApp y veremos que nos pide configurarlo desde el principio, como si se hubiera instalado por primera vez.
6. Introduciremos nuestro número de Fonyou y a continuación se validará la nueva cuenta de WhatsApp (si no se activa automáticamente con el código de activación, debemos tener en cuenta que el SMS de WhatsApp con el código para activar la nueva línea, nos llegará al correo electrónico que indicamos en el registro de Fonyou. En el caso en el que no llegue y no se active automáticamente, siempre podemos utilizar el modo llamada para recibir el código, pero esto no tiene por qué pasar).
Como veréis, cada vez que deseemos cambiar de un perfil a otro de WhatsApp, tendremos que acudir a Titanium Backup, entrar en "cambiar perfil" y escoger uno u otro, de manera que nunca podremos utilizar dos WhatsApps a la vez, recibiendo las notificaciones de ambas cuentas simultáneamente. Pero menos es nada, y una vez tengamos un segundo número de teléfono, ya sea de Fonyou o de cualquier SIM, y el proceso de los perfiles en Titanium Backup finalizado, podremos cambiar de un WhatsApp a otro en un par de clicks,  y sin tener que cargar con dos terminales.

Fuente: ADSLZONE

besos 

Bienvenido al foro espero verte seguido por aca 

besos 

Bienvenido al foro, un gusto que estes por aca

besos 

Bienvenido al foro y espero verte seguido por aca 

besos 

Bienvenido al foro, espero verte seguido por aca.

besos 

Bienvenido al foro, espero que sea de tu gusto 

besos 

A pesar de que en los sistemas operativos de escritorio existen utilidades para saber la utilización de los componentes del hardware, en los dispositivos móviles aún no existen muchas herramientas que estén programadas para llevar a cabo esta labor. Por este motivo, vamos a hablaros de la aplicación System Monitor disponible para Android, que ayuda al usuario a monitorizar los recursos hardware del terminal.

Aunque existe una versión estándar que ya posee bastantes funciones y de forma gratuita, también existe una versión de pago. Esta versión cuesta 1,49 euros y podremos disponer de todas las funcionalidades de la herramienta para ser capaces de monitorizar los dispositivos hardware de nuestro sistema y los procesos software.

Se trata de una herramienta que sólo se recomienda utilizar en situaciones muy especificas, ya que el proceso de monitorización y refresco de la aplicación consume batería y la duración de esta podría verse afectada de forma notable, por esto que sólo se recomiende su utilización en determinadas ocasiones.

Interfaz y diseño de la aplicación

Este tipo de aplicación es idónea para monitorizar muchos aspectos del terminal, ya que sabiendo que estamos hablando de dispositivos móviles, siempre conviene saber qué porcentaje de procesador está siendo utilizado, al igual que sucede con la memoria RAM. Gracias a System Monitor, podremos saber no sólo qué porcentaje de RAM o de procesador están siendo utilizados y las aplicaciones que lo utilizan, sino que también será posible saber las aplicaciones que utilizan la entrada y salida, el tráfico de red que se produce en el sistema o las aplicaciones que están ejecutándose en segundo plano.


La versión gratuita permite la monitorización de los aspectos mencionados con anterioridad, cambiar el periodo de refresco o la apariencia de la interfaz. Los detalles más concretos que hacen referencia a tiempo de ejecución, tiempo de utilización, número de accesos a un determinado módulo hardware, ... son exclusivos de la versión de pago.

Aunque para ser una versión gratuita la verdad es que no está nada mal equipada.

Fuente: ADSLZONE

besos 

Una vez más, os traemos una nueva alternativa para instalar un cliente OpenVPN en nuestro smartphone o tablet con sistema operativo Android.

En esta ocasión, la aplicación OpenVPN para Android no necesita ROOT, y funciona bajo la configuración Tunneling por lo que estamos de enhorabuena para aquellos a los que no os gusta "tocar" demasiado el terminarl.

A continuación tenéis un mini manual de configuración.


Lo primero que debemos hacer es bajarnos la aplicación del Play Store: Enlace hacia la aplicación. You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La aplicación es gratuita, otro punto positivo para utilizarla.

Una vez que la hemos instalado, tenemos que seleccionar el archivo de configuración (en la captura ya está seleccionado), para seleccionarlo basta con irnos a "Importar".


Ahora buscamos el archivo cliente.conf y lo seleccionamos (sólo éste, ya que el archivo contiene la ruta de los demás).


Una vez que lo hayáis importado, os aparecerá en la pantalla principal y ya tendremos casi todo configurado. Lo único que debemos hacer ahora es irnos a Enrutamiento y pinchar en "Utilizar ruta por defecto" para redirigir todo el tráfico hacia la VPN, de esta forma saldremos con la dirección IP del servidor.


Y po último, basta con pinchar sobre "client" de la pantalla principal, para conectarnos a la VPN de nuestra casa. Al conectar nos saldrá el siguiente mensaje:


Tras esperar unos segundos para conectar, habremos establecido la conexión satisfactoriamente.

Esperamos que os sirva de ayuda esta mini guía para navegar de forma segura por las redes WiFi públicas.

Fuente: ADSLZONE

besos 

Bienvenido al foro espero verte seguido por aca 

besos 

OpenVPN es un cliente/servidor VPN tanto para equipos GNU/Linux como para Windows.

¿Para qué sirve hacer esto?

Para conectarnos a internet de una manera segura desde cualquier red ya sea cableada o WiFi, con cifrado WEP/WPA o sin cifrar. Todo el tráfico irá cifrado a través de un Túnel desde el AP que nos conectamos hasta nuestra casa y desde allí saldrá a internet, es como estar en nuestra casa. Lo malo es que debes tener una buena velocidad de subida, ya que de eso dependerá en mayor medida tu velocidad de bajada (a no ser que la red donde te conectes tenga menos bajada que la velocidad de subida de tu conexión).

También sirve en caso de no redigirir el tráfico, para poder acceder a los recursos compartidos de nuestra casa como puede ser imprimir desde la Universidad, copiarnos archivos desde el disco duro compartido de casa etc.

