Archive for the ‘Informática’ Category

O.S. fingerprinting como medida antispam

Friday, October 3rd, 2008

Hay ocasiones en que el tema del spam me recuerda a una escalada armamentística, en la que las dos partes de un conflicto van evolucionando sus medios y técnicas para obtener ventaja sobre el otro. Un ejemplo de esta escalada en el campo del spam son los filtros bayesianos: hace ya un tiempo los sistemas antispam implementaron filtros bayesianos [Wikipedia], que básicamente son unos algoritmos que son capaces de “leer” los correos y puntuar cuan probable es que ese correo sea spam. Algunos spammers reaccionaron enviando los correos con una imagen en la que incluían el texto de manera que los filtros bayesianos no pudieran leerlo. Para combatir esta técnica, los sistemas antispam implementaron sistemas de reconocimiento de carácteres (OCR) para poder “leer” el texto contenido en las imágenes, a lo que los spammers reaccionaron modificando el fondo de las imágenes para hacer más difícil el reconocimiento. Etc.

En este post os voy a explicar una técnica para luchar contra el spam que he descubierto recientemente y como configurarlo.

Introducción

Esta técnica antispam sólo es útil si se implementa a nivel de servidor de correo, y se fundamenta en dos pilares:

  1. Como se puede suponer del título del post, uno de los pilares es la detección de la versión del sistema operativo del servidor remoto que está intentando entregar un correo a una de las direcciones que alojamos.
  2. El otro pilar es el hecho de que nadie en su sano juicio instalaría un servidor de correo sobre un Windows XP, ya que está destinado a estaciones de trabajo y no a servidores. Pero incluso así, la gran mayoría de spam proviene de Windows XP, que seguramente tendrán instalado un virus que los convierte en relayers.

Es decir, si somos capaces de determinar que correos entrantes nos los está enviando un Windows XP, lo podremos usar para diferenciar mejor el correo legítimo del spam.

(more…)

Portal captivo muy simple

Sunday, September 21st, 2008

Introducción

Recientemente se me ocurrió la idea de si sería posible que si un equipo no registrado se conectara a una red privada (un consultor que llega a una empresa, por ejemplo) se le presentara una página web indicando que debe ponerse en contacto con el soporte técnico para que le den acceso. Vaya, una especie de portal captivo pero mucho más simple.

Después de darle unas pocas vueltas llegué a una posible solución, que es la que voy a exponer a continuación. Mi intención no es dar una configuración detallada al 100%, básicamente porque no dispongo de un entorno donde poderlo probar todo. Lo que quiero es dar las ideas y poner parte de las configuraciones necesarias para conseguirlo.

La idea es la siguiente:

  1. Tenemos el DHCP configurado de tal manera que a los equipos de la red se les asigna siempre la misma dirección IP de un determinado rango a partir de su dirección MAC. A las MACs no registradas les asignamos una dirección IP de un pool formado por direcciones de una rango totalmente diferente al de la red que se le asigna a las MACs conocidas y que no está enrutada (por tanto no tiene salida fuera de la red local). El pool “captivo” estará configurado para que el servidor DNS que se asignará a esos dispositivos sea uno que estará en el mismo segmento de red y dentro de la misma red IP que las direcciones (recordad que la red del pool no esta enrutada).
  2. Configuraremos el servidor DNS que usaran esos equipos no registrados de manera que resuelva todos los nombres de dominio con una misma dirección IP, la de un servidor local que también estará dentro de la misma red IP que el pool (que es la única red que pueden ver).
  3. Y el servidor Web siempre devolverá la misma página independientemente de la URL que se le solicite. En esa página se le indicará al usuario que el equipo desde el que está accediendo no esta autorizado, que se ha registrado su acceso y que se ponga en contacto con el soporte técnico para que le den acceso.

