Fernando Garcia

Dentro de todos los ataques que podemos encontrar en la red, los DDoS han aumentado mucho en los últimos años. Se trata de un problema que tiene como objetivo provocar una denegación de servicios. Por ejemplo puede hacer que una página web no esté disponible para los usuarios. Envían multitud de solicitudes para que colapse. En este artículo nos hacemos eco de cómo utilizan los servidores del escritorio remoto de Windows para ampliar ataques DDoS.

Usan servidores del escritorio remoto de Windows en DDoS

Hay que tener en cuenta que todos los servicios en remoto han ganado popularidad en los últimos tiempos. La pandemia del Covid-19 ha traído cambios importantes y uno de ellos es en la manera en la que nos conectamos a Internet, nos comunicamos y, también, trabajamos. Esto supone una oportunidad para los ciberdelincuentes, que encuentran nuevos métodos donde poder explotar sus ataques. A fin de cuentas suelen atacar aquello que cuenta con más usuarios.

Esta vez se trata del escritorio remoto de Windows (RDP, por sus siglas en inglés). Lo utilizan con el fin de amplificar los ataques de denegación de servicio distribuido (DDoS). El servicio de RDP viene integrado en el sistema operativo Windows y utiliza los puertos TCP 3389 y/o UDP 3389. Permite el acceso autenticado a la infraestructura de escritorio virtual a servidores y estaciones de trabajo.

Según alertan desde Netscout, hay alrededor de 14.000 servidores RDP de Windows vulnerables y que pueden ser accesibles a través de Internet. Ahora son utilizados por este nuevo vector de amplificación DDoS. Ha sido agregado como arma de lo que se conocen como booters, los servicios DDoS de alquiler. Esto hace que esté disponible para la población general.

Alquilan servicios de booters para lanzar ataques DDoS a gran escala dirigidos a servidores o sitios que puede tener diferentes motivos, lo que desencadena una denegación de servicio que comúnmente los derriba o causa interrupciones.

Cómo evitar este problema y estar protegidos

Una organización que se vea afectada por este problema de amplificación de ataques DDoS aprovechando los servidores RDP de Windows podría experimentar el bloqueo completo de los servicios de acceso remoto, así como interrupciones continuas.

Es posible evitar este problema al crear un filtro de todo el tráfico en UDP 3389. Podría mitigar esos ataques, pero también podría bloquear conexiones y tráfico legítimos, algo que incluye las respuestas de la sesión RDP.

Otra opción es deshabilitar completamente el servicio vulnerable basado en UDP en los servidores RDP de Windows o hacer que los servidores estén disponibles solo a través de VPN trasladándolos detrás de un dispositivo de red concentrador de VPN.

De la misma manera, también es recomendable que las organizaciones en riesgo que implementen defensas DDoS para servidores públicos para asegurarse de que puedan responder adecuadamente a un ataque DDoS entrante.

Es importante siempre evitar este tipo de ataques. En otro artículo hablábamos de cómo mitigar ataques DDoS en servidores. Una serie de recomendaciones que debemos poner en práctica para no comprometer la seguridad y no tener problemas en la red.

El artículo Usan servidores del escritorio remoto de Windows para ampliar ataques DDoS se publicó en RedesZone.

Cuando queremos comprobar la conectividad todos solemos utilizar el comando Ping, una herramienta que envía paquetes ICMP a un servidor específico para saber si la comunicación es correcta o hay algún problema. Sin embargo, esta herramienta es muy sencilla y no permite prácticamente ninguna modificación de los paquetes, ni utilizar otros protocolos para el envío de información. Hping3 es una aplicación más avanzada, que nos va a permitir modificar los paquetes que se envían a través del protocolo TCP/IP, de manera que podamos disponer de un control mucho mayor de estos paquetes, pudiendo adaptarlos en función de nuestras necesidades.

Principales características

Hping3 es una aplicación de terminal para Linux que nos va a permitir analizar y ensamblar fácilmente paquetes TCP/IP. A diferencia de un Ping convencional que se utiliza para enviar paquetes ICMP, esta aplicación permite el envío de paquetes TCP, UDP y RAW-IP. Junto al análisis de los paquetes, esta aplicación puede ser utilizada también con otros fines de seguridad, por ejemplo, para probar la eficacia de un firewall a través de diferentes protocolos, la detección de paquetes sospechosos o modificados, e incluso la protección frente a ataques DoS de un sistema o de un Firewall.

En el pasado, esta herramienta se utiliza para temas de ciberseguridad, pero también podemos usarla para probar redes y hosts. Algunas de las principales aplicaciones que podemos hacer con esta herramienta son las siguientes:

• Comprobar la seguridad y el funcionamiento de los firewalls.
• Usarla como un escaneo avanzado de puertos, aunque es mejor usar Nmap para esta tarea.
• Pruebas de red usando diferentes protocolos, ToS, fragmentación etc.
• Descubrir el MTU en la ruta de forma manual.
• Traceroute avanzado usando todos los protocolos admitidos
• Huella digital remota del sistema operativo
• Comprobar el tiempo de distancia
• Auditoría de pilas TCP/IP

Debido a la gran cantidad de posibilidades de esta herramienta, en RedesZone vamos a enseñaros los principales usos y cómo hacerlo.

Instalar Hping3

Hping3 se encuentra disponible en los repositorios oficiales de Ubuntu, Debian y también otras distribuciones de Linux, por lo que para instalarlo simplemente debemos abrir un terminal (o un gestor de paquetes como Synaptic) y teclear en él:

La herramienta ocupará unos 3.600 KB que, una vez se instalen, ya podremos empezar a utilizar.

Listado de comandos de Hping3

Las funciones que nos admite este programa son inmensas. Desde realizar un sencillo ping hasta enviar paquetes a través de un puerto determinado incluso ocultando la IP de origen. Si queremos conocer a fondo todos los parámetros que nos ofrece este programa podemos consultar la ayuda incluida en la herramienta simplemente tecleando en el terminal:

Uso básico de la herramienta:

• v –version muestra la versión actual de hping3
• -c –count contador de paquetes
• -i –interval tiempo de espera (uX para X microsegundos, por ejemplo -i u1000)
  • –fast alias para -i u10000 (10 paquetes por segundo)
  • –faster alias para -i u1000 (100 paquetes por segundo)
  • –flood envía paquetes lo más rápido posible, no muestra las respuestas.
• -n –numeric salida con números
• -q –quiet comando silencioso sin que lo muestre por pantalla
• -I –interface nombre de la interfaz, si no se pone nada, por defecto es la interfaz de la puerta de encima predeterminada.
• -V –verbose modo verbose para depuración
• -D –debug información de debugging
• -z –bind enlaza ctrl+z a ttl (por defecto al puerto de destino)
• -Z –unbind desenlaza ctrl+z
• –beep beep por cada paquete recibido que coincida

Modos:

• Modo por defecto es TCP
• -0 –rawip modo RAW IP
• -1 –icmp modo ICMP
• -2 –udp modo UDP
• -8 –scan modo SCAN mode.
• -9 –listen modo escuchar

Ejemplo: hping –scan 1-30,70-90 -S www.objetivo.com

IP:

• -a –spoof spoofea la dirección IP de origen
  • –rand-dest dirección IP de destino aleatorio.
  • –rand-source dirección IP de origen aleatorio.
• -t –ttl ttl (por defecto 64)
• -N –id id (por defecto aleatorio)
• -W –winid usa el orden de bytes win*id
• -r –rel relativiza el campo de identificación (para estimar el tráfico del host)
• -f –frag fragmenta paquetes en más de un fragmento, puede atravesar ACL débiles
• -x –morefrag fragmenta más
• -y –dontfrag no fragmenta paquetes.
• -g –fragoff establece el offset del fragmento
• -m –mtu establece un MTU virtual, implica que el fragmento del paquete sea mayor que el MTU.
• -o –tos tipo de servicio (por defecto 0x00), intenta hacer –tos help
• -G –rroute incluye la opción RECORD_ROUTE y muestra el buffer de la ruta
  • –lsrr enrutamiento de origen suelto y registro de ruta
  • –ssrr enrutamiento de origen estricto y registro de ruta
• -H –ipproto establece el protocolo IP, solamente para modo RAW IP.

ICMP:

• -C –icmptype tipo de ICMP (por defecto es ICMP Echo request)
• -K –icmpcode código ICMP (por defecto es 0)
  • –force-icmp envía todos los tipos de ICMP (por defecto solo envía los tipos soportados)
  • –icmp-gw establece dirección de puerta de enlace predeterminada para ICMP redirect (por defecto 0.0.0.0)
  • –icmp-ts alias para –icmp –icmptype 13 (ICMP timestamp)
  • –icmp-addr alias para –icmp –icmptype 17 (ICMP dirección de máscara de subred)
  • –icmp-help muestra la ayuda para otras opciones icmp.

Códigos de ICMP

Es muy útil saber algunos códigos de ICMP que nos podría llegar a mostrar hping3, a continuación, tenéis todos los más utilizados:

TCP/UDP

• -s –baseport puerto de origen base, por defecto es aleatorio
• -p –destport [+][+]<port> puesto de destino (por defecto 0) ctrl+z inc/dec
• -k –keep mantener el puerto de origen
• -w –win tamaño de ventana, por defecto 64
• -O –tcpoff establece desplazamiento de datos tcp falso (en lugar de tcphdrlen / 4)
• -Q –seqnum muestra solamente el número de secuencia
• -b –badcksum (try to) envía paquetes con el IP checksum falseado, muchos sistemas solucionarán este checksum al enviar el paquete, así que tu tendrás un checksum erróneo a nivel de UDP/TCP.
• -M –setseq establece el número de secuencia TCP
• -L –setack establece TCP ack
• -F –fin establece FIN flag
• -S –syn establece SYN flag
• -R –rst establece RST flag
• -P –push establece PUSH flag
• -A –ack establece ACK flag
• -U –urg establece URG flag
• -X –xmas establece X flag sin usar(0x40)
• -Y –ymas establece Y flag sin usar (0x80)
  • –tcpexitcode usa el último tcp->th_flags como código de salida
  • –tcp-mss habilita la opción TCP MSS con el valor dado
  • –tcp-timestamp habilita la opción TCP timestamp para adivinar el tiempo de uptime.

Opciones comunes a todos

• d –data tamaño de los datos, por defecto es 0.
• -E –file datos desde un archivo.
• -e –sign agrega una firma
• -j –dump vuelca los paquetes en hexadecimal
• -J –print vuelca los caracteres imprimibles
• -B –safe habilita protocolo «safe»
• -u –end te dice cuando un archivo ha llegado hasta el final
• -T –traceroute modo traceroute (implica –bind y –ttl 1)
  • –tr-stop Salida cuando se recibe el primer paquete que no es ICMP en modo traceroute
  • –tr-keep-ttl Mantiene el TTL del origen fijo, útil para monitorear solo un salto
  • –tr-no-rtt No calcula y no muestra información RTT en modo traceroute
• Descripción de paquete ARS (nuevo e inestable)
  • –apd-send Envía paquetes descritos con APD

Ejemplos de utilización de Hping3

Prueba de Ping sencilla

Podemos utilizar esta herramienta como el comando ping convencional, obteniendo prácticamente los mismos resultados. Para ello simplemente debemos teclear:

Y veremos cómo se realiza esta prueba sencilla de conexión. (Podemos cambiar el dominio de Google por cualquier otro o utilizar directamente una IP para hacer ping a ella).

Trazar ruta de conexión

De forma similar a la opción «tracert» de Windows o «traceroute» de Linux, con esta herramienta también podemos seguir todos los saltos entre redes de un paquete desde que sale de nuestro ordenador hasta que llega a su destino, pudiendo conocer en todo momento si hay algún tipo de problema en la conexión.

Para ello simplemente debemos teclear:

Escaneo de puertos usando el flag SYN de TCP

Esta herramienta también nos permite enviar paquetes bajo el protocolo TCP, al más puro estilo Nmap. Para realizar un escaneo a través de este método teclearemos en el terminal «hping3 –S [IP Destino] –p [Puerto]» quedando el resultado similar a lo siguiente:

El resultado de este test nos devolverá un flag SA quiere decir que corresponde con SYN/ACK, es decir, que la comunicación ha sido aceptada, o lo que es lo mismo, que el puerto está abierto. De lo contrario, si el valor es RA corresponde a RST/ACK o lo que es lo mismo, que la comunicación no se ha realizado correctamente porque el puerto está cerrado o filtrado.

De esta manera podremos conocer, por ejemplo, si se permite la comunicación a un determinado puerto, o si de lo contrario el Firewall lo está filtrando.

Firmar paquetes con un archivo de texto personalizado

Es posible utilizar esta herramienta para modificar los paquetes que enviamos e introducir en ellos un mensaje personalizado de forma similar a una firma. Para ello simplemente debemos teclear:

Este comando introducirá dentro de los paquetes de Ping el contenido del archivo txt indicado. Si analizamos dichos paquetes con un software adecuado como WireShark veríamos que dentro de ellos está el contenido del fichero en cuestión.

Los parámetros introducidos significan:

• -d : La longitud del mensaje que vamos a introducir, en este caso, 50.
• -E : Fichero del que vamos a coger la firma mensaje que queremos introducir a los paquetes.

Igualmente podemos utilizar otros parámetros, por ejemplo, -p para indicar el puerto al que queremos enviar dichos paquetes o -2 para enviar los paquetes a través del protocolo UDP.

Generar múltiples peticiones para probar la protección DoS y DDoS

Esta herramienta también nos va a permitir comprobar la estabilidad de nuestro sistema frente a ataques de red como DoS y DDoS generando pruebas reales, ya sea hacia localhost como hacia otro servidor dentro (o fuera) de la red.

Podemos realizar una serie de pings únicos modificando la IP de origen de los mismos en los paquetes TCP/IP simplemente tecleando:

Igualmente, podemos añadir el parámetro –flood para que los paquetes se envíen en tiempo real de forma masiva. De esta forma podremos comprobar, en primer lugar, si nuestro cortafuegos funciona y, en segundo lugar, qué tal responde nuestro sistema ante un amago de ataque DDoS.

Para ello teclearemos:

En tan sólo un par de segundos hemos generado más de 25.000 paquetes, por lo que debemos tener cuidado ya que puede quedar nuestra red bloqueada e inservible.

Con esto se empezarán a generar un gran número de paquetes con un «falso origen» (gracias al parámetro rand-source) que se enviarán de forma continua al servidor de destino (en este caso 192.168.1.1). De esta manera podremos comprobar la robustez de nuestro sistema frente a los ataques DDoS ya que, si el sistema deja de funcionar o se bloquea es posible que haya un fallo de configuración y que debamos aplicar las medidas correspondientes para evitar que esto pueda pasar en un entorno real.

Esta herramienta es muy útil, aunque siempre debe utilizarse en entornos cerrados y controlados ya que de salir al exterior es posible que terminemos por realizar un ataque de denegación de servicio a un equipo que no debamos, siendo esto ilegal y pudiendo terminar sancionado por ello.

Os recomendamos acceder al MAN PAGE oficial de hping para conocer todas sus opciones.

El artículo Descubre Hping3 para manipular paquetes TCP/IP y hacer ataques se publicó en RedesZone.