La VPN será SSL/TLS, y podemos encontrar dos tipos, TUN y TAP.

TUN: El controlador TUN emula un dispositivo punto a punto, es utilizado para crear túneles virtuales operando con el protocolo IP. De esta forma se puede encapsular todos los paquetes que se transporten a través de él como datagramas TCP o UDP (más adelante veréis que escogemos UDP en lugar de TCP, y preguntaréis que por qué ya que TCP es conectivo, fiable y Orientado a conexión). Las máquinas que queden detrás de cada uno de los extremos del enlace pertenecerán a subredes diferentes.

TAP: Simula una interfaz de red Ethernet, más comúnmente conocido como modo puente o bridge, estos túneles virtuales encapsulan directamente paquetes ethernet. Esta situación permite empaquetar entramados diferentes al IP. Las máquinas situadas detrás de cada uno de los extremos del enlace pueden operar como parte de la misma subred (si se utiliza el protocolo IP). El modo de funcionamiento puente es particularmente útil para enlazar usuarios remotos, ya que éstos pueden conectarse a un mismo servidor y virtualmente formar parte de la red principal.

En el manual usaremos TUN.

En este manual os voy a explicar cómo hacerlo en GNU/Linux, aunque en esencia, es lo mismo para Windows, únicamente cambian los comandos en la consola (cmd.exe), los certificados y las llaves, son los mismos para los dos, es decir, puedes crear TODO en GNU/Linux y luego pasarlo a Windows para usarlo (ya sea cliente o servidor), únicamente deberás cambiar la extensión del cliente/servidor .conf por .ovpn

Voy a explicaros como realizar la configuración más segura posible.

- Usaremos una llave RSA para crear CA.key de 2048bits sin afectar lo más mínimo al rendimiento de la VPN.

- La llave simétrica será AES-256bits-CBC (Encadenamiento de Cifrado en Bloque) uno de los más seguros (OpenVPN incluye todo esto, no hay que "programarlo" ni nada parecido).

- Incluiremos TLS/AUTH una firma HMAC adicional para todos las negociaciones SSL/TLS para la verificación de la integridad. Cualquier paquete UDP que no posea la firma HMAC correcta es bloqueado. La firma HMAC TLS-AUTH provee un nivel de seguridad adicional mas allá del que provee SSL/TLS, de esta forma nos protegemos de ataques DoS, escaneo de puertos y le ahorramos trabajo al servidor (porque si esto falla al intentar la autenticación lo corta y no lo sigue intentando).

- Protocolo UDP en lugar de TCP porque es más fuerte frente a ataques DoS y escaneos de puertos (UDP es no conectivo, no fiable, no orientado a conexión).


Instalamos Openvpn con el siguiente comando desde los repositorios:

sudo apt-get install openvpn

Ahora vamos a copiar los archivos easy-rsa y sample-config-files a /etc/openvpn/ (previamente hemos ido al directorio con la orden cd).

ubuntu@ubuntu:/usr/share/doc/openvpn/examples$ ls
easy-rsa sample-config-files sample-keys sample-scripts

Copiamos easy-rsa y sample-config-files a /etc/openvpn/

ubuntu@ubuntu:/usr/share/doc/openvpn/examples$ sudo cp -R easy-rsa/ /etc/openvpn/
ubuntu@ubuntu:/usr/share/doc/openvpn/examples$ sudo cp -R sample-config-files/ /etc/openvpn/

Ahora nos metemos en el directorio de trabajo y veremos muchos ficheros:

ubuntu@ubuntu:/etc/openvpn/easy-rsa/2.0$ ls
build-ca build-key-server Makefile sign-req
build-dh build-req openssl-0.9.6.cnf.gz vars
build-inter build-req-pass openssl.cnf whichopensslcnf
build-key clean-all pkitool
build-key-pass inherit-inter README.gz
build-key-pkcs12 list-crl revoke-full

Ejecutamos el siguiente comando para crear una carpeta en este directorio donde almacenaremos las claves:

mkdir keys

Es en este directorio donde se almacenaran las llaves privadas (.key), los archivos de requerimiento de certificado (.csr) y los certificados (.crt) y otros archivos.
- Las llaves .key son PRIVADAS, han de ser copiadas por un medio seguro.
- Los certificados .crt y el requerimiento .csr puede pasarse sobre un medio inseguro (emails, messenger).

Generar la llave y el certificado para la Autoridad Certificadora (CA).
En esta parte vamos a crear los certificados y las llaves para la CA, para el servidor y para el cliente, nos logueamos en la consola como root (siempre como root para dejarnos de líos).

Ahora vamos a editar el archivo "vars".

Nos situamos en el directorio de trabajo:

cd /etc/openvpn/easy-rsa/2.0/
gedit vars

- Ahora modificamos KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG y KEY_MAIL a vuestro gusto, pero no podéis dejarlo en blanco.

- También modificamos la ruta donde están las KEYS, ya que luego haremos un ./clean-all y si no está la ruta correcta, dará error.

- El tamaño de la llave RSA es controlado por la variable KEY_SIZE en el archivo vars, por tanto en lugar de tener 1024 (bits), ponemos 2048 (bits) si queréis más seguridad (recomiendo 2048).

Una vez lo hayáis modificado, guardamos y salimos, os debería quedar algo así:

# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa –
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA'

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="/etc/openvpn/easy-rsa/2.0/keys/"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid. This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=2048

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="XXXX"
export KEY_PROVINCE="XXX"
export KEY_CITY="XXXX"
export KEY_ORG="XXXXX"
export KEY_EMAIL="[email protected]"

En el mismo directorio tecleamos lo siguiente para limpiar todos los archivos que haya en /keys/.

source ./vars
./clean-all

Parámetros Diffie Hellman
Vamos a generar estos parámetros necesarios para el servidor.