Por ejemplo, supongamos que en nuestra red usamos las direcciones 192.168.0.0/24, que el DNS “bueno” está en la dirección 192.168.0.1 y el default gateway también es el 192.168.0.1. Para las MACs no registradas, el pool tendrá direcciones de la red 172.16.0.0/24, de la 172.16.0.16 a la 172.16.0.254, el servidor DNS para los equipos no registrados será la 172.16.0.1 y el servidor web estará en la misma máquina.

De esta forma, cuando alguien enchufe un PC a la red y no lo haya notificado previamente, cuando intente acceder a alguna web le saldrá la página que le indicará que debe registrar su equipo.

Configuración

Vamos a ver como debemos configurar los diferentes servicios que intervienen para implementar esta funcionalidad.

DHCP

La configuración del servidor de DHCP no tiene mucho misterio. Básicamente es traducir los requisitos a nivel de DHCP a configuración. Pego la parte relevante de la configuración.

/etc/dhcp.conf

shared-network LAN {
  subnet 172.16.0.0 netmask 255.255.255.0 {
    allow unknown-clients;
    option routers 172.16.0.1;
    option domain-name-servers 172.16.0.1;
    range   172.16.0.16 172.16.0.254;
    max-lease-time 30;
    default-lease-time 30;
  }

  subnet 192.168.0.0 netmask 255.255.255.0 {
    option routers 192.168.0.1;
    option domain-name-servers 192.168.0.1;
    option subnet-mask 255.255.255.0;
    max-lease-time 86400;
    default-lease-time 86400;
  }
}

# Equipos registrados
group {
  host PC1 {
    hardware ethernet 00:01:02:e7:ef:15;
    fixed-address 192.168.17;
  }

  host PC2 {
    hardware ethernet 00:00:21:cb:22:fa;
    fixed-address 192.168.18;
  }
}

Bind

Como servidor DNS usaremos el Bind y tal y como he comentado anteriormente, debemos configurarlo de manera que resuelva cualquier nombre de dominio que le solicitemos con la dirección IP del servidor en el que configuraremos el Apache. Por suerte, Bind tiene soporte de wildcards.

Importante: poner el TTL de esas resoluciones muy bajo, varios segundos a lo sumo. Si no, tras registrar el PC, seguiría sin ver las páginas a las que hubiera intentado acceder mientras tenÍa configurado el DNS del portal captivo ya que la cache de DNS de su S.O. seguiría “resolviendo” el nombre de dominio como la IP de la web del portal captivo.

/etc/bind/named.conf

options {
  directory "/var/cache/bind";
  listen-on { 172.16.0.1; };
  version "Captive Portal DNS Server";
  recursion no;
};

zone "." {
  type master;
  file "/etc/bind/db.captive";
};

/etc/bind/db.captive

$TTL    1
@       IN      SOA     captive.local. netmaster.local. (
                        0000001         ; Serial
                        604800         ; Refresh
                        86400         ; Retry
                        2419200         ; Expire
                        1 )       ; Negative Cache TTL
;
@       IN      NS      captive.local.
*.      IN      A       172.16.0.1

Apache

Partiremos de una instalación estándar de Apache2 de Debian y configuraremos el host virtual por defecto de manera que la web tendrá simplemente una página HTML y como mucho unas cuantas imágenes (por ejemplo, el logo de la empresa). También configuraremos unas reglas de rewrite para que pidan la URL que pidan salga la misma página.

Importante: para evitar problemas con las caches de los navegadores, la página debería tener una cabecera de Cache-Control forzando que el navegador siempre se la descargue en cada consulta.

/etc/apache2/sites-available

<Directory /var/www/>
  Options Indexes FollowSymLinks MultiViews
  AllowOverride FileInfo
  Order allow,deny
  allow from all
</Directory>

Pondremos el index.html que queramos mostrar en /var/www/index.html y crearemos el fichero .htaccess con las reglas de reescritura y de no-cache:

/var/www/.htaccess

<IfModule mod_rewrite.c>
  RewriteEngine On
  RewriteBase /
  RewriteCond %{REQUEST_FILENAME} !-f
  RewriteCond %{REQUEST_FILENAME} !-d
  RewriteRule . /index.html [L]
</IfModule>

<IfModule mod_headers.c>
  Header set Cache-Control "no-cache"
</IfModule>

No debemos olvidarnos de habilitar los modulos de rewrite y header:

a2enmod rewrite
a2enmod headers

Y con esto ya tendríamos nuestro portal captivo.