El sistema operativo orientado a cortafuegos pfSense, es uno de los firewalls más utilizados en pequeñas y medianas empresas. Gracias a sus amplias opciones de configuración a nivel de red, de seguridad y a sus diferentes tipos de VPN, podremos cubrir las principales necesidades de las empresas. Aunque PfSense incorpora una gran cantidad de servicios, siempre vamos a poder instalar servicios adicionales que son compatibles con el sistema operativo, como un IDS/IPS o pfBlockerNG entre otros muy populares. El equipo de desarrollo de pfSense ha anunciado que en la nueva versión pfSense 2.5.0 que se lanzará próximamente, tendremos la VPN más rápida y una de las más seguras. ¿Quieres conocer todos los detalles sobre esta nueva VPN?

Las VPN que tiene actualmente pfSense

El sistema operativo orientado a firewalls pfSense, dispone actualmente de varios tipos de VPN, con las que podremos configurar VPN de acceso remoto, y también VPN Site-to-Site. Tendremos la posibilidad de configurar de manera muy avanzada estas redes privadas virtuales, y todo ello a través de la interfaz gráfica de usuario, sin necesidad de editar ningún archivo de texto vía SSH o por consola.

Una de las VPN que tiene pfSense es L2TP/IPsec, una de los tipos de VPN más populares y utilizados por los usuarios que se conectan vía VPN a la empresa, o también al hogar. Este tipo de VPN utiliza el protocolo L2TP como túnel, y IPsec es quien proporciona todas las características de seguridad. Gracias a las decenas de opciones de configuración disponibles, podremos configurar en detalle este tipo de VPN con una seguridad muy robusta. Otra VPN que tenemos disponible es IPsec, tanto con IKEv1 como con IKEv2, además, también tenemos diferentes tipos de autenticaciones basadas en clave precompartida (PSK) o certificados digitales (RSA). Os recomendamos visitar nuestro completo tutorial sobre qué es IPSec y para qué se utiliza, donde encontraréis cómo funciona este protocolo de VPN tan popular.

Otra VPN que tenemos disponible en pfSense es OpenVPN, ampliamente utilizada por usuarios domésticos y empresas para interconectar diferentes sedes. Mientras que IPsec utiliza cifrado a nivel de capa 3 (capa de red), con OpenVPN tendremos el protocolo TLS (para TCP) o DTLS (para UDP) en la capa de transporte. Tanto IPsec como OpenVPN permite modo transporte y modo túnel, asimismo también podremos establecer túneles site-to-site o VPN de acceso remoto. En RedesZone tenemos un completo tutorial de configuración de OpenVPN donde encontraréis todos los detalles sobre una de las mejores VPN que puedes utilizar.

La nueva VPN que integrará pfSense: WireGuard

WireGuard es un nuevo protocolo de VPN relativamente nuevo, que se ha hecho un hueco por su grandísimo rendimiento, y es que es el doble de rápido que OpenVPN y que IPsec bajo el mismo hardware. En RedesZone hemos conseguido una velocidad real de 1Gbps con WireGuard, mientras que con OpenVPN y IPsec hemos conseguido unos 450-500Mbps aproximadamente, por lo que el rendimiento de WireGuard es realmente impresionante. Os recomendamos visitar nuestro tutorial de cómo configurar VPN WireGuard para navegar de manera segura.

WireGuard ha tenido la política de «mejor seguridad» desde un primer momento, por este motivo, utiliza una suite criptográfica muy segura y rápida, para no tener ningún tipo de problema de privacidad y seguridad a la hora de utilizarla. Además, otra de las características más importantes de esta VPN, es el «roaming», es decir, nos permite pasar de una red WiFi a 4G y viceversa, manteniendo el túnel VPN ya que la reconexión es realmente rápida, de hecho, no notaremos que ha tenido que reconectar la VPN.

pfSense en su nueva versión 2.5.0 incorporará este tipo de VPN, actualmente esta VPN ya se encuentra integrada de manera nativa en el kernel de Linux, sin embargo, debemos recordar que pfSense utiliza el sistema operativo FreeBSD como base. El equipo de desarrollo de Netgate ha estado un año desarrollando WireGuard para que también se integre en el kernel y obtener el mejor rendimiento posible. Si quieres ver el código fuente, puedes hacerlo en el GitHub de pfSense. Ya mismo puedes probar esta nueva funcionalidad si activas las actualizaciones beta de pfSense, pero te recomendamos que lo pruebes en un entorno de pruebas y no en producción.

Por supuesto, la configuración de WireGuard se realizará a través de la interfaz gráfica de usuario, no tendremos que editar ningún archivo para posteriormente cargarlo a la configuración todo es vía web y con una interfaz gráfica de usuario muy intuitiva.

El artículo El firewall pfSense incorporará muy pronto la VPN más rápida y segura se publicó en RedesZone.

Tener un sistema de detección y prevención de intrusiones en una pequeña y mediana oficina es algo fundamental para garantizar una mayor seguridad. Gracias a los software IDS/IPS, podremos analizar todo el tráfico de red basándose en diferentes reglas y firmas, para poder bloquear posibles ataques que nos estén realizando. Los IPS (Sistema de Prevención de Intrusiones) son tan importante que incluso fabricantes como ASUS, en sus routers domésticos, han incorporado esta funcionalidad de manera básica. Snort es uno de los mejores IDS/IPS que tenemos actualmente, ahora se ha lanzado la versión Snort 3 con una gran cantidad de novedades muy importantes. ¿Quieres conocer todos los detalles de la nueva versión?

Principales características de Snort 3

Snort 3 ya está disponible, una gran noticia para aquellos usuarios que no sabían si seguir utilizando Snort, o pasarse a Suricata, otro de los mejores sistemas de detección y prevención de intrusiones que tenemos actualmente. La última versión de Snort es la 3.1.0.0, y ha sido realmente muy esperada por los usuarios por todas las novedades y mejoras en el rendimiento que incorpora. Debemos recordar que Snort es un sistema de detección y prevención de intrusiones de código abierto, capaz de realizar análisis de tráfico en una o varias interfaces de red de forma simultánea y en tiempo real, registrando todos los paquetes y comparándolo con diferentes reglas y firmas que podemos configurar o descargar de Internet desde las fuentes oficiales.

Snort 3 se ha diseñado para conservar lo mejor de la versión anterior, pero le han añadido características muy interesantes, ahora podremos proteger las redes de los usuarios de tráfico no deseado, de software malicioso e incluso de spam y phishing. El equipo de desarrollo de Snort 3 ha empezado desde cero para el lanzamiento de esta versión, de hecho, según el comunicado oficial han estado 7 años desarrollándolo, porque querían hacer el mejor IDS/IPS y uno de los más eficaces y eficientes. Gracias a esta nueva versión, las reglas son más rápidas y eficientes, lo que se traduce en un menor consumo de CPU y RAM, y un mayor ancho de banda para los usuarios, sin que tengamos cuello de botella en el firewall.

Snort es compatible con diferentes sistemas operativos, entre los que se incluye FreeBSD y también Linux. Es muy posible que próximamente, el equipo de desarrollo de pfSense y OPNsense, dos distribuciones orientadas específicamente a firewalls, integren por defecto o como extensión esta nueva versión de Snort, ya que supone una mejora muy importante. No obstante, esto podría tardar meses hasta que los equipos de desarrollo de pfSense y OPNsense prueben a fondo este nuevo IDS/IPS que es muy diferente de Snort 2.

Algunas de las características nuevas de Snort 3, son las siguientes:

• Soporte para procesar los paquetes con múltiples hilos de procesamiento, hasta el momento, Snort solamente podría analizar el tráfico con un hilo. Esto permitirá aumentar el rendimiento exponencialmente gracias a que los procesadores hoy en día tienen 8 núcleos e incluso más.
• Configuración compartida y tabla de atributos
• La programación de las reglas es mucho más fácil que antes
• Detecta servicios automáticamente, sin tener que configurar puertos específicamente
• Permite autogenerar documentación de referencia
• Mejor soporte para multiplataforma en los diferentes sistemas operativos.

Desde hace varios meses teníamos la «Release Candidate», es muy importante que actualices a la última versión porque se han realizado muchas correcciones gracias al reporte de los usuarios. Algunas mejoras que se han realizado desde la última versión, son que incorpora mejoras para recargar la configuración, se ha mejorado la inspección de HTTP/2 con corrección de errores, las IPS variables se han movido a tablas específicas, se ha mejorado el descubrimiento de redes y corrección de errores.

El equipo de desarrollo de Snort recomienda pasarse a Snort 3 desde Snort 2 cuanto antes, sin embargo, en los principales sistemas operativos orientados a firewall como pfSense, aún no lo tenemos disponible como actualización. Nosotros tenemos actualmente instalada la versión 2.9.16.1 que es una de las últimas versiones actualmente.

En ocasiones, el equipo de desarrollo de pfSense pone las nuevas versiones como un paquete disponible adicional, para elegir entre la versión «antigua» o la nueva versión. Sin embargo, en la última versión stable de pfSense no lo tenemos disponible:

Es muy posible que en la próxima versión pfSense 2.5.0 incorporen esta nueva versión de Snort 3, junto a la nueva VPN WireGuard, que es una característica ya confirmada por el equipo de desarrollo de pfSense.

Os recomendamos visitar el comunicado oficial de Snort 3 donde encontraréis todos los detalles de esta nueva versión.

El artículo Snort 3 ya es oficial, ¿el mejor sistema de prevención de intrusiones? se publicó en RedesZone.

El protocolo HTTPS (Hypertext Transfer Protocol Secure) nos permite navegar por Internet con seguridad, ya que el navegador web establece una comunicación segura que está cifrada y autenticada punto a punto, desde nuestro navegador web hasta el servidor web donde nos estemos conectando. HTTPS es la versión segura de HTTP, ya que, en HTTP toda la información se envía sin ningún tipo de cifrado, por lo que, si cualquiera intercepta las comunicaciones, podrá ver absolutamente todo lo que se está enviando y/o recibiendo, incluido las contraseñas. Hoy en RedesZone os vamos a enseñar cómo hacer un ataque Man in the Middle para capturar tráfico de red, y descifrar el tráfico HTTPS configurando un proxy HTTP/HTTPS haciendo uso de la popular herramienta bettercap para Linux.

¿Qué es HTTPS y para qué sirve?

Actualmente, la gran mayoría de páginas web como RedesZone, webs de bancos, comercio electrónico en general y un largo etcétera, disponen del protocolo HTTPS para proporcionar seguridad a los clientes. HTTPS es la versión segura de HTTP, donde todas las comunicaciones van cifradas y autenticadas punto a punto, además, también se comprueba la integridad de todos los datos. Debemos recordar que el cifrado nos proporciona confidencialidad, es decir, aunque alguien capture el tráfico de datos, no podrán descifrarlo porque todo está encriptado punto a punto, aunque hay técnicas para colocarnos en el «medio» de la comunicación y proceder a descifrar dicho tráfico. La autenticación significa que nosotros somos quienes decimos ser, es decir, nosotros establecemos una comunicación con el servidor web, y un tercero no podrá hacerse pasar por nosotros para que también se le envíe la información. Por último, la integridad es una característica de la criptografía muy importante, esto nos permite comprobar que todos los datos que salen desde un origen, llegan hasta un destino sin ningún tipo de modificación. Si alguien es capaz de interponerse en la comunicación de los datos, y los modifica, automáticamente el protocolo HTTPS (y todos los protocolos que participan) lo detectarán y no aceptarán dichos datos.

HTTPS hace uso del protocolo TLS para dotar de seguridad a sus comunicaciones, la gran mayoría de conexiones HTTPS hacen uso de TLSv1.2 y TLSv1.3, este último protocolo es mucho más rápido y también más seguro que TLSv1.2, ya que solamente admite ciertas suites de cifrado seguras, no permite la incorporación de suites de cifrados menos seguras como sí ocurre con TLSv1.2. Por supuesto, al utilizar TLS, por debajo hacemos uso del popular protocolo de la capa de transporte TCP en su puerto 443 por defecto. En el caso de HTTP, se hace uso directamente de TCP en su puerto 80 por defecto, esto es muy importante que lo sepáis para lo que os explicaremos próximamente.

Características de Bettercap e instalación

Bettercap es una herramienta muy potente que es compatible con las principales distribuciones basadas en Linux, algunas de sus principales características son las siguientes:

• Escáner de redes WiFi, permite hacer ataques de desautenticación, también permite realizar ataques sin clientes a asociaciones PMKID, permite capturar handshakes de clientes que usan protocolo WPA y WPA2.
• Escáner de dispositivos BLE (Bluetooth Low Energía) para leer y escribir información.
• Escáner de dispositivos inalámbricos que usen la banda de 2.4GHz, como los ratones inalámbricos, también permite realizar ataques MouseJacking con inyección de datos.
• Permite hacer ataques pasivos y activos a redes IP
• Permite realizar ataques MitM basados en ARP, DNS y también DHCPv6, con el objetivo de capturar toda la información.
• Permite crear un proxy HTTP/HTTPS para levantar el tráfico seguro HTTPS, y facilita enormemente el uso de scripts.
• Sniffer de red muy potente para recolección de credenciales de usuario.
• Escáner de puertos muy rápido, aunque para esto, mejor usar Nmap que el rey de los escáneres de puertos.
• Tiene una potente API REST para realizar ataques fácilmente.
• Incorpora una interfaz gráfica de usuario para facilitar los ataques, aunque el terminal de comandos es muy potente.
• Tenemos una gran cantidad de módulos de diferentes categorías para ampliar funcionalidades.

En las distribuciones de Linux orientadas a la seguridad informática es posible que bettercap venga instalada por defecto. De lo contrario, tendremos que instalarla nosotros mismos con todas las dependencias. Lo más fácil para usar Bettercap es hacer uso de Docker (versión 17.05 o superior), ya que está en los repositorios de software de Docker, y basta con hacer:

Y lo ejecutamos con:

En caso de no tener Docker, lo tendremos que compilar desde el código fuente y necesitaremos las siguientes dependencias:

• build-essential
• libpcap-dev
• libusb-1.0-0-dev
• libnetfilter-queue-dev

Por ejemplo, en sistemas operativos basados en Debian, se instala de la siguiente forma:

Posteriormente, tendremos que descargarnos el código fuente y compilarlo:

Una vez que tengamos instalada esta herramienta Bettercap, ya podremos empezar a utilizarla, ejecutamos vía consola «bettercap» veremos la versión.

Antes de empezar, también podríamos ejecutar Bettercap con la interfaz gráfica de usuario web UI, para hacerlo debemos ejecutar la siguiente orden:

Y para lanzar el entorno gráfico, hacemos lo siguiente:

Si abrimos el navegador web y ponemos http://127.0.0.1 podremos acceder a la interfaz gráfica de usuario:

El nombre de usuario de bettercap web UI es «user», y la contraseña es «pass», tal y como aparece en el fichero de configuración:

Una vez que accedamos al menú de administración de bettercap a través del navegador, podremos ver los siguientes menús:

Hay muchos ataques que se pueden ejecutar directamente desde la interfaz gráfica de usuario, pero nosotros os lo vamos a poner por comandos porque es casi igual de sencillo, no obstante, también os vamos a enseñar a hacer ciertos ataques a través de la interfaz gráfica de usuario.

Así puedes descifrar las comunicaciones HTTPS

El escenario de pruebas donde hemos realizado todas las pruebas, son dos VM en VMware en un entorno NAT, con la subred 192.168.248.0/24, y puerta de enlace predeterminada 192.168.248.2.