En consola y en el mismo directorio de siempre (/etc/openvpn/easy-rsa/2.0/)

./build-dh (recuerda ejecutarlo como root)

Os saldrá algo parecido a esto:

root@Portatil:/etc/openvpn/easy-rsa/2.0# ./build-dh
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
.....................................+...................++*++*
.....................................+...................++*++*
root@Portatil:/etc/openvpn/easy-rsa/2.0#

Nota: los guiones anteriores eran simples guiones, estos que vienen a continuación y que por ejemplo están antes que initca son dos guiones juntos, parece que es uno largo pero no.

Creación certificado para la CA
Ahora creamos el certificado para la CA:

./pkitool –initca

Os saldrá algo como esto:

root@Portatil:/etc/openvpn/easy-rsa/2.0# ./pkitool –initca
Using CA Common Name: vpn CA
Generating a 2048 bit RSA private key
.......+++
.............+++
writing new private key to 'ca.key'
—–
root@Portatil:/etc/openvpn/easy-rsa/2.0#

Generación de certificado y llaves para el SERVER
./pkitool –server servidor

Nos saldrá algo así:

root@Portatil:/etc/openvpn/easy-rsa/2.0# ./pkitool –server servidor
Generating a 2048 bit RSA private key
..............................+++
.........................................+++
writing new private key to 'servidor.key'
—–
Using configuration from /etc/openvpn/easy-rsa/2.0/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName PRINTABLE:'XX'
stateOrProvinceName PRINTABLE:'XXX'
localityName PRINTABLE:'XXX'
organizationName PRINTABLE:'XXXX'
commonName PRINTABLE:'servidor'
emailAddress :IA5STRING:"XXXXXX"
Certificate is to be certified until Jun 19 09:40:27 2020 GMT (3650 days)

Write out database with 1 new entries
Data Base Updated
root@Portatil:/etc/openvpn/easy-rsa/2.0#

Todos los valores los obtiene del archivo VARS, y el Common Name lo obtiene de "servidor" que está a continuación de "–server".

Generación de certificado y llaves para el CLIENTE
./pkitool cliente1

Nos saldrá algo así:

root@Portatil:/etc/openvpn/easy-rsa/2.0# ./pkitool cliente1
Generating a 2048 bit RSA private key
...............................+++
.................................................+++
writing new private key to 'cliente1.key'
—–
Using configuration from /etc/openvpn/easy-rsa/2.0/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName PRINTABLE:'XX'
stateOrProvinceName PRINTABLE:'XXX'
localityName PRINTABLE:'XXX'
organizationName PRINTABLE:'XXX'
commonName PRINTABLE:'cliente1′
emailAddress :IA5STRING:'XXXX'
Certificate is to be certified until Jun 19 09:41:34 2020 GMT (3650 days)

Write out database with 1 new entries
Data Base Updated
root@Portatil:/etc/openvpn/easy-rsa/2.0#

Para generar más clientes hacemos lo siguiente:

source ./vars
./pkitool cliente2

Si queremos el tercero hacemos:

source ./vars
./pkitool cliente3

Antes de crear cada certificado debemos ejecutar source ./vars (por si queréis más).

Ahora nos vamos a:

cd /etc/openvpn/easy-rsa/2.0/keys/

Y veremos todas las claves (comando ls para verlas).

Generar llave TLS-AUTH
openvpn –genkey –secret ta.key (donde ta.key es la llave que deberemos usar tanto en el servidor como en el cliente).

En la configuración del servidor (servidor.conf o servidor.ovpn) deberemos poner:

tls-auth ta.key 0 (0 de Incoming)

En la configuración del cliente (cliente.conf o cliente.ovpn) deberemos poner:

tls-auth ta.key 1 (1 de Outgoing)

A continuación os pongo una tabla de qué es cada cosa.


Podemos agruparlos por carpetas para mayor comodidad siguiendo la tabla ya que por ejemplo ca.crt tiene que estar en todos los clientes/servidores (servidor, cliente1, cliente2, etc).

Archivo de Configuración del Cliente (client.conf)
Viene una pequeña guía de para qué sirve cada comando, tenéis que modificar:

- remote my-server-1 1194 ya que aquí deberemos poner el host dyndns que tengáis, Host en DynDNS para servidores domésticos como FTP, VPN, servidor de juegos o servidor WEB : Manual DynDNS: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

- ca ca.crt cert client.crt y key client.key lo debéis cambiar por el nombre que le habéis puesto a cliente, en este caso cliente1, cliente2 y con la RUTA COMPLETA al archivo para evitarnos problemas, quedaría así:

ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/cliente1.crt
key /etc/openvpn/easy-rsa/2.0/keys/cliente1.key

-En el siguiente fragmento veis el TLS-AUTH que usaremos, quitamos e punto y coma ( y lo activaremos, el ta.key también ponemos la ruta completa de la ta.key.

# If a tls-auth key is used on the server
# then every client must also have the key.
tls-auth ta.key 1

- Como hemos elegido un cifrado AES-256-CBC pues lo ponemos:

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
cipher AES-256-CBC

Y ya tenemos el cliente listo.

La ruta completa de cada archivo (ca.crt cliente1.key etc, no hace falta ponerla siempre y cuando el client.conf esté en la misma carpeta que ellas, pero para no tener problemas pues ponemos la ruta completa).

Archivo de Configuración del Servidor (server.conf)
- En el servidor debemos poner la IP interna que tendremos en la red para escuchar, el puerto, si es el de por defecto no habrá que tocarlo.
- Ponemos las rutas completas de los siguientes archivos:

ca ca.crt
cert server.crt
key server.key

- dh dh2048.pem ya que lo hemos puesto de 2048 bits.
- El rango del servidor no hace falta tocarlo, el cifrado que hemos elegido y la TLS-AUTH.

Aquí no he explicado con detalle la configuración del servidor, porque poca gente va a tener un ordenador con GNU/Linux o Windows encendido dedicado únicamente a esto, es mucho más cómodo un router con firmwares de terceros como Tomato y el correspondiente módulo OpenVPN donde es todo gráfico, a continuación os pongo unas capturas de pantalla para que lo veáis junto con el LOG del router al arrancar la VPN.