Mejoras

Si no quisiéramos/pudiéramos tener un servidor dedicado al portal captivo, podríamos poner la configuración necesaria de DNS en una vista y configurar el Bind para que las IPs del rango captivo fueran a esa vista en particular, y a nivel de Apache podríamos usar un Virtual Host basado en dirección IP. Si alguien no supiera como hacerlo, le debería ser bastante fácil encontrar documentación en Internet sobre somo hacerlo.

Si lo que nos interesa es que los equipos no registrados no tengan ningún tipo de conectividad, escenario mucho más seguro, deberemos pensar en una solución basada en 802.1x. Pero para ello, tanto la electrónica de red como los equipos deben soportar ese protocolo.

Did you know?

Thursday, May 29th, 2008

Para aquellos de vosotros que todavia me leeis, os dejo un cromo: un video/presentación que estoy seguro os gustará.

Espero vuestros comentarios.

Link

Vídeo de un TFT transparente

Saturday, March 11th, 2006

¿Recordáis las fotos de portátiles con las pantallas transparentes? Pues no hace mucho vi el mismo efecto pero en un vídeo y me pregunté si sería capaz de hacerlo. Bueno, aquí tenéis el resultado:

Transparent TFT

¿Quieres saber cómo lo hice?, sigue leyendo…

(more…)

Fotografías panorámicas

Sunday, November 13th, 2005

Recientemente he descubierto un conjunto de utilidades libres que nos permiten juntar una serie de fotografías para crear una fotografía panorámica: hugin, enblend y autopano-sift.

Estoy preparando un articulo con mis experiencias, pero para ir abriendo boca podéis echarle una ojeada a mis primeras pruebas:

Actualización: He movido el applet a una página aparte para aligerar la página principal.

Los primeros routers: Interface Message Processor

Wednesday, November 9th, 2005

Interface Message Processor photographyA finales de los ’60, principio de los ’70, la agencia estadounidense ARPA se propuso conectar los mainframes de varias universidades norteamericanas usando conmutación de paquetes, creando la red que se conocería como ARPANET y que sería la precursora de la Internet actual.

En un principio se propuso que fueran los propios mainframes de las universidades los que se encargasen del enrutado de paquetes, pero en aquellos tiempos la potencia de cálculo era extremadamente preciosa y los administradores de los mainframes estaban preocupados por el efecto negativo que podría tener ese trabajo extra en sus máquinas. Por eso, finalmente se decidió que el trabajo duro de enrutado lo llevase a cabo un dispositivo externo que se conoció como IMP, que era un minicomputador (supongo que en aquellos tiempos tenían un concepto diferente de lo que es mini porque, a mi, algo del tamaño de una nevera no me parece pequeño :-D ), en concreto un Honeywell 516 como el que se puede ver en la foto de al lado. El desarrollo de los IMP fue llevado a cabo por la empresa BBN Technologies que, sorprendentemente, todavía existe.

Los IMP estaban conectados mediante lineas dedicadas de 50kbps fullduplex. En un momento determinado, se decidió que era necesario conectar esta red a otras como SATNET y ALOHANET, entre otras. Cada una de estas redes tenía sus protocolos y había que encontrar una forma de que todas ellas pudieran comunicarse, lo que impulso la creación del protocolo TCP, que posteriormente se partió en dos: TCP e IP.

Digo que fueron los primeros “routers” porque, hasta entonces, la conmutación de paquetes no había sido nada más que un ejercicio teórico. De hecho, ARPA le ofreció a AT&T el desarrollo de la red pero esta declinó la oferta ya que consideraba que la conmutación de paquetes no funcionaría nunca.