• Equipo atacante: Kali Linux con IP 192.168.248.131
• Equipo víctima: Debian con IP 192.168.248.129

Lo primero que vamos a hacer, es ejecutar el típico ataque de ARP Spoofing para capturar todo el tráfico, el tráfico HTTPS estará cifrado y no podremos descifrarlo. También capturaremos el tráfico ICMP, tráfico TCP y UDP, y tráfico HTTP. Para poder hacer esto, simplemente debemos ejecutar los siguientes comandos:

Una vez dentro de bettercap, debemos ejecutar varias órdenes para configurar el software. Lo primero que debemos hacer es definir el objetivo, en nuestro caso la máquina Debian con IP 192.168.248.129. No es necesario poner también la puerta de enlace predeterminada.

Si ejecutamos el comando «help», bettercap nos indicará todo lo que está funcionando:

Una parte interesante es si ejecutamos «help arp.spoof», ya que nos aparecerán todas las opciones disponibles en este módulo. Una de las opciones más interesantes es «arp.spoof.fullduplex», esta opción permite hacer un ARP Spoofing tanto al objetivo como a la puerta de enlace predeterminada (gateway), pero si el router tiene protección frente a ataques ARP Spoofing fallará el ataque. Nuestra recomendación es que lo activéis siempre, por tanto, el listado de comandos sería el siguiente:

Una vez hecho esto, si en Kali Linux ejecutamos el Wireshark para capturar todos los paquetes de la interfaz eth0, podremos ver todo el tráfico que va y viene hacia y desde la víctima. Si os fijáis, tenemos el tráfico ICMP de 192.168.248.129, es decir, el equipo con Debian que estamos atacando.

También capturaremos todo el tráfico de DNS, TCP, UDP y todos los protocolos, incluyendo el tráfico cifrado, pero no lo podremos descifrar solamente con el ARP Spoofing.

Si nos metemos en bettercap a través del entorno gráfico, podremos hacer esto mismo, e incluso podremos seleccionar hacer un ARP Spoofing a la puerta de enlace predeterminada.

Para hacer este ataque a través de la interfaz gráfica, nos vamos a LAN, seleccionamos el objetivo o los objetivos, los añadimos a «arp.spoof.targets» y pinchamos en «Full-Duplex spoofing». Nos aparecerá el listado de equipos disponibles en la red local, si no nos aparecen, pinchamos en el icono de «Play» en recon module.

Una vez que ya sabemos hacer el típico ataque ARP Spoofing, ahora vamos a hacer lo mismo, pero habilitando el proxy HTTP con ssltrip activado, para levantar todas las comunicaciones HTTPS.

Ejecutamos en Kali Linux el bettercap como siempre:

Una vez dentro, debemos configurar bettercap de la siguiente forma:

Cuando lo hayamos hecho, si la víctima visita un sitio con HTTPS, automáticamente se convertirá a HTTP, y podremos capturar las credenciales de usuario. A continuación, se puede ver perfectamente cómo he intentado iniciar sesión en pccomponentes, y ha capturado tanto el usuario (email) como también la contraseña. Lógicamente, hemos introducido credenciales falsas para no mostrar los nuestros reales, por este motivo nos devuelve un error 401.

Si navegamos por otras webs, también podremos ver todo el tráfico.

Si la web tiene habilitado HSTS (HTTP Strict Transport Security) no podremos «levantar» el tráfico HTTPS, por tanto, todo el tráfico estará cifrado.

¿Qué es HSTS y para qué sirve?

Tal y como habéis visto, descifrar las comunicaciones HTTPS es muy sencillo, pero no siempre es posible. Actualmente muchas webs hacen uso del protocolo HSTS para proteger aún más las comunicaciones de sus usuarios. HSTS, o también conocido como HTTP Strict Transport Security, es una política de seguridad web que evita este mismo ataque que os acabamos de enseñar, gracias al uso de cookies, el servidor web le «dice» al navegador web, que siempre que vuelva a acceder a su página web, haga uso del protocolo HTTPS, por lo que la comunicación estará cifrada punto a punto, y aunque interceptemos la comunicación sniffeando el tráfico, no podremos ver el tráfico intercambiado porque no podemos usar bettercap para «levantar» el cifrado TLS. Estas cookies tienen una caducidad, pero una buena política de configuración (de cara al servidor web) es poner un valor muy alto, por ejemplo, un año (max-age=31536000).

El funcionamiento de HSTS es muy sencillo, hay algunos navegadores web que incorporan ciertas cookies HSTS por defecto, sobre todo los «grandes» de Internet como Google y muchos otros tienen en la lista «preload» de HSTS sus dominios, por tanto, nunca podremos acceder a estos dominios a través del protocolo HTTP. Si el navegador detectar que no se puede acceder vía HTTPS a ese dominio, rechaza la conexión y no podremos conectarnos. Si el navegador detecta que el certificado digital del servidor es autofirmado, también denegará la conexión y no podremos conectarnos. De hecho, ni siquiera si accedemos en modo incógnito podremos conectarnos. Todos los navegadores actuales suelen incorporar esta lista para proteger a los usuarios.

En el caso de «el resto de Internet» como webs de comercio electrónico, bancos, medios de comunicación y muchos otros, nos tendremos que meter como mínimo una vez, para que la cookie de HSTS se descargue en nuestro navegador web y obtengamos esta protección. En este caso, si a partir de la segunda vez, el navegador detecta que no se puede acceder vía HTTPS a ese dominio, rechazará la conexión y nos dará un error al conectarnos. Además, si el navegador detecta que el certificado digital del servidor es autofirmado, también se denegará la conexión y no podremos conectarnos. En caso de querer acceder a esta web (por el motivo que sea), deberás usar otro navegador web con el que nunca hayas accedido antes, pero esto no es recomendable porque podrían estar atacándote, es mejor no conectarte a la web.

Si queremos realizar un ataque a un usuario y se mete en una web con HSTS, el único momento en el que se podría descifrar la conexión es antes de la primera conexión histórica del usuario (porque sea un navegador nuevo, ordenador recién formateado, nunca se ha metido en esa web etc.) Imaginemos que el usuario víctima se ha comprado un ordenador portátil nuevo, se va a un hotel y se conecta por primera vez al banco con su navegador recién instalado, en este caso sí podríamos atacarle porque aún no tiene la cookie HSTS en su navegador web. Para evitar esto, tenemos la directiva «preload» en los servidores web, pero hay que usarla con cuidado porque tenemos que darnos de alta en la lista de HSTS Preload, de lo contrario los usuarios tendrán problemas para conectarse.

Tal y como habéis visto, la política de HSTS ayuda a proteger a los usuarios de webs de los ataques pasivos y activos, esta medida de seguridad es una de las más importantes que se deben configurar en un servidor web, porque un atacante MitM tendrá una capacidad mínima para interceptar las peticiones y respuestas entre la víctima y el servidor web.

Bettercap incorpora un «caplet» que nos permite hacer un ataque HSTS Hijack y eludir esta protección, se basa en hacer un DNS Spoofing y reenviar a la víctima a otro dominio bajo nuestro control, para posteriormente capturarle toda la información. Los caplets son scripts en Bettercap que vienen preconfigurados, pero que nosotros podemos modificar fácilmente, para descargarlos tenemos que ejecutar las siguientes órdenes en el terminal Linux:

Una vez hecho, lo ejecutamos poniendo:

En la siguiente captura se puede ver la ejecución del caplet por defecto:

Y aquí el registro del ataque realizado:

Os recomendamos visitar la web oficial de Bettercap donde encontraréis toda la información sobre esta gran herramienta.

El artículo Descifra el tráfico HTTPS con Bettercap 2 en Linux fácilmente se publicó en RedesZone.

Encarando los últimos días de 2020 desde Red Hat anunciaron que CentOS muy pronto iba a ser historia. Se dejaba a un lado CentOS Linux y se apostaba todo a CentOS Stream. CentOS Linux 8, como el equivalente de RHEL 8, será historia a finales de este año. Algo que, naturalmente, no gustó a muchos desarrolladores.

Iniciado el nuevo año, para tratar de remediar el mal sabor de boca con el que quedaron muchos, Red Hat ha anunciado que Red Hat Enterprise Linux será gratuito para equipos de desarrollo y cargas de trabajo en producción con un máximo de 16 servidores dentro del programa ampliado Red Hat Developer.

Red Hat Enterprise Linux gratis (con condiciones) como redención

Hasta ahora, el programa permitía el acceso gratuito a RHEL solamente para fines de desarrollo y en una sola máquina. A partir del 1 de febrero, según el anuncio de los de IBM, el programa ampliado permitirá a los desarrolladores con un suscripción individual usar esta plataforma empresarial Linux en producción y en hasta 16 sistemas. Y sí, sin coste y sin ánimo de vender, prometen.

El programa ampliado Red Hat Developer, además, también permitirá ejecutar RHEL en las principales nubes empresariales como son AWS, Google Cloud Platform y Microsoft Azure.

Si se pasan del tope contemplado, se tendrá que optar por pasar por caja o decantarse por alternativas en ciernes como Rocky Linux, AlmaLinux o Navy Linux que pueden tomar el testigo del primigenio CentOS.

En Genbeta

Red Hat, cómo una empresa de software open source llegó a valer 34.000 millones de dólares

En cuanto a equipos de desarrollo, Red Hat contempla ahora en su programa para desarrolladores que todos los equipos de desarrollo puedan unirse al programa beneficiándose de sus ventajas. Es puede ser bueno para los integrantes de estos equipos y también para Red Hat Enterprise Linux, dado que será más accesible como plataforma de desarrollo.

Pese a todo, desde el proveedor de soluciones de código abierto empresariales aseguran ser conscientes de que no todos los actuales usuarios de CentOS Linux verán factible pasarse a CentOS Stream y que estas novedades no serás adecuadas para todos los casos de uso de CentOS Linux.

Por eso, dicen, "no hemos terminado de ofrecer más formas de obtener RHEL fácilmente". "Estamos trabajando en una variedad de programas adicionales para otros casos de uso y planeamos proporcionar otra actualización a mediados de febrero", avanzan. Estaremos atentos.

-
La noticia Red Hat anuncia la gratuidad de RHEL para equipos de desarrollo y cargas de trabajo en producción pequeñas fue publicada originalmente en Genbeta por Toni Castillo .

Hace algunos días les contábamos sobre un nuevo bug en Windows 10 que podía corromper tu disco duro con tan solo ver un icono. Y ahora, el mismo investigador que lo descubrió, ha llamado la atención sobre otro extraño problema con el sistema.

Se trata de una ruta o enlace que puede causar que el sistema se cuelgue y muestre una pantalla azul de la muerte con tan solo ingresarlo en la barra de URLs de Chrome, otro navegador similar, o a través de comandos de Windows.

Un bug que puede ser explotado para realizar un ataque DoS

Now that is definitely huge, putting that in a shortcut path leads to an instant crash, even as an unprivileged user pic.twitter.com/ql34094kpM

— Andrew (@endermanch) January 19, 2021

Jonas Lykkegaard le contó a BleepingComputer que al intentar abrir de varias formas una una ruta hacia uno de los espacios de nombres de dispositivos Win32 para un controlador, incluso siendo un usuario sin privilegios, esto causa que el sistema se cuelgue.

La ruta en cuestión es \.\globalroot\device\condrv\kernelconnect y si la ingresamos en el navegador, este intentará acceder al sistema de archivos interno de Windows y se colgará en el proceso mostrando la BSOD.

En Genbeta

Files es el Explorador de Windows 10 que llevábamos años esperando, con diseño moderno y navegación por pestañas

El detalle está en que esa ruta debe contener un elemento adicional para poder conectarse al dispositivo al que busca conectarse, pero como el comando es ejecutado desde un navegador, el sistema no verifica el error, Windows se confunde y esto causa el pantallazo azul de la muerte.

Aunque en algunos casos el problema no parece tener más efectos que esos, algunos han probado más de una vez y sus sistemas se han quedado atrapados en la pantalla que intenta reparar el inicio de Windows tras reiniciar, así que úsalo bajo tu propio riesgo si estás demasiado aburrido.

El principal problema con un bug como este es que puede ser explotado por terceros para realizar un ataque DoS en un sistema. Básicamente, a través de un archivo de URL de Windows con un ajuste que que apunte a la ruta en cuestión. Si el archivo es descargado, Windows 10 tratará de obtener el icono del archivo .URL desde la problemática ruta y automáticamente colgaría el sistema.

-
La noticia Basta con abrir este enlace para que Windows 10 te muestre un pantallazo azul de la muerte fue publicada originalmente en Genbeta por Gabriela González .

En este manual, os vamos a enseñar a entrar en un sistema Windows 7 y anteriores sin necesidad de conocer la clave de administrador. Usaremos diferentes métodos para lograrlo.
Gracias a un fallo de seguridad, aún sin resolver, en Windows 7 y anteriores, es posible eliminar la contraseña de un usuario para poder acceder a su cuenta y a sus archivos sin mucha complicación. Existen diversas utilidades que nos permiten hacer esto, pero la que nosotros vamos a utilizar es una que viene incluída en el CD de utilidades Hiren’s Boot CD.

Hiren’s Boot CD es un live-cd de utilidades imprescindibles para resolver problemas de nuestro ordenador. Útil para problemas con el boot, particiones, bios, arranque y demás, dispone de muchos programas útiles, como es el caso de eliminación de contraseña de usuario en Windows. Podemos ver un listado de las aplicaciones disponibles en la página web oficial.

Una de las aplicaciones que incluye este CD se llama WindowsGate 1.1 y sirve para eliminar la verificación de contraseña de Windows, útil cuando te olvidas de la contraseña de un usuario para poder acceder a él rápidamente y sin problemas.

Para poder eliminar la contraseña, en primer lugar debemos descargarnos y grabar el CD de Hiren’s Boot. Una vez grabado, arrancar el ordenador con él, y nos aparecerá un menú con todas las aplicaciones que tiene el live-cd.

Debemos seleccionar y arrancar la opción “Min Windows XP” para acceder a un sistema Windows XP en live-cd.

Una vez arrancado, veremos un escritorio con una serie de aplicaciones preinstaladas. Debemos ejecutar Windowsgate 1.1, para ello, debemos pulsar sobre el menú inicio, llamado «Start» y a continuación, en la parte superior, sobre HBCD Menu.

Una vez allí, pulsaremos sobre el menú «Programs» y a continuación sobre passwords & keys / Windows login / WindowsGate y se nos ejecutará la aplicación.

Se nos ejecutará la aplicación WindowsGate tal y como podéis ver en esta imagen:

Seleccionamos de la lista el sistema operativo del que queramos deshabilitar la verificación de contraseña, marcamos la casilla «msv1_0.dll patch» y nos aparecerá un mensaje indicando que se ha realizado correctamente. «Logon password validation is OFF».

Una vez realizado esto, podemos reiniciar nuestro equipo, sacar el cd de hiren’s boot, y arrancar en nuestro sistema. Cuando nos pida la contraseña del administrador, o de cualquier usuario, podemos introducir la que queramos, o dejarlo en blanco, que el sistema accederá a dicho usuario sin problemas. Una vez seguido este tutorial ya podemos acceder a la cuenta de Windows de la cual habíamos olvidado la contraseña.

Eliminar la clave de Windows de un usuario en concreto

Otra forma de acceder a un sistema Windows si hemos olvidado la contraseña es eliminándola a un usuario en concreto, pero sigue teniendo validación para los demás usuarios. Para ello, podemos utilizar la aplicación «Offline NT/2000/XP/Vista/7 Password Changer«, incluída en el Hiren’s Boot CD. Esta aplicación no necesita Mini Windows XP para funcionar, ya que arranca desde símbolo de sistema.