Nota: las claves se meten en las casillas haciendo un gedit ca.crt (por ejemplo), copiamos y pegamos todo lo que aparece en el gedit y listo! (sí, todos esos símbolos y letras).

Click en la foto para ampliarla y verla mejor.




Pruebas de conectividad:
Log de inicio de OpenVPN en el router:

Jun 21 18:14:39 router daemon.notice openvpn[344]: OpenVPN 2.1.1 mipsel-unknown-linux-gnu [SSL] [LZO2] built on Feb 17 2010
Jun 21 18:14:39 router daemon.warn openvpn[344]: NOTE: OpenVPN 2.1 requires '–script-security 2′ or higher to call user-defined scripts or executables
Jun 21 18:14:42 router daemon.notice openvpn[344]: Diffie-Hellman initialized with 2048 bit key
Jun 21 18:14:42 router daemon.notice openvpn[344]: Control Channel Authentication: using 'static.key' as a OpenVPN static key file
Jun 21 18:14:42 router daemon.notice openvpn[344]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1′ for HMAC authentication
Jun 21 18:14:42 router daemon.notice openvpn[344]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1′ for HMAC authentication
Jun 21 18:14:42 router daemon.notice openvpn[344]: TLS-Auth MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Jun 21 18:14:42 router daemon.notice openvpn[344]: TUN/TAP device tun21 opened
Jun 21 18:14:42 router daemon.notice openvpn[344]: TUN/TAP TX queue length set to 100
Jun 21 18:14:42 router daemon.notice openvpn[344]: /sbin/ifconfig tun21 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Jun 21 18:14:42 router daemon.notice openvpn[344]: /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Jun 21 18:14:42 router daemon.notice openvpn[344]: Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Jun 21 18:14:42 router daemon.notice openvpn[407]: Socket Buffers: R=[108544->131072] S=[108544->131072]
Jun 21 18:14:42 router daemon.notice openvpn[407]: UDPv4 link local (bound): [undef]:1194
Jun 21 18:14:42 router daemon.notice openvpn[407]: UDPv4 link remote: [undef]
Jun 21 18:14:42 router daemon.notice openvpn[407]: MULTI: multi_init called, r=256 v=256
Jun 21 18:14:42 router daemon.notice openvpn[407]: IFCONFIG POOL: base=10.8.0.4 size=62
Jun 21 18:14:42 router daemon.notice openvpn[407]: Initialization Sequence Completed

Cliente:

root@Portatil:/etc/openvpn# openvpn client.conf
Tue Jun 22 12:08:24 2010 OpenVPN 2.1.0 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Jan 26 2010
Tue Jun 22 12:08:24 2010 NOTE: OpenVPN 2.1 requires '–script-security 2′ or higher to call user-defined scripts or executables
Tue Jun 22 12:08:24 2010 /usr/bin/openssl-vulnkey -q -b 2048 -m <modulus omitted>
Tue Jun 22 12:08:24 2010 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Tue Jun 22 12:08:24 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1′ for HMAC authentication
Tue Jun 22 12:08:24 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1′ for HMAC authentication
Tue Jun 22 12:08:24 2010 LZO compression initialized
Tue Jun 22 12:08:24 2010 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Tue Jun 22 12:08:24 2010 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Jun 22 12:08:24 2010 Local Options hash (VER=V4): '9e7066d2′
Tue Jun 22 12:08:24 2010 Expected Remote Options hash (VER=V4): '162b04de'
Tue Jun 22 12:08:24 2010 Socket Buffers: R=[124928->131072] S=[124928->131072]
Tue Jun 22 12:08:24 2010 UDPv4 link local: [undef]
Tue Jun 22 12:08:24 2010 UDPv4 link remote: [AF_INET]XX:1194
Tue Jun 22 12:08:24 2010 TLS: Initial packet from [AF_INET]XX:1194, sid=0e6c8016 fc84b328
Tue Jun 22 12:08:27 2010 VERIFY OK: depth=1, /C=XX/ST=X/L=XX/O=Xa/CN=XX/emailAddress=XX.com
Tue Jun 22 12:08:27 2010 VERIFY OK: nsCertType=SERVER
Tue Jun 22 12:08:27 2010 VERIFY OK: depth=0, /C=XXX/ST=XX/L=xxx/O=xxxx/CN=xxx/emailAddress=xxx
Tue Jun 22 12:08:30 2010 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Jun 22 12:08:30 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1′ for HMAC authentication
Tue Jun 22 12:08:30 2010 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Jun 22 12:08:30 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1′ for HMAC authentication
Tue Jun 22 12:08:30 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 EDH-RSA-DES-CBC3-SHA, 2048 bit RSA
Tue Jun 22 12:08:30 2010 [servidor] Peer Connection Initiated with [AF_INET]87.220.30.11:1194
Tue Jun 22 12:08:33 2010 SENT CONTROL [servidor]: 'PUSH_REQUEST' (status=1)
Tue Jun 22 12:08:33 2010 PUSH: Received control message: 'PUSH_REPLY,route 10.10.3.0 255.255.255.0,dhcp-option DOMAIN RED_LOCAL,dhcp-option DNS 10.10.3.1,redirect-gateway def1,route 10.8.0.1,topology net30,ping 15,ping-restart 60,ifconfig 10.8.0.6 10.8.0.5′
Tue Jun 22 12:08:33 2010 OPTIONS IMPORT: timers and/or timeouts modified
Tue Jun 22 12:08:33 2010 OPTIONS IMPORT: –ifconfig/up options modified
Tue Jun 22 12:08:33 2010 OPTIONS IMPORT: route options modified
Tue Jun 22 12:08:33 2010 OPTIONS IMPORT: –ip-win32 and/or –dhcp-option options modified
Tue Jun 22 12:08:33 2010 ROUTE default_gateway=10.10.2.1
Tue Jun 22 12:08:33 2010 TUN/TAP device tun0 opened
Tue Jun 22 12:08:33 2010 TUN/TAP TX queue length set to 100
Tue Jun 22 12:08:33 2010 /sbin/ifconfig tun0 10.8.0.6 pointopoint 10.8.0.5 mtu 1500
Tue Jun 22 12:08:33 2010 /sbin/route add -net xxx netmask 255.255.255.255 gw 10.10.2.1
Tue Jun 22 12:08:33 2010 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.8.0.5
Tue Jun 22 12:08:33 2010 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.8.0.5
Tue Jun 22 12:08:33 2010 /sbin/route add -net 10.10.3.0 netmask 255.255.255.0 gw 10.8.0.5
Tue Jun 22 12:08:33 2010 /sbin/route add -net 10.8.0.1 netmask 255.255.255.255 gw 10.8.0.5
Tue Jun 22 12:08:33 2010 Initialization Sequence Completed

Ahora tenemos tres opciones para conectaros a la VPN:

- Tecleando en consola el comando "sudo openvpn cliente.conf" y no cerrando la consola (ya que si no cierra la conexión).