Todo esto y más (como por qué usamos la @ en las direcciones de correo) lo podéis encontrar en el libro “Where wizards stay up late”, lectura que os recomiendo.

Como curiosidad, el último IMP fue apagado en 1989.

Logos de Google

Monday, October 31st, 2005

Es sabido por todos que Google tiene la costumbre de alterar el logo de su página en fechas señaladas. Por ejemplo, hoy lo han cambiado para celebrar el día de Halloween. Bien, pues hoy he encontrado la galería con todos esos logos que Google ha usado desde 1999.

Mientras miraba los logos del 2004, en concreto el del 1 de abril ;-) , he visto que Google quiere abrir una oficina en la luna y buscan empleados. Si os animáis, podéis enviarles un correo a lunarjobs@google.com.

Para finalizar, mientras leía esa “oferta de empleo” he encontrado un listado con mil y una formas de buscar “Britney Spears”.

Plugin para WordPress: post-to-speech

Saturday, October 29th, 2005

En la edición del pasado Agosto de la revista online Linux Gazette, leí un artículo que explicaba como generar Audiobooks a partir de varios formatos de libros electrónicos. Después de leerlo pensé si sería capaz de adaptarlo para generar automáticamente podcasts a partir de los posts de un blog. De esta manera los lectores de ese blog podrían descargar los ficheros de audio y escucharlos con su reproductor multimedia portátil mientras van, por ejemplo, en el autobús.

La verdad es que no me ha costado mucho tener algo que funcione. He programado un plugin para WordPress que se encarga de generar el fichero de audio al editar un post. El plugin utiliza el Festival para pasar el texto a audio, y el LAME para codificar ese audio en MP3. De momento sólo tiene soporte para castellano, ya que el idioma está hardcoded en el script que llama a Festival.

Para más información, podéis ir a la página del plugin.

Nueva “broma” de Google

Thursday, October 27th, 2005

Supongo que todos recordaréis que ocurría cuando buscabas “conejito” o “hell” en Google. Yo acabo de descubrir una nueva, al menos para mi ;-) , en un blog (WRT) que me he encontrado por casualidad: en Google, buscas failure y pulsas sobre “I’m feeling lucky”. Es para partirse. Como no creo que le haga mucha gracia a según que pez gordo, me he guardado unas capturas de pantalla que colgaré por aquí si lo quitan.

Por cierto, para aquellos que no lo recuerden, cuando buscabas “conejito” en Google, te salia un mensaje de “Quiso decir c**o”. Y al buscar “hell”, el primer enlace era a Microsoft.

The Internet Protocol Journal

Tuesday, October 25th, 2005

Hace unas semanas descubrí la existencia de la publicación técnica de The Internet Protocol Journal. A pesar de ser una revista hecha por Cisco, no es una publicación publicitaria, como mínimo los números que yo he leído no lo son. La revista está disponible en su web en HTML o PDF (incluidos los números anteriores), pero podemos suscribirnos gratuitamente para que nos envíen un ejemplar en papel. Yo ya me he suscrito, pero como la publicación es trimestral, todavía no he recibido ninguno así que no os puedo contar que tal.

Para que os hagáis una idea de la temática, en los pocos ejemplares que he tenido tiempo de leer he encontrado artículos como “A pragmatic report on IPv4 address space consumption”, “Practical uses of SSH tunneling in the internetworking”, “High Availability in Routing”, “IPv6 Autoconfiguration”, etc. Tampoco penséis que se centran en una plataforma en concreto (estoy pensando en sus routers). Por ejemplo, en el artículo de túneles SSH se ve como se configura un Putty en un Windows, en el de autoconfiguración de IPv6 hablan de una RedHat.

Bueno, algo más que leer en el tiempo libre. Si alguien lo lee, que cuente lo que le ha parecido.