Para acceder a ello, debemos seleccionar el menú Password Reset, y una vez alli, «Offline NT/2000/XP/Vista/7 Password Changer«.

Y al pulsar, el programa cargará. La primera opción que nos pide es seleccionar la partición donde tenemos Windows instalado. En nuestro caso tenemos 2 particiones, una para BOOT y otra para Windows 7, seleccionamos la de Windows 7 y pulsamos enter.

A continuación, nos preguntará sobre la ubicación del archivo de registro. Suele detectarlo automáticamente, por lo que, pulsando enter ya podemos continuar con el proceso.

El programa cargará las entradas necesarias del registro y nos preguntará sobre qué queremos hacer. Seleccionamos la opción 1 por defecto, y continuamos.

Seleccionamos la opción por defecto de «Edit user data and password«.

Ahora nos aparecerán los usuarios disponibles en nuestro sistema, seleccionamos el que queremos resetear la contraseña, en nuestro caso, el administrador “ruvelro” y pulsamos en enter.

Nos aparecerán unas opciones bajo el menú «user edit menu«, entre las cuales podemos destacar la opción 1, que establece una contraseña en blanco, y la opción 2, que nos permitirá cambiar la contraseña y establecer la que queramos. Seleccionamos la opción que queramos realizar, en nuestro caso 1, para quitar la contraseña y acceder al sistema sin ella.

Podremos ver un mensaje que nos indica Password Cleared y otras opciones. Lo que debemos hacer ahora es salir del programa. Para ello, en la primera ventana de selección pulsaremos ! Para salir de la selección de usuario y a continuación seleccionaremos «q» para salir del programa. Nos preguntará si queremos aplicar los cambios realizados (eliminación de contraseña) pulsamos «y» y en enter, y se aplicarán los cambios.

Veremos un mensaje que dice «Edit Complete«. Esto quiere decir que los cambios se han realizado con éxito, por lo que ya podemos reiniciar nuestra máquina, sacar el CD de Hiren’s boot y entrar en Windows sin ningún problema, seleccionando el usuario al que hayamos eliminado la contraseña

Kon bot

Otra alternativa que tenemos para hacer login en un sistema del cual hemos olvidado la contraseña, es utilizar otra aplicación que viene incluida en Hiren’s boot, llamada Kon Bot.

Esta aplicación nos permite hacer login en el sistema, como administrador, pero sin cambiar la contraseña ni desactivar la validación como los otros métodos.

Kon-Bot es compatible con:

• Microsoft Windows XP 32Bit/64Bit
• Microsoft Windows Server 2003 32Bit/64Bit
• Microsoft Windows Server 2008 32Bit/64Bit
• Microsoft Windows Vista 32Bit/64Bit
• Microsoft Windows 7 32Bit/64Bit
• Microsoft Windows 8 32Bit/64Bit (versión BIOS, no EFI)
• Algunos sistemas Linux.

Para utilizarla, debemos arrancar nuestro equipo con Hiren’s boot y seleccionar el apartado «Password Reset» y allí seleccionar Kon-Bot.

Nos abrirá una animación ascii, en la cual debemos pulsar enter para continuar.

Y el programa empezará a parchear los archivos necesarios, para, a continuación, arrancar el sistema operativo como administrador, sin necesidad de hacer nada mas.

Con esto, ya podemos acceder a nuestro sistema sin necesidad de contraseña.

El artículo Accede a Windows con el usuario administrador sin saber la clave se publicó en RedesZone.

Enlarge / CentOS used to be the preferred way to get RHEL compatibility at no cost. CentOS is gone now—but Red Hat is extending no-cost options for RHEL further than ever before. (credit: Red Hat / DFCisneros)

Last month, Red Hat caused a lot of consternation in the enthusiast and small business Linux world when it announced the discontinuation of CentOS Linux.

Long-standing tradition—and ambiguity in Red Hat's posted terms—led users to believe that CentOS 8 would be available until 2029, just like the RHEL 8 it was based on. Red Hat's early termination of CentOS 8 in 2021 cut eight of those 10 years away, leaving thousands of users stranded.

CentOS Stream

Red Hat's December announcement of CentOS Stream—which it initially billed as a "replacement" for CentOS Linux—left many users confused about its role in the updated Red Hat ecosystem. This week, Red Hat clarifies the broad strokes as follows:

Read 5 remaining paragraphs | Comments

Te traemos una colección con 21 programas y aplicaciones gratis para editar fotos y hacer tus retoques, ya sean rápidos y sencillos o algo más profundos. Te vamos a intentar ofrecer tanto las más populares como otras menos conocidas, y que podrían servirte de alternativa si quieres explorar en busca de nuevas herramientas.

Vamos a centrarnos sobre todo en las aplicaciones para PC, aunque también vamos a incluir algunas aplicaciones web para usar desde cualquier navegador, y otras móviles. También tendrás algunas apps para móvil y Windows adaptadas al PC, con el punto en común de tener un coste gratuito.

Nosotros te proponemos estas 21, pero como decimos siempre en Xataka Basics, te queremos invitar a que nos dejes tus preferencias y propuestas en la sección de comentarios. Así, todos podremos aprender de nuestra comunidad de xatakeros y descubrir algunos proyectos o herramientas que se nos hayan pasado por alto.

En Xataka

Para mí, la mejor aplicación para editar fotos es: la opinión de los editores de Xataka

Darktable

Darktable es un programa de código abierto que ha sido creado para aspirar a sustituir a otros programas de pago, ofreciendo también todas las herramientas necesarias para el retoque fotográfico. Además, otra de sus grandes bazas es que es totalmente multiplataforma* y gratuito, estando disponible para Windows, macOS, FreeBSD y múltiples distribuciones de GNU/Linux.

Esta aplicación está enfocada al tratamiento de las fotos que vienen directamente de la cámara fotográfica en formato RAW, para hacer las veces de revelado digital. Sin embargo, también tiene muchas otras opciones de retoque que te pueden servir.

• Enlace: Darktable.org

Fotor

Esta es una alternativa un poco diferente al resto de la lista, porque no es una aplicación o programa como la mayoría que hemos tratado, sino una aplicación web que ejecutas desde el navegador. Fotor no es una aplicación que busque darte todas las opciones del mundo, sino que está diseñada para permitirte hacer retoques rápidos con un solo click.

Por lo tanto, te ofrece varias opciones de mejoras rápidas para tus fotos, que la convierten en una herramienta rápida de utilizar. La mala noticia es que si solo quieres retocar partes concretas de una foto, entonces posiblemente se te quede corta. Tiene una versión gratuita y una de pago, siendo la gratis bastante completa con opciones como la de editar grupos de fotos.

• Enlace: Fotor.com

GIMP

GIMP es posiblemente una de las mejores aplicaciones de edición fotográfica que te puedes encontrar. Y no solo eso, sino que es de código abierto y totalmente gratuita, lo que quiere decir que toda la comunidad puede ver cómo funciona y ayudar a solucionar fallos, y que nunca vas a tener que pagar nada por utilizarla.

Se trata de un programa pensado para ser una alternativa completa al Photoshop de pago, por lo que no le van a faltar las opciones más avanzadas para editar tus fotografías, trabajar con capas y demás. También ofrece las opciones más sencillas, filtros y muchos otros detalles para usarla tanto para ediciones rápidas como para creaciones más complejas.

• Enlace: Gimp.org

Glimpse

Glimpse es un fork de GIMP, lo que quiere decir que sus creadores han utilizado el código abierto de GIMP para crear a partir de él una aplicación derivada. Se trata de una alternativa que busca acercar su interfaz a Photoshop para que se parezca más, y que los usuarios que están acostumbrados a la aplicación de Adobe tengan más fácil el salto.

Se trata de un programa muy joven que nace tras los desencuentros con el mod de GIMP llamado PhotoGIMP, y que buscaba precisamente photoshopizar GIMP. Si quieres darle una oportunidad, es un proyecto que irá creciendo con el paso de los meses y la llegada de nuevas versiones.

• Enlace: Glimpse-editor.github.io

inPixio

Cambiando un poco de tercio, inPixio es otro excelente editor gratuito de fotos con el que puedes hacer varios tipos de retoques. Pese a ser gratis, no sólo te ofrece una gran cantidad de filtros, sino que también añade muchísimas opciones de edición que van desde efectos como hacer la foto antigua hasta muchas otras mejores, incluyendo recortes, ajustes en los colores y más.

• Enlace: Inpixio.com

Krita

Krita es un excelente programa de pintura digital diseñado especialmente para artistas que trabajan con ilustración, historietas, arte conceptual, pintura, y demás. Es una herramienta gratuita y de software libre, con versiones para Windows, Linux y macOS.

Tiene una interfaz del usuario intuitiva que no se interpone en tu trabajo, con paneles que puedes mover y personalizar para adecuarlos a tu estilo de trabajo. También cuenta con estabilizadores de pincel, paleta emergente, motores de pincel, modo de envoltura y administrador de recursos. Y evidentemente, como imaginas, también te va a servir para retocar fotografías, aunque quizá no de forma tan intuitiva.

• Enlace: Krita.org

Paint.NET

Es otro de los editores de fotografía más populares y veteranos del panorama. Originalmente fue patrocinado por Microsoft, formando parte de un proyecto de algunos alumnos universitarios. Y después de eso, la herramienta empezó a volar por si misma y a seguir evolucionando por su cuenta dentro del ámbito educativo.

Inicialmente, Paint.NET buscaba ser un sustituto del mítico Paint de Microsoft, pero con el paso de los años ha ido convirtiéndose en una herramienta mucho más completa y con opciones bastante avanzadas, como añadir capas, efectos especiales, y todo tipo de ediciones avanzadas.

• Enlace: Getpaint.net

Photo Pos

Este es un programa profesional que puedes bajar gratis, y que combina varias opciones gratuitas con otras de pago a la hora de permitirte retocar tus fotos. La herramienta gratuita es suficiente para la mayoría de retoques sencillos, contando con una interfaz que busca la sencillez de uso para que no te pierdas en los menús como puede pasar con Photoshop o GIMP.

Una buena característica de esta aplicación es que si pese a sus esfuerzos te parece muy complicada de entender, también ofrece un diseño opcional para usuarios primerizos, que lo readapta todo a una estética basada en filtros. La gran limitación de esta versión gratuita es que sólo puedes exportar tus fotos a una resolución máxima de 1.024x1.024 píxeles.

• Enlace: Photopos.com

Photopea

Seguimos ahora con otra aplicación web. Existen una gran cantidad de editores de fotos online, pero en esta lista vamos a proponer pocos para centrarnos en las aplicaciones instalables. Sin embargo, Photopea es un editor orientado al uso profesional, una alternativa a Photoshop y GIMP, tan bueno que merece la pena mantenerlo aquí.

Para ello, cuenta con características como poder trabajar con capas y máscaras, modos de fusión para combinar capas, selecciones, y ajustes como el tono, la saturación, desenfoques o timidez. Todo lo que ofrecen los grandes, junto al resto de opciones básicas. La diferencia con otras alternativas es que tiene una interfaz muy similar a Photosop, buscando ser una solución online para aquellos acostumbrados a trabajar con el editor de Adobe.

• Enlace: Photopea.com

Photoroom

Una herramienta que tiene varias versiones, desde la versión móvil que tienes para Android, iOS o Windows 10 adaptada al escritorio, hasta una versión gratuita especialmente hecha para Windows. Es una alternativa a Snapseed y VSCO para ediciones rápidas y sencillas, con una buena colección de ajustes sencillos y presets. Más enfocada a compartir fotos en redes sociales, pero que sirve para retoques rápidos.

• Enlace: Photoroom.com

En Xataka

Las mejores aplicaciones y herramientas gratis para Windows 10 en 2020

PhotoScape X

Personalmente, llevo ya varios años utilizando PhotoScape X en Windows 10, y todas las capturas que veis editadas en Xataka Basics han sido editadas con esta aplicación. Es una herramienta que tiene muchas funciones, desde su visor de fotos hasta su completo editor, centrado en las funciones básicas pero también con varias avanzadas.

Vas a poder aplicar todo tipo de efectos de color y filtros a tus fotografías, recortes y transformaciones, añadir figuras, combinarlas y crear collages. También puedes editar varias fotos a la vez, trabajar con capas, aplicar marcos o trabajar con imágenes en RAW. Es una herramienta entre medio de las básicas y las avanzadas, que intenta ponértelo fácil.

• Enlace: X.photoscape.org

Photoshop Express

Photoshop Express es el hermano menor de la potente aplicación fotográfica de Adobe. No tiene tantas opciones avanzadas, pero ofrece muchas de las opciones necesarias para hacer buenas ediciones fotográficas siendo una aplicación totalmente gratuita. Eso sí, con compatibilidad reducida a archivos de cámara sin formato, y archivos con formatos JPG y PNG.

Por lo demás, la aplicación tiene una interfaz adaptada a teléfonos móviles, con elementos táctiles y de fácil acceso. Aun así, no debes preocuparte, porque además de Android e iOS, también hay una versión en la Microsoft Store para descargarlo en Windows. En todos los casos, es una aplicación gratis.

• Enlace: Adobe.com

PicsArt Photo Editor

Es uno de los más populares y completos editores de fotos para dispositivos móviles, aunque también te lo puedes encontrar en la tienda de aplicaciones de Windows para tu PC. Con su versión gratuita no sólo puedes crear collages de hasta 10 imágenes, sino también puedes editar vídeos y fotos. Para ello cuentas con una galería de herramientas que te permite editar la imagen con diferentes efectos visuales, así como recortarlas a tu gusta.

La aplicación tiene diferentes proporciones prediseñadas para poder subirlas a diferentes redes sociales y webs. Puedes elegir utilizar las proporciones de Instagram, pero también crearlas para Facebook, Twitter, Pinterest o YouTube. Tampoco le faltan las herramientas básicas de edición. Tiene una versión de pago con sincronización entre dispositivos y opciones de edición más avanzadas.

• Enlace: Picsart.com

Pinta

Esta herramienta es una alternativa a Paint de código abierto, multiplataforma, y que también es gratuita. Eso sí, pese a ser una competencia directa de Paint, que no ha entrado en la lista por sus limitaciones, tiene algunas opciones de más con las que puedes hacer algunos retoques básicos de fotografía.

Además de las opciones de dibujo clásicas de Paint, Pinta también incorpora ajustes y efectos para la edición fotográfica, así como múltiples capas para trabajar, un historial completo de cambios, y diferentes visualizaciones para la interfaz. Está disponible tanto para GNU/Linux como para Windows, macOS y FreeBSD.

• Enlace: Pinta-project.com

Pixlr

Es otra potente herramienta web de edición fotográfica. En su web vas a encontrarte dos tipos de producto, un Pixlr E centrado para la edición más profesional fotográfica y con soporte hasta para imágenes en 4K, y un Pixlr X para las ediciones rápidas con opciones más sencillas para no perder mucho tiempo.

• Enlace: Pixlr.com

En Xataka

21 editores de vídeo gratis para usar en Windows

Polar

Polarr es una aplicación que se hizo popular cuando su versión web fue de las primeras en ofrecer soporte para el revelado digital de archivos RAW. Pero también es un programa gratuito para Windows que puedes descargar en la Microsoft Store, ofreciéndote toda su potencia de forma nativa para no depender de tu conexión.

Es una herramienta bastante completa, que te permite editar por capas y tiene su sistema de filtros para hacer ajustes rápidos en tus fotos. También tiene opciones avanzadas de edición, con funciones de retoque, histograma, efectos, y todas las herramientas básicas que caben esperar en un programa como este.