- Automatizando el inicio de la VPN en el sistema, con lo cual siempre pasarás por la VPN aunque la red sea segura, y eso conlleva no tener la máxima velocidad posible (redirigimos internet).

- Poniendo OpenVPN en el network manager de forma gráfica y ada vez que queramos conectarnos dar 2 clicks y listo.

Esta última forma es la más útil al menos para mí, os voy a poner como hacerlo.

Usar Network-Manager para hacer la conexión OpenVPN (con gráficos y sin consola).
Vamos a instalar OpenVPN para el network-manager (plugin).

sudo apt-get install network-manager-openvpn

SOLUCIÓN a: Openvpn falló porque no había secretos vpn válidos

Una vez instalado (y reiniciado el sistema a ser posible) hacemos:

sudo gedit /etc/dbus-1/system.d/nm-openvpn-service.conf

Y debe poner obligatoriamente lo siguiente:

<!DOCTYPE busconfig PUBLIC
"-//freedesktop//DTD D-BUS Bus Configuration 1.0//EN"
"You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login">
<busconfig>
<policy user="root">
<allow own="org.freedesktop.NetworkManager.openvpn"/>
<allow send_destination="org.freedesktop.NetworkManager.openvpn"/>
</policy>
<policy user="at_console">
<allow own="org.freedesktop.NetworkManager.vpnc"/>
<allow send_destination="org.freedesktop.NetworkManager.vpnc"/>
</policy>
<policy context="default">
<deny own="org.freedesktop.NetworkManager.openvpn"/>
<deny send_destination="org.freedesktop.NetworkManager.openvpn"/>
</policy>
</busconfig>

Guardáis datos, salís del gedit y reiniciáis el ordenador (también vale reiniciar sólo el network-manager pero tardas menos así), ya nos os dará el famoso error de: Openvpn falló porque no había secretos vpn válidos.

Nota:

Realmente lo único que haces es intercalar esta línea de código:

<policy user="at_console">
<allow own="org.freedesktop.NetworkManager.vpnc"/>
<allow send_destination="org.freedesktop.NetworkManager.vpnc"/>
</policy>

Entre las otras dos, pero os puse el código entero para que no os compliquéis la vida.

Ya tenemos el plugin openvpn para network manager puesto a punto para configurarlo, ahora vamos a importar la configuración cliente.conf de tal forma que en 4 clicks tengamos todo listo.

En esta pantalla seleccionamos "Importar":


Buscamos el archivos .CONF y doble click:


A continuación y SIN TOCAR NADA, le damos a APLICAR


Y ya la habremos importado



Una vez que hemos hecho esto, basta con dar click izquierdo sobre el network-manager, nos vamos a conexiones VPN y seleccionamos la conexión que hemos importado anteriormente, en 15 segundos estaremos conectados y nos podrá un candado sobre el network-manager, si no funciona ejecutad el cliente.conf manualmente con el siguiente comando (si tampoco conecta, repasa los archivos .CONF).

sudo openvpn cliente.conf

Nota: aquí tenéis el HOWTO oficial de OpenVPN:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Windows 7
La creación de los certificados es exactamente en Windows que en GNU/Linux, sólo cambian los comandos a usar, incluso podéis hacer los certificados en GNU/Linux y llevarlos a Windows sin cambiar de extensión, únicamente el server.conf y cliente.conf han de pasar a extensión .ovpn, nada más.

Lo primero que vamos a hacer es bajarnos la última versión de OpenVPN y configurar el GUI adecuadamente.

Descargamos la última versión OpenVPN desde aquí:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La instalamos normalmente, con derechos de administrador (por supuesto), una vez instalado todo, reiniciamos el equipo (aunque no es necesario).

Ahora nos vamos al icono del escritorio y pulsamos click derecho sobre él y seleccionamos PROPIEDADES, en la pestaña COMPATIBILIDADModo de Compatibilidad para Windows XP (Service Pack 3)Ejecutar como administrador", tal y como tenéis en la imagen: seleccionamos y seleccionamos la casilla de "


Y ya os debería funcionar correctamente, si os funciona sin hacer esto pues perfecto, pero a mí no me funcionó.

Generar la llave y el certificado para la Autoridad Certificadora (CA).
Ejecutamos el CMD.EXE con permisos de administrador (clic derecho ejecutar como administrador).

Nos vamos al directorio de trabajo de OpenVPN carpeta easy-rsa con el comando cd.

- Renombramos vars.bat.sample a vars.bat y lo abrimos con el bloc de notas para rellenar las key_country, key_province etc.

- El tamaño de la llave RSA es controlado por la variable KEY_SIZE en el archivo vars, por tanto en lugar de tener 1024 (bits), ponemos 2048 (bits) si queréis más seguridad (recomiendo 2048).

Salimos y guardamos.

Ejecutamos el comando vars (en c:\archivos de programa\openvpn\easy-rsa)

A continuación ejecutamos clean-all.bat, nos creará una carpeta nueva "keys" donde almacenaremos las claves.

Parámetros Diffie Hellman
Vamos a generar estos parámetros necesarios para el servidor.

Ejecutamos el comando: build-dh y empezará el proceso.

Creación certificado para la CA
Renombramos openssl.sample a openssl (sin el sample).