• Enlace: Polarr.com

RawTherapee

Es una aplicación que busca ser una alternativa para Darktable en el revelado digital de las fotos, y que también es gratuita y de código abierto, teniendo versiones para GNU/Linux, y las versiones de 64 bits de macOS y Windows 10. Como su nombre indica, ha sido pensada para la edición de fotos en formato RAW, aunque también sirve para el resto de formatos fotográficos comunes.

Con su motor fotográfico vas a poder realizar completas gestiones en el color de tus fotos, y también en elementos como su tonalidad y su exposición. La herramienta intenta mantener el equilibrio de ofrecer una interfaz que sirva tanto para los usuarios expertos como para los primerizos en este tipo de edición fotográfica.

Enlace: Rawtherapee.com

Snapseed

Se trata de otra aplicación fotográfica enfocada a los dispositivos móviles. De hecho, lleva años siendo una de las mejores en este campo, sobre todo por ofrecer una interfaz por gestos sencilla de utilizar junto a un buen elenco de herramientas. Todo funciona a través de deslizar el dedo para cambiar de ajustes y cambiar el nivel de cada ajuste.

Con Snapseed vas a poder desde hacer sencillos recortes hasta ajustes avanzados como modificar la orientación de una cara o borrar objetos. Su principal baza es que es totalmente gratis, sin anuncios ni sorpresas. Por lo tanto, tienes aquí ya todo lo que vayas a necesitar para editar fotos desde las limitaciones del tamaño de una pantalla de móvil.

• Enlace: App Store y Google Play

VSCO

A medias entre red social y editor de fotos para smartphones, VSCO es una de esas alternativas que no puede faltarte en el móvil, sobre todo si eres usuario de redes como Instagram. Es una app especializada en permitirte realizar ediciones rápidas que luego puedes compartir rápidamente en redes sociales.

Por una parte, la app ofrece las clásicas herramientas de edición básicas presentes en todo este tipo de aplicaciones, y por la otra, tiene una gran selección de ajustes preestablecidos y efectos listos para ser utilizados. Además, también puedes crear plantillas basadas en tus propias configuraciones personalizadas poder reutilizarlas rápidamente. Tiene una versión de pago con todavía más preconfiguraciones y filtros.

• Enlace: Vsco.co

Windows Fotos

Y vamos a terminar con el visor fotográfico que viene preinstalado en Windows 10, y que es gratuito para todos los usuarios del sistema operativo. Fotos, tiene varias herramientas para retoques rápidos para tus fotos. No son herramientas muy avanzadas, básicamente filtros y algunos ajustes rápidos, pero para apaños rápidos puede serte útil saber que no necesitas instalar nada para lo esencial.

Además de las ediciones rápidas, Fotos también tiene otras funciones como la de dibujar sobre tu foto, añadir efectos 3D como lluvia o confeti, texto animado o la posibilidad de crear vídeos con música.

En Xataka

21 programas gratis para hacer vídeos con fotos y música

Bonus: Canva

Y como bonus track, vamos a terminar con Canva, que es un programa de creación de diseños. Sin embargo, entre su ingente cantidad de opciones y trucos también ofrece la posibilidad de realizar pequeños retoques fotográficos, aunque no sea una herramienta estrictamente creada para ello. Además, tiene varias integraciones para poder complementarse con otras herramientas online.

• Enlace: Canva.com

-
La noticia 21 programas y aplicaciones gratis para retocar fotos fue publicada originalmente en Xataka por Yúbal Fernández .

Nmap es la mejor herramienta de escaneo de puertos y descubrimiento de hosts que existe actualmente. Nmap nos permitirá obtener una gran cantidad de información sobre los equipos de nuestra red, es capaz de escanear qué hosts están levantados, e incluso comprobar si tienen algún puerto abierto, si están filtrando los puertos (tienen un firewall activado), e incluso saber qué sistema operativo está utilizando un determinado objetivo. ¿Quieres saber todo sobre Nmap y cómo utilizarlo? En RedesZone te explicamos todo lo que debes saber sobre esta herramienta.

Principales características

Nmap es una utilidad completamente gratuita y de código abierto, nos permite descubrir redes y host, así como realizar auditoría de seguridad. Este programa es compatible con sistemas operativos Linux, Windows y también macOS, pero en todos ellos se utiliza a través de la línea de comandos, aunque tenemos la posibilidad de instalar ZenMap que es la utilidad gráfica de Nmap para hacer los escaneos de puertos a través de la interfaz gráfica de usuario. Si no quieres pelearte con comandos a través de consola, esta interfaz gráfica de usuario te podría ser útil para los primeros pasos con este gran programa, no obstante, cuando tengas más experiencia seguramente ejecutes todas las órdenes directamente desde terminal.

Nmap nos permite detectar hosts de una red local, y también a través de Internet, de esta forma, podremos saber si dichos hosts (ordenadores, servidores, routers, switches, dispositivos IoT) están actualmente conectados a Internet o a la red local. Esta herramienta también permite realizar un escaneo de puertos a los diferentes hosts, ver qué servicios tenemos activos en dichos hosts gracias a que nos dirá el estado de sus puertos, podremos saber qué sistema operativo está utilizando un determinado equipo, e incluso podremos automatizar diferentes pruebas de pentesting para comprobar la seguridad de los equipos.

Nmap tiene diferentes tipos de escaneo de puertos, pueden ser a través de segmentos TCP, datagramas UDP o paquetes ICMP, además, permite realizar escaneos de forma oculta para que sean difíciles de detectar por los firewalls. Por supuesto, podremos hacer escaneo de puertos sobre ciertos puertos en concreto, entre rangos de puertos, rangos de direcciones IP, posibilidad de usar paquetes TCP null, FIN, Xmas y ACK además de SYN, para localizar los puertos TCP abiertos.

Otras características que nos brinda esta herramienta, es la posibilidad de hacer un completo inventario de red, e incluso comprobar si un determinado host o servicio sigue levantado y funcionando. Este programa fue diseñado para escanear una gran cantidad de hosts, por tanto, si necesitas escanear múltiples objetivos no tendrás problemas. Este programe es muy flexible, incorpora decenas de técnicas avanzadas para escanear hosts y puertos, además, también permite realizar auditorías a través de NSE (Nmap Search Engine), por lo que es realmente potente.

Nmap tiene varios estados en los puertos que aparecerán cuando hagamos un escaneo de puertos. Es fundamental saber qué significa cada estado de Nmap, porque con cualquier escaneo de puertos, nos devolverá diferentes estados.

Estado de los puertos con Nmap

• Open: una aplicación está activamente aceptando conexiones TCP o UDP. El puerto está abierto y se puede utilizar, los pentesters podrán utilizar este puerto abierto para explotar el sistema. Es el estado por defecto si no tenemos ningún firewall bloqueando accesos.
• Closed: un puerto que está cerrado es accesible porque responde a Nmap, sin embargo, no hay ninguna aplicación funcionando en dicho puerto. Es útil para descubrir que un host está levantado, o como parte de la detección de un sistema operativo. De cara al administrador del sistema, es recomendable filtrar estos puertos con el firewall para que no sean accesibles. De cara al pentester, es recomendable dejar estos puertos “cerrados” para analizar más tarde, por si ponen algún servicio nuevo.
• Filtered: en este estado Nmap no puede determinar si el puerto está abierto, porque hay un firewall filtrando los paquetes de Nmap en dicho puerto. Estos puertos filtrados son los que aparecerán cuando tengamos un firewall activado. Nmap intentará en varias ocasiones intentar conectar, lo que hace que el escaneo de puertos sea bastante lento.
• Open| Filtered: Nmap no sabe si el puerto está abierto o filtrado. Esto ocurre porque el puerto abierto no envía ninguna respuesta, y dicha falta de respuesta podría ser por el firewall. Este estado aparece cuando usamos UDP y IP, y utilizamos escaneos FIN, NULL y Xmas.
• Closed | Filtered: en este estado no se sabe si el puerto está cerrado o filtrado. Solo se usa este estado en el IP Idle Scan.

Una vez que hemos visto las principales características de Nmap, y el estado de los puertos que tenemos disponibles, vamos a instalarlo y utilizarlo.

Descarga e instalación de Nmap en cualquier sistema

Lo primero que tenemos que hacer para utilizar este programa tan potente, es descargarlo y posteriormente instalarlo. En la sección de descargas de Nmap podéis encontrar todos los enlaces, binarios y código fuente para su instalación en sistemas operativos Windows, Linux y MacOS. Este programa, actualmente lo tenemos disponible en todos los repositorios de los sistemas operativos basados en Linux, por lo que su instalación es realmente sencilla. Nosotros hemos instalado este programa en Ubuntu, pero simplemente ejecutando la orden de instalación de vuestro sistema operativo seguido de «nmap», instalaréis el programa sin dificultades.

Una vez instalado ya podemos utilizarlo desde un terminal, ya sea en Windows, Linux o macOS. En todos los ejemplos que os pondremos a continuación, hemos utilizado el sistema operativo Ubuntu, pero los mismos comandos los tenemos disponibles para Windows y macOS, sin ningún cambio.

Ejemplos de uso de Nmap

Escaneo rápido de puertos

Si quieres realizar un escaneo rápido de puertos a un determinado host, debemos teclear el siguiente comando.

Por ejemplo, si queremos realizar un escaneo rápido de los principales puertos a un host con dirección IP 192.168.1.2, la orden sería la siguiente:

El programa nos devolverá los puertos que se encuentran abiertos en el equipo objetivo.

Realizar escaneo de un rango de puertos

En lugar de realizar un escaneo de todos los puertos, podemos establecer un rango de puertos a comprobar. Para ello ejecutaremos:

Si queremos realizar un escaneo de puertos desde el 20 TCP hasta el 200 TCP en la dirección IP 192.168.1.2, basta con ejecutar la siguiente orden:

El programa nos indicará dentro de ese rango qué puertos están abiertos.

Detectar el sistema operativo y más datos del host

Podemos indicar a Nmap que detecte el sistema operativo. Esto lo realiza enviando paquetes y analizando la forma en que los devuelve, siendo en cada sistema totalmente diferente. Junto a esto, realizará una exploración de puertos y de los servicios en busca de vulnerabilidades. Asimismo, el escaneo devolverá información útil. Para ello debemos ejecutar:

Si queremos realizar este escaneo a la dirección IP 192.168.1.2 podemos ejecutar la siguiente orden:

Listado de todos los comandos

Este programa es realmente completo, hasta el momento hemos utilizado los comandos básicos para descubrir hosts y también para ver si tiene los puertos abiertos, sin embargo, esto no se queda así, y tenemos un gran listado de comandos para exprimir al máximo esta herramienta.

Seleccionar objetivos

Direcciones o rangos IP, nombres de sistemas, redes, etc.

• Ejemplo: scanme.nmap.org, microsoft.com/24, 192.168.0.1, 10.0.0-255.1-254
• -iL fichero lista en fichero -iR n elegir objetivos aleatoriamente, 0 nunca acaba
• –exclude –excludefile fichero excluir sistemas desde fichero

Descubrir sistemas

• -PS n tcp syn ping
• -PA n ping TCP ACK
• -PU n ping UDP
• -PM Netmask Req
• -PP Timestamp Req
• -PE Echo Req
• -sL análisis de listado
• -PO ping por protocolo
• -PN No hacer ping
• -n no hacer DNS
• -R Resolver DNS en todos los sistemas objetivo
• –traceroute: trazar ruta al sistema (para topologías de red)
• -sP realizar ping, igual que con –PP –PM –PS443 –PA80

Técnicas de análisis de puertos

• -sS análisis utilizando TCP SYN
• -sT análisis utilizando TCP CONNECT
• -sU análisis utilizando UDP
• -sY análisis utilizando SCTP INIT
• -sZ utilizando COOKIE ECHO de SCTP
• -sO protocolo IP
• -sW ventana TCP -sN
• –sF -sX NULL, FIN, XMAS
• –sA TCP ACK

Puertos a analizar y orden de análisis

• -p n-mrango
• -p– todos los puertos
• -p n,m,z especificados
• -p U:n-m,z T:n,m U para UDP, T para TCP
• -F rápido, los 100 comunes
• –top-ports n analizar los puertos más utilizados
• -r no aleatorio

Duración y ejecución:

• -T0 paranoico
• -T1 sigiloso
• -T2 sofisticado
• -T3 normal
• -T4 agresivo
• -T5 locura
• –min-hostgroup
• –max-hostgroup
• –min-rate
• –max-rate
• –min-parallelism
• –max-parallelism
• –min-rtt-timeout
• –max-rtt-timeout
• –initial-rtt-timeout
• –max-retries
• –host-timeout –scan-delay

Detección de servicios y versiones

• -sV: detección de la versión de servicios
• –all-ports no excluir puertos
• –version-all probar cada exploración
• –version-trace rastrear la actividad del análisis de versión
• -O activar detección del S. Operativo
• –fuzzy adivinar detección del SO
• –max-os-tries establecer número máximo de intentos contra el sistema objetivo

Evasión de Firewalls/IDS

• -f fragmentar paquetes
• -D d1,d2 encubrir análisis con señuelos
• -S ip falsear dirección origen
• –g source falsear puerto origen
• –randomize-hosts orden
• –spoof-mac mac cambiar MAC de origen

Parámetros de nivel de detalle y depuración

• -v Incrementar el nivel de detalle
• –reason motivos por sistema y puerto
• -d (1-9) establecer nivel de depuración
• –packet-trace ruta de paquetes

Otras opciones

• –resume file continuar análisis abortado (tomando formatos de salida con -oN o -oG)
• -6 activar análisis IPV6
• -A agresivo, igual que con -O -sV -sC –traceroute

Opciones interactivas

• v/V aumentar/disminuir nivel de detalle del análisis
• d/D aumentar/disminuir nivel de depuración
• p/P activar/desactivar traza de paquetes

Scripts

• -sC realizar análisis con los scripts por defecto
• –script file ejecutar script (o todos)
• –script-args n=v proporcionar argumentos
• –script-trace mostrar comunicación entrante y saliente

Formatos de salida

• -oN guardar en formato normal
• -oX guardar en formato XML
• -oG guardar en formato para posteriormente usar Grep
• -oA guardar en todos los formatos anteriores

Principalmente estos son los comandos de que dispone Nmap. Antes de terminar, debemos decir que Nmap dispone de multitud de opciones con las que poder realizar completos análisis de redes. Podemos consultar todas las opciones disponibles tecleando:

Nmap es sin duda una herramienta muy sencilla y completa para realizar auditorías de redes, pero esto no acaba aquí, también tenemos disponible Nmap NSE para realizar pentesting avanzados.

Nmap NSE: qué es y para qué sirve

Nmap Search Engine o también conocido como Nmap NSE, es una gran base de datos con miles de scripts que nos permitirá automatizar la realización de pentesting a sistemas y redes. Este conjunto de scripts nos permitirá automatizar muchas acciones, como realizar ataques de fuerza bruta a servidores Samba, servidores FTP, servidores SSH, comprobar si un servidor web tiene una vulnerabilidad ya conocida, y mucho más.

Por ejemplo, si queremos realizar un ataque de fuerza bruta, basado en un listado de usuarios (con un archivo que se llame usuarios.txt) y con un listado de contraseñas a probar (con un archivo que se llame claves.txt) a un servidor SSH de un determinado equipo que tiene la IP 99.99.99.99, podemos poner el siguiente comando:

Os recomendamos visitar la web oficial de uso de NSE donde encontraréis todos los scripts que hay actualmente en esta gran base de datos, además, tendréis ejemplos de cómo utilizarlos.

El artículo Realiza escaneos de puertos con Nmap a cualquier servidor o sistema se publicó en RedesZone.

Mantener una comunicación segura a través de una red insegura como Internet, es una de las principales preocupaciones de cualquier usuario en Internet, y también de las diferentes empresas. Los principales motivos para usar una VPN, es que nos permite establecer comunicaciones seguras, con autenticación y cifrado de datos para proteger toda la información intercambiada. IPsec es uno de los protocolos de seguridad más importantes, el cual proporciona una capa de seguridad a todas las comunicaciones IP entre dos o más participantes. Hoy en RedesZone vamos a ver en detalle qué es IPsec, cómo funciona y también cómo podríamos configurarlo y dónde.

Una VPN son las siglas de «Virtual Private Network», o también conocida como red privada virtual, y es una tecnología de red que nos permite extender las comunicaciones de la LAN sobre la red de Internet, y todo ello de manera totalmente segura gracias al uso de la criptografía. Una VPN nos permitirá que un ordenador envíe y reciba datos sobre redes compartidas o públicas, pero estando lógicamente en la red privada con todas sus funcionalidades, permisos, seguridad, políticas de gestión etc.

Algunos usos muy típicos de las VPN son los siguientes:

• Posibilidad de conectar dos o más sedes de una empresa entre sí, usando para ello la conectividad a Internet.
• Permitir a los miembros del equipo de soporte técnico la conexión desde sus casas a la empresa.
• Que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como, por ejemplo, en un hotel.

Todos estos usos, siempre será a través de una infraestructura que todos conocemos bien: Internet.

Dentro de las VPN, tenemos principalmente dos arquitecturas de VPN, las VPN de acceso remoto (VPN Roadwarrior o Mobile Clients) y las VPN de Sitio-a-Sitio (VPN Site-to-site). Dependiendo de nuestras necesidades, deberemos configurar una arquitectura u otra.

• VPN de acceso remoto (Roadwarrior o Mobile Client): esta arquitectura de VPN está diseñadas para que uno o varios usuarios se conecten a un servidor VPN, y pueda acceder a todos los recursos compartido de su hogar o empresa, además, permite que se realice una redirección del tráfico, de esta forma, saldremos a Internet a través del servidor VPN (y con la IP pública del servidor VPN). Este tipo de VPN son las más típicas que podemos configurar en los servidores NAS, en los routers, y en otros dispositivos cuyo objetivo es proporcionarnos una navegación segura a través de Internet. Estas VPN a nivel empresarial también servirían para aislar zonas y servicios de red interna que requiera una autenticación adicional, además, también podría ser una buena idea siempre que usemos la conectividad WiFi, tanto a nivel doméstico como empresarial, para añadir una capa más de cifrado.
• VPN Sitio a sitio (VPN Site-to-Site): esta arquitectura de VPN está diseñada para interconectar diferentes sedes, si, por ejemplo, tenemos una empresa con diferentes sedes, podremos interconectarlas entre ellas vía VPN y acceder a todos los recursos. El establecimiento de la conexión no se realiza en el cliente final, como ocurre con las VPN de acceso remoto, sino que lo realizan los routers o los firewalls, de esta forma, toda la red se verá como «una» sola, aunque el tráfico viaje por varios túneles VPN.

En la siguiente imagen podemos ver una arquitectura de VPN con ambos modelos, tanto VPN sitio a sitio (izquierda) como VPN de acceso remoto (derecha):

¿Qué debe garantizar una VPN para que sea segura?

Para conseguir que una conexión sea segura a través de una red privada virtual (VPN), se deben garantizar ciertas funciones, de lo contrario, podríamos estar ante una VPN no confiable. Ya os anticipamos que el protocolo IPsec cumple todas ellas, ya que es un protocolo de VPN seguro, que es ampliamente utilizado en las empresas.

Autenticación

La autenticación es uno de los procesos más importantes de una VPN, esta característica permite demostrar a un usuario que es realmente quien dice ser. La forma de demostrarlo es introduciendo una contraseña de paso, hacer uso de un certificado digital, o una combinación de ambas formas de autenticación. Cuando el host recibe un datagrama IPsec de un origen, el host está seguro de que la dirección IP de origen del datagrama es el origen real del mismo, porque se ha autenticado correctamente de forma previa.

Confidencialidad

La confidencialidad es otra de las características fundamentales de las VPN, la confidencialidad significa que se requiere que la información sea accesible únicamente a las entidades autorizadas, es decir, todas las comunicaciones están cifradas punto a punto, y solamente quien se haya autenticado previamente en el sistema, podrá descifrar toda la información intercambiada. Si alguien es capaz de situarse en el medio de la comunicación y la captura, no será capaz de descifrarla porque estará usando criptografía, ya sea criptografía de clave simétrica o asimétrica.

Integridad

Tan importante es la autenticación y la confidencialidad, como la integridad. La integridad significa que se puede asegurar que la información no ha sido modificada entre el origen de la comunicación hasta el destino. Todas las comunicaciones en una VPN, incluye códigos detectores de errores y que la información no se vea modificada. En caso de ser modificada, automáticamente se descarta el paquete, e incluso se podría ocasionar una caída del túnel VPN por seguridad. El protocolo IPsec, permite al host receptor verificar que los campos de cabecera del datagrama y la carga útil cifrada no han sido modificados mientras el datagrama estaba en ruta hacia el destino.

Imaginemos que tenemos autenticación y confidencialidad en una VPN, pero no tenemos integridad. Si un usuario en el medio de la comunicación modifica unos valores, en lugar de enviar una transferencia de dinero de 10€, podría convertirlo en 1.000€. Gracias a la característica de la integridad, en cuanto se modifica un bit se descarta el paquete y esperará a que vuelva a ser enviado.

No repudio

Esta característica de la criptografía significa que tú no puedes decir que no has enviado alguna información, porque está firmado por tu certificado digital, o por tu pareja de usuario/clave. De esta forma, podremos saber a ciencia cierta que ese usuario ha enviado una información en concreto. Solamente se puede «burlar» el no repudio, en caso de que alguien sea capaz de robar la pareja de usuario/clave o los certificados digitales.

Control de acceso (autorización)

Se trata de asegurar que los participantes autenticados tienen acceso únicamente a los datos a los que están autorizados. Se debe verificar la identidad de los usuarios y restringir su acceso a aquellos que estén autorizados. En un entorno empresarial esto es muy importante, un usuario debería tener el mismo nivel de acceso y mismos permisos que si estuviera físicamente, o menos permisos, pero nunca más permisos que los que tuviera de manera física.

Registro de actividad

Se trata de asegurar el correcto funcionamiento y la capacidad de recuperación. En el protocolo VPN se deberían registrar todas las conexiones establecidas, con dirección IP de origen, quién se ha autenticado, e incluso qué está haciendo en el sistema en función de la dirección IP virtual que se le haya proporcionado.

Calidad de servicio

Se trata de asegurar un buen rendimiento, que no haya una degradación poco aceptable en la velocidad de transmisión. Debemos tener en cuenta que cuando establecemos una conexión VPN, siempre tendremos menos velocidad real porque todo el tráfico va cifrado punto a punto, y dependiendo de la potencia del servidor VPN y de los clientes, podremos conseguir una mayor o menor velocidad. Antes de empezar a desplegar una VPN, deberíamos mirar el hardware del equipo y el ancho de banda máximo que podremos tener.

Introducción a IPsec

El protocolo IPsec es uno de los protocolos de seguridad más importantes, y es ampliamente utilizado en empresas, y también en usuarios domésticos. En los últimos tiempos, fabricantes como ASUS, AVM e incluso D-Link, están integrando VPN en sus routers domésticos basados en el protocolo IPsec. Este protocolo proporciona servicios de seguridad a la capa IP y a todos los protocolos superiores, como TCP y UDP (capa de transporte en internet). Gracias a IPsec, podemos comunicar diferentes puntos de Internet de forma segura, como dos o más empresas entre ellas, o un usuario con su hogar, IPsec se adapta perfectamente a las necesidades de VPN de ambos «mundos».

Una característica muy importante de IPsec es que trabaja en la capa 3 de OSI (capa de red), otros protocolos de VPN como OpenVPN o WireGuard trabajan en la capa 4 (capa de transporte), ya que estos dos últimos basan su seguridad en TLS y DTLS respectivamente. IPsec en redes IPv4 está justo por encima de la cabecera IP, sin embargo, en redes IPv6 está integrado (ESP) en la propia cabecera en la sección de «Extensiones».

IPsec proporciona todos servicios necesarios para que la comunicación sea segura, tal y como os hemos explicado anteriormente, estos servicios son los de autenticación, confidencialidad, integridad y no repudio. Gracias a estos servicios, la seguridad de las comunicaciones está garantizadas. Por supuesto, también tenemos control de acceso, calidad de servicio y registro de actividad.

Otra característica muy importante de IPsec, es que permite las dos arquitecturas de VPN, tanto VPN de acceso remoto como también VPN site-to-site. En cuanto a la negociación de la criptografía, IPsec integra un sistema de negociación para que los equipos finales negocien el mejor cifrado posible que soporten, acordar las claves de intercambio, y elegir los algoritmos de cifrado que tengan en común. Dependiendo de la cabecera de IPsec usada (AH o ESP), podremos comprobar solamente la autenticidad del paquete, o cifrar la carga útil de todo el paquete IP y comprobar también su autenticidad.

Cuando dos hosts han establecido una sesión IPsec, los segmentos TCP y datagramas UDP son enviados entre ellos cifrados y autenticados, además, se comprueba la integridad también para evitar que alguien lo pueda haber modificado. Por tanto, IPsec garantiza la seguridad de las comunicaciones.

Algunas ventajas de IPsec es que está apoyado por todos los estándares de la IETF, y proporciona un «estándar» de VPN por lo que todos los dispositivos deberían ser compatibles. IPSec está recibiendo un apoyo muy importante de todos los equipos de comunicaciones, ya que es el «estándar» de VPN, mucho más utilizado que OpenVPN o WireGuard. Todas las versiones de sistemas operativos para PC como Windows o Linux, MacOS para equipos Apple, y también Android y iOS soportan el protocolo IPsec. Además, otra característica muy importante, es que, al ser un estándar, hay interoperabilidad entre fabricantes, lo cual constituye una garantía para los usuarios. Otra característica destacable de IPSec es su carácter de estándar abierto, y se complementa perfectamente con la tecnología PKI (Infraestructura de Clave Pública).

IPsec combina tecnologías de clave pública (RSA o Curvas Elípticas), algoritmos de cifrado simétricos (AES principalmente, aunque también soporta otros como Blowfish o 3DES), y algoritmos de hash (SHA256, SHA512 etc), así como certificados digitales basados en X509v3.

Cabeceras de IPsec

El protocolo IPsec tiene una arquitectura con varias cabeceras, dependiendo de lo que nos interese «asegurar», podremos elegir una cabecera u otra, no podemos elegir ambas cabeceras simultáneamente en un mismo túnel de IPsec. Las cabeceras que tenemos en este protocolo son las siguientes:

• Cabecera de Autenticación (AH)
• Carga de Seguridad Encapsulada (ESP)

A continuación, os vamos a explicar en detalle el funcionamiento de ambas cabeceras.

Cabecera de autenticación (AH)

Esta cabecera proporciona autenticación e integridad a los paquetes IP transmitidos, para proporcionar esta característica IPsec, hace uso de las huellas digitales HMAC. El propio protocolo se encargará de calcular una función hash al contenido del paquete IP, algunas de las funciones hash utilizadas por este protocolo son MD5 o SHA-1 que no son seguras, pero también soporta SHA256 o SHA512 que sí son seguras.

Esta cabecera proporciona al receptor de los paquetes IP un método para autenticar el origen de los datos, y verificar que dichos datos no han sido alterados en la comunicación. Un detalle muy importante, es que esta cabecera no proporciona confidencialidad porque no cifra los datos del paquete IP, por tanto, la información intercambiada puede ser vista por terceros a no ser que usen protocolos como HTTPS o FTPES con seguridad TLS.

AH es una cabecera de autenticación que se inserta entre la cabecera IP estándar (tanto en redes IPv4 como IPv6) y los datos transportados. Estos datos transportados pueden ser un mensaje TCP, UDP o ICMP, e incluso un datagrama IP completo. Dentro de la cabecera AH es donde se indica los datos de la capa superior, además, AH asegura la integridad y autenticidad de la propia cabecera IP, excepto los cambios variables como TOS, TTL, flags, offset y checksum.

http://www.frlp.utn.edu.ar/materias/internetworking/apuntes/IPSec/ipsec.pdf

El funcionamiento del protocolo AH es el siguiente:

1. El emisor calcula la función hash a partir del mensaje a transmitir. Se copiará a la cabecera AH en el campo «Datos de autenticación».
2. Se transmiten los datos vía Internet.
3. Cuando el paquete llega al receptor, aplicará la función hash y la comparará con la que ya tenía (ambos tienen la misma clave secreta compartida).

Si las huellas digitales coinciden, significa que el datagrama no ha sido modificado, de lo contrario, podremos afirmar que han manipulado la información.

Carga de seguridad encapsulada (ESP)

La Carga de Seguridad Encapsulada, o también conocida como ESP, ofrece autenticación, integridad y confidencialidad de los datos transmitidos a través de IPsec. Es decir, en este caso sí estaremos cifrando todo el campo de datos para que todas las comunicaciones sean confidenciales, a diferencia de AH que no cifra el mensaje transmitido. Para conseguir estas características de seguridad, se hace un intercambio de llaves públicas haciendo uso de Diffie-Hellmann para asegurar la comunicación entre ambos hosts.

La función principal del protocolo ESP integrado en IPsec, es proporcionar confidencialidad a los datos, para poder hacerlo, ESP define el cifrado y la forma en la que se ubicarán los datos en un nuevo datagrama IP. Para proporcionar autenticación e integridad, ESP usa mecanismos parecidos a AH. Debido a que ESP proporciona más funciones que AH, el formato de la cabecera es más complejo: este formato consta de una cabecera y una cola (que se coloca al final del paquete), por tanto, ESP «rodea» a los datos transportados. Respecto a los datos, ESP permite utilizar cualquier protocolo IP, por ejemplo, TCP, UDP, ICMP e incluso un paquete IP completo.

La estructura de un paquete ESP es la siguiente:

http://www.frlp.utn.edu.ar/materias/internetworking/apuntes/IPSec/ipsec.pdf

ESP pertenece al nivel de red dentro de TCP/IP. El área de datos queda totalmente cifrada, también se podría autenticar el propio datagrama para proporcionar mayor seguridad. El cifrado de los datos se realiza mediante algoritmos de clave simétrica, habitualmente se usan cifrados en bloque (como AES), el cifrado de los datos se hacen mediante múltiplos del tamaño del bloque, por este motivo tenemos el «Padding», un campo de relleno.

Para cifrar los datos, primero el emisor cifra el mensaje original usando una clave y lo introduce en un nuevo datagrama IP (que es protegido por la cabecera ESP). En el hipotético caso de que alguien intercepte el mensaje (Man In The Middle), sólo obtendrá datos sin sentido ya que no tiene la clave secreta para descifrar el mensaje. Cuando el mensaje llegue al destino, éste aplicará la clave secreta sobre los datos y descifrará el paquete.