Ejecutamos en consola build-ca para crearlo y ponéis lo mismo que habéis rellenado en vars (key_country etc) y cuando te pida common name poned openvpn-ca (por ejemplo).

Generación de certificado y llaves para el SERVER
Ejecutamos: build-key-server server para crear el servidor, el common name se obtiene del segundo "server".

Generación de certificado y llaves para el CLIENTE
Ejecutamos: build-key cliente1 para crear el primer cliente y así con los demás que queramos.

Generar llave TLS-AUTH
En el directorio easy-rsa ejecutamos: openvpn –genkey –secret ta.key y se nos pondrá en ese mismo directorio.

Nota: son dos guiones, no uno sólo.

Ahora nos toca configurar el client.ovpn (client.conf en GNU/Linux) con esto, se hace exactamente igual que en GNU/Linux y tiene las mismas opciones y TODO IGUAL.

El servidor es también igual que en GNU/Linux.

Los archivos que debéis pasar al servidor y clientes, hacedlo por un medio seguro con las .key.

Aquí tenéis la misma tabla que puse arriba:


Aquí tenéis el manual oficial de OpenVPN:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Pruebas de conectividad e iniciación:
Como supongo que usaréis Windows como cliente para conectaros a una VPN que esté en un servidor con GNU/Linux o en un router con firmwares de terceros, os voy a enseñar como arrancarlo mediante la interfaz gráfica.

Copiamos ca.crt, cliente1.crt, cliente1.key, ta.key y cliente.ovpn a la carpeta Openvpn/config/, en el cliente.ovpn no hace falta poner la ruta entera de ca.crt y todos los demás, ya que están en la misma carpeta.

Una vez que ya tenemos el servidor a punto, todos los archivos del cliente en la carpeta config, iniciamos el OpenVPN GUI que tenemos en el escritorio.

Recuerda: ejecuta en modo de compatibilidad XP Service Pack 3 y con derechos de administrador.

Clic derecho sobre el icono y pulsamos connect, esperamos hasta que se conecte y nos de LUZ VERDE (si hacemos click derecho sobre el icono y le damos a "Show Status" nos mostrará el LOG de conexión).


Y ya estamos conectados a la VPN en Windows 7.

Manual para crear Host en DynDNS

En este manual os voy a enseñar a crear un host en DynDNS para que puedan acceder fácilmente desde el exterior a vuestro ordenador, servidor FTP, servidor VPN, servidor de juegos, servidor WEB con una dirección fácil de recordar, sin necesidad de memorizar IPs, y si tienes IP Dinámica no pasa nada, automáticamente re-sincroniza y funcionará sin problemas (siempre y cuando configures el router correctamente).

No sólo existe DynDNS para este tipo de cosas, también está NO-IP pero a nosotros nos gusta más el primero y siempre me ha ido perfectamente para mi servidor FTP y VPN de casa.

Empecemos con el manual;

Accedemos a la web: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Pinchamos en "SIGN UP" y luego en "Create an account" si no tenemos ninguna cuenta.


Ahora nos lleva al formulario de registro y lo rellenamos, poned email verdadero porque hay que validar.


Una vez registrados, nos logueamos y entramos en "My Account" para agregar un nuevo HOST le damos a "ADD Host Services".


A continuación seleccionamos qué dominio queremos poner (la terminación) y qué dirección ponemos, podemos elegir el que queramos siempre y cuando esté disponible. Cuando lo hayamos rellenado, damos a ADD TO CART


Hemos hecho la "compra" con un gasto de 0$, pinchamos en NEXT


Ahora pinchamos en "Activate Services":


Y ya hemos activado el servicio:


Configuración DynDNS en los routers.

Ahora ya tenemos el HOST, pero cada vez que lo queramos usar, si la IP Dinámica de nuestro proveedor nos ha cambiado no tendremos más remedio que volver a sincronizarlo...un rollo. Menos mal que nuestros queridos Ingenieros Informáticos piensan en todo y han integrado esto en los routers.

La siguiente captura muestra el Dynamic DNS configurado en el Tomato RAF de Victek (si os metéis en su web, veréis que termina en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, ¿ésta no era uno de los dominios del DynDNS?)

Únicamente deberéis meter los datos de LOGIN de la web y el HOST elegido, guardais cambios y listo.

Ejemplo de configuración en el TP-Link WR1043ND:


Ejemplo de configuración en Conceptronic C54APRA2+:


Ejemplo de configuración en Asus WL-500GPremiumV2 con Firmware Tomato RAF de Victek:


Como veis, en todos los routers nos pide el LOGIN de Dynamic DNS y el HOST, guardamos cambios y reiniciamos el router si es necesario.

Ahora podréis entrar desde cualquier lugar a vuestro ordenador poniendo dicho HOST como si fuera la IP. Si necesitáis usar un servidor FTP basta con poner: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login:21

Espero que este manual os haya servido de ayuda, es algo sencillo, pero seguro que mucha gente al principio duda.

ACTUALIZACIÓN

A partir de ahora limitan el número de hosts a 2, y sólo podremos elegir entre 18 nombres (.dyndns.org, .dyndns.com etc) en lugar de los 88 que había antes. La buena noticia es que no es de carácter retroactivo.

Fuente: ADSLZONE

besos 

Hace unos días mencionábamos un problema de seguridad con los servicios de almacenamiento en la nube que eran utilizados en dispositivos Android. Estos permitían desde el teléfono acceder a archivos que sólo deberían estar en la nube. Para solucionar este problema relacionado con la caché de aplicaciones os vamos a hablar de un programa que sirve para administrar el uso de la cache y que tiene como nombre App Cache Cleaner.

La caché de los terminales no sólo es utilizada para llevar a cabo la ejecución de programas, sino que también es necesaria para manejar e interactuar con archivos. En el caso de que no exista el espacio necesario en la caché, es probable que el teléfono experimente lentitud a la hora de realizar las tareas que el usuario requiera.