El algoritmo más utilizado es AES en todas sus versiones (128 y 256bits) y en sus distintos modos de cifrado como AES-CBC, AES-CFB y AES-OFB. No obstante, es recomendable hacer uso de AES-GCM que nos proporcionará AEAD y es mucho más seguro que los demás. Por tanto, es fundamental usar un buen algoritmo de cifrado para proteger todos los datos, la distribución de las claves de forma segura será muy importante. Un tema delicado es que a ambos lados de la comunicación se pongan de acuerdo con los algoritmos y la autenticación, de esto se encargará el protocolo IKE.

IKE: qué es y para qué sirve

Este protocolo IKE (Internet Key Exchange) se utiliza para generar y administrar las claves necesarias para establecer las conexiones AH (Cabecera de autenticación) y ESP (Carga de Seguridad Encapsulada). Los dos o más participantes de la conexión IPsec deberán acordar de alguna manera, los tipos de cifrados y los algoritmos de autenticación para poder establecer la conexión de una forma segura. Esta configuración se podrá hacer de forma manual a ambos extremos del canal, o a través de un protocolo (el protocolo IKE) para que se encargue de la negociación automática de los participantes (SA = Asociación de Seguridad).

El protocolo IKE no sólo se encarga de la gestión y administración de las claves, sino también del establecimiento de la conexión entre los participantes correspondientes. IKE no sólo está en IPsec, sino que puede ser usado en los distintos algoritmos de enrutamiento como OSPF o RIP.

Fases de la negociación IKE

El establecimiento del canal seguro se hará usando un algoritmo de intercambio de claves como Diffie-Hellman para cifrar la comunicación IKE. Esta negociación se realiza mediante un único SA bidireccional. La autenticación puede ser mediante PSK (clave compartida) o con otros métodos como certificados RSA. Usando el canal seguro que se ha creado, se negociará la asociación de seguridad de IPsec (u otros servicios).

Algunas características de IKE

IKE es compatible con NAT transversal, aunque uno o los dos participantes estén detrás de una NAT, la conexión se podrá realizar sin muchos problemas, aunque tendremos que abrir puertos en el servidor VPN si está detrás de la NAT. Se usan números de secuencia y ACK’s para proporcionar confiabilidad, también incluye sistema de procesamiento de errores. IKE es resistente a ataques de denegación de servicio, además, IKE no realiza ninguna acción hasta que determina si el extremo que realiza la petición realmente existe, de esta forma, se protege contra ataques desde direcciones IP falsas.

Actualmente IKEv2 está ampliamente implantado en todos los firewalls y routers profesionales, no obstante, aún no está del todo extendido en el mundo Android o iOS, solamente los usuarios de smartphones Samsung soportan IPsec con IKEv2. Los sistemas operativos Windows, Linux y macOS sí son compatibles con este protocolo.

IKEv2: qué ha cambiado

IKEv2 es la segunda versión de este popular protocolo de Internet Key Exchange, incorpora mejoras para el NAT transversal, loq ue permite facilitar la comunicación y traspasar los cortafuegos en general. También soporta un nuevo estándar de mobilidad, lo que permite la reconexión de la comunicación de forma muy rápida, además, también permite multihoming (multiorigen), ideal para los usuarios de smartphones, tablets u ordenadores portátiles. IKEv2 permite hacer uso de SCTP que se usa en VoIP, también tiene un intercambio de mensajes más sencillo, tiene menos mecanismos criptográficos permitiendo solamente los más seguros. ¿Qué sentido tiene usar una VPN con cifrados inseguros? IKEv2 solamente permite utilizar los más seguros

Modos de funcionamiento: transporte o túnel

IPsec nos proporciona dos modos de funcionamiento muy distintos, tanto para la cabecera de autenticación (AH) como para la carga de seguridad encapsulada (ESP). Estos modos de funcionamiento se diferencian en el modo de direccionamiento de los paquetes. A continuación, os explicamos más a fondo las diferencias entre ambos.

Modo Transporte

La cabecera AH o el ESP es insertado entre el área de datos y la cabecera IP, de tal forma que, se mantienen las direcciones IP originales. El contenido encapsulado en un datagrama AH o ESP proviene directamente de la capa de transporte. Por tanto, la cabecera IPsec se insertará a continuación de la cabecera IP y justo antes de los datos aportados por la capa de transporte. De esta forma, sólo la carga útil es cifrada y autenticada. El esquema del datagrama sería el siguiente:

El modo transporte asegura la comunicación extremo a extremo, pero los extremos deben saber de la existencia del protocolo IPsec para poder entenderse.

Modo Túnel

En el modo túnel, el paquete IP entero (cabecera + datos) es cifrado y autenticado si se usa ESP. Este paquete será encapsulado en un nuevo paquete IP, por tanto, la dirección IP cambiará por la del último paquete IP. Por tanto, al paquete original se le añade una cabecera AH o ESP, y a continuación, se le añade la cabecera IP que servirá para encaminar el paquete a través de la red.

El modo túnel normalmente es usado para comunicar redes con redes, pero también se puede usar (y de hecho se usa), para comunicar ordenadores con redes y ordenadores con ordenadores. Este modo de funcionamiento facilita que los nodos puedan ocultar su identidad de otros nodos que se estén comunicando, al utilizar el modo túnel, podremos tener una subred específicamente dedicada para los clientes VPN. El modo túnel es empleado principalmente por los gateways IPSec, con objeto de identificar la red que protegen bajo una misma dirección IP, y centralizar, de este modo, el procesado del tráfico IPSec en un equipo.

En la siguiente imagen podéis ver una comparativa entre ambos esquemas de funcionamiento, usando siempre ESP:

Una vez que hemos visto los dos modos de funcionamiento, vamos a ver qué métodos de autenticación tenemos en IPsec.

Métodos de autenticación

En el protocolo IPsec tenemos un total de cuatro métodos de autenticación: clave compartida, firmas digitales RSA, certificados digitales X.509 y autenticación mediante un grupo de usuarios XAuth. Dependiendo del escenario donde deseemos implementar IPsec, se utilizará un método de autenticación u otro, cada uno de estos métodos poseen unas ventajas y unos inconvenientes que serán citados. A continuación, os explicamos en detalle estos cuatro métodos.

Clave compartida

La clave compartida es una clave formada por una cadena de caracteres (la de toda la vida) que sólo conocerán los dos extremos de la comunicación para establecer la conexión IPsec. Mediante el empleo de algoritmos de autenticación (HASH), se comprobarán que las claves son correctas sin necesidad de que dichas claves se revelen. Para que este método sea seguro, debe haber una clave por cada pareja de participantes en la comunicación. Este tipo de autenticación es inviable para muchos participantes, ya que habrá un número muy grande de claves.

Aunque se empleen hashes para el intercambio de claves en la conexión, antes de esta conexión, las claves deben estar en ambos extremos de la comunicación, por este motivo, no podemos saber a ciencia cierta si esa clave ha sido capturada cuando se envió. Sólo podremos asegurar que está a salvo si la entregamos en mano. Esta técnica es útil para redes pequeñas, pero para redes medianas y grandes en totalmente inviable.

Firmas Digitales RSA

IPsec trabaja con el protocolo IKE para la gestión de las claves y la seguridad de forma automática, utiliza las firmas digitales RSA para el intercambio seguro de claves mediante la pareja de claves públicas y privadas. Estas claves tienen el mismo problema que la clave compartida, de alguna manera tenemos que enviar las claves hacia «el otro lado», pero sí podemos modificar las claves de forma segura mediante el protocolo IKE.

Por tanto, para asegurar la red, es conveniente cambiar estas claves con cierta frecuencia. Estas firmas RSA proporcionan a la red autenticación y confidencialidad.

Certificados X.509

Una de las formas de autenticación más seguras en IPsec, es trabajar con certificados digitales, creando una infraestructura de clave pública (PKI) con su correspondiente CA (Autoridad de Certificación), el certificado digital del servidor y los certificados digitales de los clientes. Gracias a estos certificados digitales, podremos establecer una autenticación muy robusta, además, podremos también trabajar con certificados digitales, estos certificados contiene la clave pública del propietario y su identificación. El propietario posee también una pareja de claves públicas y privada para operar con ellas a la hora de la validación.

La utilización de estos certificados hace aparecer en escena el protocolo PKI para autenticar a los nodos implicados en la comunicación IPsec. La utilización de esta PKI, ayuda a la tarea de crear nuevos certificados y dar de baja otros. La validez del certificado digital es otorgada por la PKI, esta PKI integra la CA que contiene la clave pública y la identidad del propietario. Los extremos implicados en la conexión IPsec reconocerán la CA como válida, ya que poseen una copia de dicha CA (la clave pública de la CA).

La validación de los certificados se realiza mediante la lista de revocación de certificados (CRL) que está almacenada en la PKI. Todos los participantes tendrán una copia de esta CRL que se actualiza de forma constante.

Autenticación mediante grupo de usuarios XAuth

Este método añade un usuario y una contraseña a los certificados digitales vistos anteriormente (X.509), de tal forma que, aparte de validar el certificado, también validará el usuario y contraseña. Para validar estos usuarios y contraseñas, podremos hacer uso de un servidor Radius, o directamente una pequeña base de datos con el listado de usuarios y contraseñas.

Establecimiento de la conexión

La negociación de un túnel IPsec se realiza mediante el protocolo IKE que nos proporcionará una conexión cifrada y autenticada entre los dos extremos de la comunicación. En el procedimiento de conexión se acordarán las claves y la seguridad utilizada para establecer la conexión IPsec. El procedimiento de conexión se realiza en dos partes bien diferenciadas. A continuación, explicamos estas dos partes.

1. Proporcionar autenticación y seguridad a la conexión

Para asegurar la conexión, se utilizará un algoritmo de cifrado simétrico y una firma HMAC. Las claves se intercambian mediante un algoritmo de intercambio de claves, como Diffie-Hellman. Este método no garantiza que los participantes son quienes dicen ser, por tanto, utilizaremos una clave precompartida o unos certificados digitales.

La primera parte de la comunicación termina cuando se han acordado los parámetros de seguridad, y se ha asegurado el canal de comunicación.

2. Proporcionar confidencialidad de los datos.

El canal seguro IKE que hemos establecido, es empleado para negociar parámetros de seguridad específicos de IPsec (cabecera AH o ESP, algoritmos de autenticación etc.) Estos parámetros específicos pueden incluir nuevas claves Diffie-Hellman, para proporcionar mayor seguridad, siempre y cuando tengamos configurado el PFS (Confidencialidad Directa Perfecta), lo cual es muy recomendable para hacer aún más robusta la VPN.

Servicios de seguridad que ofrece IPsec

Confidencialidad

El servicio de confidencialidad se obtiene mediante la función de cifrado incluida en el protocolo ESP. En este caso es recomendable activar la opción de autenticación, ya que, si no se garantiza la integridad de los datos el cifrado es inútil. Esto es debido a que aunque los datos no pudiesen ser interpretados por nadie en tránsito, éstos podrían ser alterados haciendo llegar al receptor del mensaje tráfico sin sentido que sería aceptado como tráfico válido.

Además de ofrecer el cifrado del tráfico, el protocolo ESP también tiene herramientas para ocultar el tipo de comunicación que se está realizando; para ello permite introducir caracteres de relleno en el contenido de los datos del paquete, de modo que se oculta la verdadera longitud del mismo. Ésta es una protección útil contra las técnicas de análisis de tráfico, que permiten a un atacante deducir información útil a partir del estudio de las características del tráfico cifrado

Integridad y autenticación del origen de los datos

El protocolo AH es el más adecuado si no se requiere cifrado. La opción de autenticación del protocolo ESP ofrece una funcionalidad similar, aunque esta protección, a diferencia de AH, no incluye la cabecera IP. Como se comentó anteriormente, esta opción es de gran importancia para aquellas aplicaciones en las cuales es importante garantizar la invariabilidad del contenido de los paquetes IP.

Detección de repeticiones

La autenticación protege contra la suplantación de la identidad IP, sin embargo, un atacante todavía podría capturar paquetes válidos y reenviarlos al destino. Para evitar este ataque, tanto ESP como AH incorporan un procedimiento para detectar paquetes repetidos. Dicho procedimiento está basado en un número de secuencia incluido en la cabecera ESP o AH, el emisor incrementa dicho número por cada datagrama que envía y el receptor lo comprueba, de forma que los paquetes repetidos serán ignorados.

Esta secuencia no podrá ser modificada por el atacante, debido a que se encuentra protegida por medio de la opción de integridad para cualquiera de los dos protocolos (AH y ESP) y cualquier modificación en este número provocaría un error en la comprobación de la integridad del paquete.

Control de acceso: Autenticación y autorización

Dado que el uso de ESP y AH requiere el conocimiento de claves, y dichas claves son distribuidas de modo seguro mediante una sesión IKE en la que ambos nodos se autentican mutuamente, existe la garantía de que sólo los equipos deseados participan en la comunicación.

Es conveniente aclarar que una autenticación válida no implica un acceso total a los recursos, ya que IPSec proporciona también funciones de autorización. Durante la negociación IKE se especifica el flujo de tráfico IP que circulará a través de la conexión IPSec. Esta especificación es similar a un filtro de paquetes, considerándose el protocolo, las direcciones IP de los puertos origen y destino, el byte «TOS» y otros campos. Por ejemplo, puede utilizarse IPSec para permitir el acceso desde una sucursal, a la red local del centro.

No repudio

El servicio de no repudio es posible si se usa IKE con autenticación mediante certificados digitales. En este caso, el procedimiento de autenticación se basa en la firma digital de un mensaje que contiene la identidad del participante. Dicha firma, gracias al vínculo entre la clave pública y la identidad que garantiza el certificado digital, es una prueba inequívoca de que se ha establecido una conexión IPSec con un equipo determinado, de modo que éste no podrá negarlo. En la práctica, sin embargo, esta prueba es más compleja, ya que requeriría almacenar los mensajes de negociación IKE.

L2TP/IPsec: ¿qué es esto?

L2TP (Layer 2 Tunneling Protocol) es un protocolo utilizado para VPN que fue diseñado por un grupo de trabajo de IETF, como el heredero de PPTP, y fue creado para corregir las deficiencias de este protocolo y establecerse como un estándar. L2TP utiliza PPP para proporcionar acceso telefónico, que puede ser dirigido a través de un túnel por Internet hasta un punto determinado. L2TP incluye los mecanismos de autenticación de PPP, PAP y CHAP, además, de forma similar a PPTP, soporta la utilización de estos protocolos de autenticación, como RADIUS.

A pesar de que L2TP ofrece un acceso con soporte multiprotocolo y acceso a redes de área local remotas, no presenta unas características criptográficas especialmente robustas. Sólo se realiza la operación de autenticación entre los puntos finales del túnel, pero no para cada uno de los paquetes que viajan por él. Esto puede dar lugar a suplantaciones de identidad en algún punto interior al túnel. Sin comprobación de la integridad de cada paquete, sería posible realizar un ataque de denegación del servicio por medio de mensajes falsos de control que den por acabado el túnel L2TP o la conexión PPP subyacente.

L2TP no cifra de manera robusta el tráfico de datos de los usuarios, por tanto, da problemas cuando sea importante mantener la confidencialidad de los datos. A pesar de que la información contenida en los paquetes puede ser cifrada, este protocolo no dispone de mecanismos para generación automática de claves, o refresco automático de claves. Esto puede hacer que alguien que escuche en la red y descubra una única clave tenga acceso a todos los datos transmitidos.