Muchos usuarios creen que cuando una aplicación o un archivo se cierra, el espacio ocupado por este contenido en la caché es liberado de forma inmediata, pero esto no siempre sucede así y en algunas ocasiones los datos persisten en memoria. Por este motivo vamos a hablaros un poco más sobre la aplicación App Cache Cleaner, que puede ayudar a los usuarios a optimizar el aprovechamiento de la memoria caché del terminal.

¿Por qué no se libera el espacio de memoria?

La primera causa de que la aplicación no libere el espacio utilizado en memoria puede ser porque esta no tenga implementada la funcionalidad. Otra de las causas puede ser que la aplicación esté siendo utilizada por otra aplicación y que por lo tanto no pueda ser eliminada. Y como último motivo podemos mencionar que puede ser posible que la aplicación esté programada para dejar los datos en memoria para que la próxima ocasión que esta sea ejecutada las operaciones sean más rápidas.

Características de App Cache Cleaner

La aplicación nos permite borrar los elementos que se encuentran en la caché con un solo botón. También permite llevar a cabo la programación del borrado de la caché cuando el usuario lo desee. El usuario también tiene la opción de escoger las aplicaciones de las cuales se quieren eliminar los datos de forma periódica, pudiendo elegir aquellas aplicaciones que se utilizan con menos frecuencia y elegir los datos de esta para ser eliminados de la caché del terminal. Incluso el usuario podrá borrar elementos de la caché en función del tamaño de estos, pudiendo eliminar aquellos que mayor tamaño tengan.


La aplicación ha recibido recientemente una actualización que le permite ser compatible con más aplicaciones y así poder gestionar el espacio utilizado por estas en memoria, por lo que el usuario podrá optimizar el uso de la memoria de su terminal y recuperar la fluidez que podría haber perdido por la persistencia de datos innecesaria. La aplicación puede ser descargada por el usuario desde el Play Store.

Fuente: ADSLZONE

besos 

Android tiene colgado el cartel de inseguro y es algo que intenta mejorar con el paso del tiempo. Este es uno de los mayores inconvenientes del sistema operativo de Google, aunque existen algunas aplicaciones que nos pueden ayudar a mejorar la seguridad de Android. Esperamos que os puedan ser de utilidad.

En AndroidAyuda han realizado una interesante recopilación de aplicaciones (parte uno y parte dos) para mejorar la seguridad de nuestro Android. Se han centrado en los principales antivirus y suites de seguridad, sin dejar de lado las aplicaciones para buscar y recuperar nuestro dispositivo robado o perdido. La selección de aplicaciones es la siguiente:

Avast! Mobile Security: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La solución de seguridad más completa para nuestro dispositivo Android. Se encarga de monitorizar las aplicaciones instaladas, las páginas web que visitamos y los mensajes que recibimos en busca de amenazas. También podemos ejecutar análisis bajo demanda de los elementos que deseemos y consideremos sospechosos. Antes de ejecutar una aplicación, Avast! realiza un análisis automático.

También nos facilita información sobre los permisos que solicitan las aplicaciones que vamos a instalar en el terminal. La solución de seguridad se completa con filtro para contactos, bloqueador de llamadas y mensajes, además de opciones antirrobo. Lo mejor de todo es que es totalmente gratuita.

Dr. Web Antivirus: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Dr. Web Antvirus viene desde Rusia para ayudarnos a proteger nuestro dispositivo móvil de virus y correos basura. La protección antivirus está conectada en todo momento, de la misma forma que el filtro inteligente de SMS y llamadas. El fabricante nos garantiza que la aplicación no afecta al rendimiento del sistema operativo.

También cuenta con escaneo bajo demanda, cuarentena de amenazas, protección de tarjetas SD, estadísticas de virus y widgets para añadir en el escritorio. En estos momentos la versión completa se puede descargar de forma gratuita, aunque normalmente tiene un coste. Tiene una buena valoración en Google Play.

Ikarus: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ikarus es un antivirus algo diferente, ya que no monitoriza en tiempo real el equipo y se limita a ejecutar escaneos bajo demanda. Estos escaneos se pueden programar para que sean realizados periódicamente. Su principal ventaja es que no consume tanta batería, al no estar ejecutándose constantemente en segundo plano. Encontraremos la versión completa por 19,95 euros en Google Play.

Prey: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Después de los antivirus, vamos con las aplicaciones antirrobo, donde Prey es toda una referencia. Después de instalarla, crearemos una cuenta que nos permitirá controlar el dispositivo desde un ordenador. Podemos activar la alarma de forma remota con un simple SMS, que puede ser muy útil en caso de robo. Desde el ordenador seremos capaces de localizarlo y bloquearlo. Cuenta con un modo de camuflaje para que el ladrón no sepa que la tenemos instalada en el dispositivo. La aplicación es gratuita en Google Play.

Locate my Droid: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Esta es una aplicación muy simple, que solo con abrirla, comenzará a guardar datos sobre nuestra posición. No necesita ningún tipo de configuración adicional, ya que basta con tener una cuenta de Google para acceder al servicio desde un ordenador. Está disponible de forma gratuita.

Plan B: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Nos permite localizar nuestro smartphone sin necesidad de haber instalado previamente la aplicación, lo que hace que esta aplicación sea diferente y especial. Se puede conseguir de forma gratuita en Google Play, aunque solo está disponible para terminales con sistema operativo anterior a Ice Cream Sandwich.

Fuente: ASDLZONE

besos 

Día tras día el uso de las redes P2P se está viendo cada vez más entorpecido por culpa de las leyes que sacan los países. Nos pasó hace tiempo con la Ley Sinde y nos está volviendo a pasar con la Ley Lassalle que pretende acabar con las redes de pares.

Una universidad japonesa ha lanzado un nuevo proyecto que pretende facilitar el acceso a docenas de redes VPN para que la gente pueda navegar y descargar datos de internet de una forma anónima y segura sin que nadie espíe su tráfico.


Hay países, por ejemplo, China, que censura páginas tan conocidas como Twitter e incluso Youtube. También The Pirate Bay es bloqueado en gran parte de los países por sus respectivos gobiernos con el fin de evitar que los usuarios descarguen archivos desde dicha red.

Gracias al proyecto japonés en cuestión de apenas unos minutos podemos configurar una red VPN en nuestro equipo para poder saltarnos todas las barreras que nos ponen tanto los gobiernos como los ISP para acceder a determinadas páginas y de igual manera poder descargar archivos de la red sin miedo a una posible sanción.

El proyecto es denominado VPN Gate y podemos acceder a toda la información al respecto desde su página web. Funciona en cualquier dispositivo ya sea Windows, Linux, Mac, Android o iOS sin ningún problema ni ninguna dificultad. Además no es necesario un registro en la web para acceder a dichos servidores VPN por lo que no quedaremos registrados en la web.

Desde la web de VPN Gate tendremos acceso a la lista (en constante aumento) de los servidores VPN que facilitan su servicio al proyecto. En todos ellos el usuario y la contraseña de conexión son vpn, así como la clave pre-shared. La IP dependerá del servidor al que nos conectemos.

¿Cómo conectarnos?

Dependiendo del protocolo que utilicemos para conectarnos a alguna de las VPN que tenemos disponibles (SSL VPN, IPSEC, OpenVPN, etc) necesitaremos instalar un software externo o se podrá hacer desde el propio sistema operativo. Lo más recomendable al ser multiplataforma y no tener que depender de ningún software será utilizar el protocolo IPSEC u OpenVPN.

Desde la página web del proyecto tenemos una guía que nos explica cómo nos conectaremos en los diferentes sistemas operativos paso a paso: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Pruebas realizadas.

En primer lugar, para realizar las pruebas hemos hecho un test de velocidad con la conexión libre, sin proxy, VPN ni nada que interfiera de manera intermedia.


Vamos a conectarnos a un proxy para realizar la prueba de los disponibles en la lista de la web del proyecto. Hemos elegido un servidor de EEUU que utiliza el protocolo IPSEC y tiene una velocidad teórica de 18Mb. Al estar conectándonos a un servidor tan lejano vamos a notar bastante pérdida.


Una vez conectado al servidor VPN volvemos a realizar un test de velocidad para ver el rendimiento.


Hemos perdido bastante velocidad de navegación y tenemos una mayor latencia, pero sin embargo podremos saltarnos prácticamente cualquier bloqueo de cualquier web. Para ser unos servidores gratuitos y de acceso para todo el mundo no está tan mal el resultado.

Fuente: ADSLZONE

besos 

El cambio de IPv4 a IPv6 no hará que las redes sean automáticamente más seguras.

IPv6 fue diseñado para ser más seguro que IPv4, por ejemplo, IPsec está integrado de forma nativa en IPv6 para autenticar y cifrar los paquetes de datos.

La fragmentación de paquetes en IPv6 funciona de diferente manera que en IPv4, ya que no permite la fragmentación/reensamblado en routers intermedios, sólo se permite en los host finales por lo que los ataques de fragmentación de paquetes ya no servirían de mucho como hasta ahora.

Estas dos características dotan a IPv6 de mayor seguridad.


Por otra parte, IPv6 no está lo suficientemente probado para garantizarnos seguridad, se requieren más pruebas de seguridad y precaución, sobre todo en su despliegue inicial. Muchos cortafuegos y detectores de intrusiones todavía no son 100% compatibles con este nuevo protocolo de red.

La transición a IPv6 de forma completa es la parte más peligrosa, ya que habrá túneles de tráfico IPv6 a través de IPv4 y podríamos tener graves problemas de seguridad. Deberíamos crear dispositivos para inspeccionar este tráfico a través del túnel ya que podrían inyectar tráfico malicioso. Con IPv6 se sabría de una forma fácil el origen del tráfico.

Según Aashu Virmani, la seguridad en la capa de aplicación (por encima de la capa de red y transporte) debería estar presente, y más teniendo en cuenta que los dispositivos móviles están creciendo exponencialmente.

Tienes más información sobre este tema AQUÍ (Inglés) You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente: ADSLZONE

besos 

En los anteriores artículos vimos una larga introducción sobre qué es IPv6, sus ventajas y sus principales características.

También vimos cómo se está haciendo la transición al nuevo protocolo de red, transición de IPv4 a IPv6.

Ahora nos centraremos en nosotros, en los usuarios finales, ¿qué debemos modificar de nuestra red? ¿deberemos comprar routers compatibles con IPv6? ¿Valen nuestras tarjetas de red cableadas o inalámbricas? ¿Y el sistema operativo?

Todas estas preguntas tendrán respuesta a continuación.

La mayor parte de sistemas operativos tienen soporte con IPv6, no deberemos hacer absolutamente nada ya que está activado por defecto en las últimas versiones de los sistemas operativos. También incluimos teléfonos móviles, PDA, consolas, tal vez estas plataformas sufran algún que otro inconveniente al no poder configurar tantos parámetros como en los sistemas operativos para PC.

En plataformas Windows, a partir de Windows XP Service Pack 1, lo lleva integrado. Podemos comprobarlo en Centro de Redes, propiedades de la tarjeta de red ethernet (o inalámbrica) y nos aparecerá IPv6, y justo al lado IPv4.

Abrimos una consola de cmd.exe y ponemos: ping ::1


Alguna de las características que incluyen son: Autoconfiguración, túneles 6in4, túneles 6to4, túneles teredo e IPSec.

Para nuestros lectores linuxeros, decirles que a partir de la versión 2.4 de Kernel, viene incluido IPv6.

Para comprobar si está instalado abrimos la consola y:

#test -f /proc/net/if_inet6 && echo "Soportamos IPv6″

Para comprobar si el módulo IPv6 está cargado:

#lsmod | grep -w 'ipv6′ && echo "Cargado correctamente"

Y de la misma forma que antes, podemos hacer un ping a nuestro localhost en IPv6.

En el siguiente volumen, hablaremos de IPv6 de forma más práctica en el firmware Tomato RAF

Fuente: ADSLZONE

besos 

Bienvenido al foro espero que sea de tu agrado 


besos