Teniendo en cuenta todas estas debilidades de L2TP, la IETF tomó la decisión de utilizar los propios protocolos del protocolo IPsec, para proteger los datos que viajan por el túnel L2TP. Por este motivo, siempre se escriben de forma «L2TP/IPsec», por se hace uso de ambos protocolos simultáneamente, además, este protocolo conjunto es ampliamente utilizado. Se podría decir que L2TP es el protocolo a nivel de capa de “enlace”, y que no tiene seguridad, sin embargo, IPSec le proporciona la seguridad a nivel de capa de red para que la utilización de este protocolo sí sea segura.

Por este motivo, siempre vamos a encontrar la nomenclatura L2TP/IPSec de manera conjunta, porque se utilizan ambos protocolos para tener una conexión VPN segura.

Conclusiones

IPSec es un estándar de seguridad extraordinariamente potente y flexible. Su importancia reside en que aborda una carencia tradicional en el protocolo IP: la seguridad. Gracias a IPSec ya es posible el uso de redes IP para aplicaciones críticas, como las transacciones comerciales entre empresas. Al mismo tiempo, es la solución ideal para aquellos escenarios en que se requiera seguridad, independientemente de la aplicación, de modo que es una pieza esencial en la seguridad de las redes IP. El protocolo IPSec es ya uno de los componentes básicos de la seguridad en las redes IP hoy en día.

El artículo Mejora la seguridad de tu VPN con el protocolo IPsec se publicó en RedesZone.

El investigador de seguridad Jonas L ha descubierto una vulnerabilidad en el sistema de archivos NTFS de Windows que permite corromper un disco con un simple comando de una sola línea.

Ese comando puede esconderse dentro de un archivo de acceso directo de Windows, un archivo ZIP, o varios otros vectores. En el primer caso, el bug es tan extraño que se puede explotar la vulnerabilidad incluso si nunca abre el archivo, solo basta con que el usuario mire la carpeta en la que se encuentra el acceso directo.

La vulnerabilidad puede ser activada por cualquier usuario sin privilegios elevados en Windows 10

NTFS VULNERABILITY CRITICALITY UNDERESTIMATED
-
There is a specially nasty vulnerability in NTFS right now.
Triggerable by opening special crafted name in any folder anywhere.'
The vulnerability will instant pop up complaining about yuor harddrive is corrupted when path is opened pic.twitter.com/E0YqHQ369N

— Jonas L (@jonasLyk) January 9, 2021

Esta vulnerabilidad puede ser activada por cualquier tipo de usuario, no es necesario tener privilegios de administrador, ni credenciales especiales, ni permisos de escritura. Solo basta con abrir un archivo, dentro de cualquier carpeta del sistema, que tenga un nombre escrito especialmente con el comando mencionado.

Cuando esto pasa, Windows empieza a mostrar mensajes indicando que los datos del disco se han dañado y pedirá un reinicio para repararlo. El investigador explicó que este fallo apreció con Windows 10 1803, es decir, la actualización de abril de 2018, y está presente hasta en la más reciente versión del sistema.

El comando en cuestión, que advertimos no debe ser probado en un sistema activo, solo en máquinas virtuales a menos que quieras que tu disco se corrompa y posiblemente te deje sin acceso a sus datos, sirve para intentar acceder al archivo $i30 (el índice de atributos del sistema de archivos NTFS de Windows) en una carpeta de cierta manera.

En Genbeta

Por qué tras más de 40 años no puedes poner el nombre “con” a un archivo en Windows 10

Si por ejemplo, se usa el comando cd c:\:$i30:$bitmap como la ubicación del icono de un archivo de acceso directo (.url), esto activará la vulnerabilidad incluso si el usuario no abre el archivo, solo basta con que abra la carpeta donde está el archivo, ya que para mostrar el icono en cuestión el Explorador de Windows intentará acceder a la ruta de archivo que ha sido establecida como ese comando.

El investigador no tiene claro el por qué acceder a ese atributo corrompe el disco, puesto que la clave del Registro de Windows que ayudaría a diagnosticar el problema, no funciona. Una vez que el disco se corrompe, Windows 10 genera errores en el Registro de eventos que dicen que la Tabla Maestra de Archivos (MFT) contiene un registro dañado.

Jonas también explica que la vulnerabilidad puede ejecutarse de forma remota si es activada por cualquier tipo de servicio que permita abrir archivos con nombres específicos. Se pueden insertar en código HTML, en carpetas compartidas, o dentro de archivos ZIP que tengan muchos más archivos legítimos para confundir al usuario.

Microsoft dice estar investigando cualquier problema de seguridad reportado y ofrecerán actualizaciones sobre equipos comprometidos tan pronto como sea posible.

Vía | BleepingComputer

-
La noticia Windows 10 tiene un bug que puede corromper tu disco duro con tan solo ver un icono fue publicada originalmente en Genbeta por Gabriela González .

Siempre que naveguemos por Internet podemos tener ciertos problemas de privacidad. Es una realidad que nuestros datos tienen un gran valor. Pueden usarlos con fines muy variados, como por ejemplo incluirlos en campañas de Spam o incluso llegar a suplantar la identidad. Simplemente con visitar una página web o usar cualquier servicio en línea podemos tener problemas. De ahí que muchos usuarios opten por hacer que la conexión sea más anónima. Podemos utilizar determinadas herramientas, como podría ser una VPN. Sin embargo a veces no es suficiente. Vamos a explicar cómo realizar un test de fuga de DNS.

Por qué es importante cifrar todo el tráfico correctamente

Cuando usemos algún tipo de programas como VPN o servicios proxy, es esencial que funcionen correctamente. De lo contrario podrían filtrar información como por ejemplo los DNS. De esta forma no seríamos anónimos y los servidores que visitamos sabrían dónde estamos y podrían obtener información.

Por tanto, cuando hagamos uso de una VPN, por ejemplo, es interesante comprobar que funciona correctamente. De nada serviría si tiene vulnerabilidades que puedan ser explotadas o filtre datos, como hemos mencionado.

Esto es algo que podría ocurrir especialmente al utilizar programas gratuitos que no cuentan con las medidas adecuadas de seguridad. Podrían tener problemas sin corregir o que incluso sean utilizados con fines lucrativos para, precisamente, recopilar los datos de los usuarios que lo instalan.

Por suerte tenemos ciertas herramientas que también nos ayudan a comprobar el buen funcionamiento. Podemos simplemente realizar un test y ver si los DNS se están filtrando o si, por el contrario, todo funciona correctamente.

Test para comprobar fugas de DNS

En este sentido tenemos un amplio abanico de posibilidades. Podemos utilizar diferentes herramientas que hay en Internet y que son gratuitas. Su funcionamiento es muy simple, ya que únicamente nos indican los DNS que estamos utilizando, así como la ubicación donde nos encontramos. Si por ejemplo estamos en España pero tenemos instalada una VPN para simular que nos encontramos en Alemania y al realizar una prueba aparece que estamos en España, algo funciona mal.

DNSLeakTest

La página web de DNSLeakTest es una de las opciones que tenemos disponibles. Es muy sencilla de utilizar. Simplemente hay que entrar en ella y automáticamente nos mostrará nuestra dirección IP y la ubicación donde se encuentra.

Si estamos utilizando una VPN conectada en otro país, debería de aparecer que estamos en esa nación. En nuestro caso hemos probado un servicio VPN que simula que nos encontramos en Países Bajos. Al acceder a este sitio, como podemos ver en la imagen de abajo, nos muestra que efectivamente nos encontramos allí.

Tiene varias opciones. Una de ellas es la estándar, que únicamente nos muestra lo que hemos visto en la imagen, mientras que otra opción es un test extendido, que es más completo y también tarda más tiempo en dar los resultados.

DNSLeak

Una opción muy similar es la de DNSLeak. Nada más entrar nos indicará cuál es la dirección IP que ha detectado. A continuación simplemente tenemos que darle a Start y realizar un análisis para ver si hay alguna fuga de DNS.

IPLeak

Otra página también gratuita y fácil de usar que tenemos a nuestra disposición para comprobar posibles fugas de DNS o direcciones IP es IPLeak. Nada más entrar analiza la IP y los DNS que tenemos.

En nuestro caso, con una VPN configurada en esta ocasión para que simule estar en Estados Unidos, nos aparece que estamos en dicho país. Como vemos, nos indica que todo está correcto y que no hay ningún tipo de fuga que pueda dañar la privacidad.

Perfect Privacy

También podemos utilizar la página de Perfect Privacy. Tiene función para comprobar fugas de DNS, ver la dirección IP y realizar un test WebRTC. El objetivo, como los casos anteriores, es comprobar que todo funciona correctamente y que nuestra privacidad no se ve comprometida al utilizar una VPN.

En definitiva, estas son algunas opciones que tenemos para comprobar si hay fugas DNS en nuestra conexión. La misión de estas páginas es permitir que conozcamos qué dirección IP y DNS pueden registrar los sitios que visitamos. De esta forma sabremos si la VPN que estamos utilizando funciona bien o deberíamos de cambiar a otra.

El artículo Conoce estos test para ver si tienes fugas de DNS se publicó en RedesZone.

What do we want? Retro gaming, adult beverages, and our favourite Spotify playlist. When do we want them? All at the same time.

Luckily, u/breadtangle took to reddit to answer our rum-soaked prayers with this beautifully crafted beer barrel-cum-arcade machine-cum-drinks cabinet.

The addition of a sneaky hiding spot for your favourite tipple, plus a musical surprise, set this build apart from the popular barrel arcade projects we’ve seen before, like this one featured a few years back on the blog.

Retro gaming

A Raspberry Pi 3 Model B+ runs RetroPie, offering all sorts of classic games to entertain you while you sample from the grownup goodies hidden away in the drinks cabinet.

The maker’s top choice is Tetris Attack for the SNES.

Background music

What more could you want now you’ve got retro games and an elegantly hidden drinks cabinet at your fingertips? u/breadtangle‘s creation has another trick hidden inside its smooth wooden curves.

The Raspberry Pi computer used in this build also runs Raspotify, a Spotify Connect client for Raspberry Pi that allows you to stream your favourite tunes and playlists from your phone while you game.

You can set Raspotify to play via Bluetooth speakers, but if you’re using regular speakers and are after a quick install, whack this command in your Terminal:

curl -sL https://dtcooper.github.io/raspotify/install.sh | sh

u/breadtangle neatly tucked a pair of Logitech z506 speakers on the sides of the barrel, where they could be protected by the overhang of the glass screen cover.

Hardware

The build’s joysticks and buttons came from Amazon, and they’re set into an off-cut piece of kitchen countertop. The glass screen protector is another Amazon find and sits on a rubber car-door edge protector.

The screen itself is lovingly tilted towards the controls, to keep players’ necks comfortable, and u/breadtangle finished off the build’s look with a barstool to sit on while gaming.

We love it, but we have one very important question left…

Can we come round and play?

The post RetroPie booze barrel appeared first on Raspberry Pi.

Viernes, 8 de enero. 18 horas. La anunciada gran nevada del temporal Filomena empieza a ser más que evidente en buena parte de España. En esos momentos, muchos negocios deciden cerrar sus puertas y mandar a sus empleados a casa, ante el riesgo de que calles y carreteras queden intransitables.

Pero, al mismo tiempo, otros trabajadores salen de sus casas para pasar más de 12 horas encerrados, durante toda la noche, en un CPD, con el objetivo de que los sistemas no se caigan e Internet siga funcionando con normalidad.

Son el personal encargado de que, ante situaciones críticas e incluso extremas, los sistemas, los CPD y las redes sigan funcionando.

En Xataka

La gran nevada, vista desde el espacio en 11 espectaculares fotografías

Una actividad esencial

La actividad que se desarrolla en estos CPD es indispensable para que Internet pueda seguir funcionando: desde las plataformas de streaming a muchos de los servicios que se almacenan y gestionan en la nube pasan por las redes y estos centros. Son tan imprescindibles que están catalogados como actividad esencial en tiempos de pandemia.

Que tengan esta consideración conlleva, por ejemplo, que sean de las primeras instalaciones a las que hay que restablecer suministros energéticos, como la electricidad. Pero estas empresas deben velar para que, de producirse estas interrupciones, tengan las menores consecuencias posibles. Por eso, por ejemplo, los responsables de Interxion se aseguraron, días antes de la nevada, de que tener sus dos tanques de gasóleo (de 20.000 litros cada uno) completos, con el fin de tener una autonomía mínima de 48 horas en caso de que se fuera el suministro eléctrico.

De izquierda a derecha, Raúl Arroyo, Customer Support Engineer, Juan José Dueñas, Customer Support Engineer, Alejandro González, Customer Support Engineer y Roger Regueira, Customer Service Manager

Sin miedo, pero con incertidumbre

El trabajo de estos operarios consiste, de manera rutinaria, en velar porque no haya ningún tipo de incidencia en los centros de datos: controlar que la temperatura es correcta, que el grado de humedad también sea el adecuado, que no se producen cortes en el suministro eléctrico, que los servidores no se caen…

Además, están acostumbrados a trabajar en situaciones excepcionales, como olas de calor, en las que han llegado a registrar más de 58 grados en la azotea de los edificios que albergan los CPD.

Sin embargo, el personal que se encarga del mantenimiento de los CPD de Interxion (Francisco Peña, Site Manager de MAD01 y MAD02, Roger Manuel Regueira, Customer Service & Local IT Manager, o Raúl González, Facility Engineer), reconoce que nunca había vivido algo como esta gran nevada. “Climatológicamente, ha sido la situación más crítica que hemos vivido”, reconocen. Pero aseguran que no tuvieron miedo, aunque sí incertidumbre, a la hora de enfrentarse a ella. “No tienes miedo, pero sí algunas inquietudes porque no sabes a ciencia cierta cómo van a reaccionar algunos equipos ante estas temperaturas extremas. Y, si pasa algo grave, cuánto tiempo puede tardar en solucionarse”, explica Oscar Sánchez, Facility Engineer.

Roger Manuel Regueira añade que, en situaciones como ésta, las dudas vienen más por cómo pueden reaccionar suministradores externos. “Sabes que las máquinas van a responder”, explica. “El problema puede venir si hay un corte de luz ajeno a nosotros. Eso nos obliga a estar con grupos electrógenos externos que tienen que dar electricidad a todo el edificio”, detalla.

Subir a la azotea y hacerte camino antes de vigilar las máquinas

Estos profesionales están acostumbrados a pasar noche en las instalaciones del CPD que Interxion tiene en Madrid y a hacer turnos de 12 horas. Tienen todo lo necesario para cumplir con su labor y poder realizar una vida “normal”, comida incluida.

Desde marzo, incluso, tienen camas para dormir en el propio CPD. Aunque finalmente no fue necesario acometer el plan, estaba previsto que pudieran permanecer encerrados durante todo un mes si el confinamiento lo exigía.

En el caso de la nevada, pudieron cumplir con turnos de 12 horas gracias a que muchos de ellos viven cerca del CPD y los accesos a las instalaciones estaban transitables. Alejandro González, Customer Support Engineer, fue uno de los que se quedó encerrado en el CPD mientras Filomena arreciaba. Como él, todos reconocen que, desde el estallido de la Covid-19, “tenemos la mentalidad de que podemos quedarnos encerrados en el CPD varios días para poder mantener la infraestructura”.

Algo que, por otro lado, viven con normalidad y naturalidad. Porque, como aseguran, forma parte de su trabajo rutinario.

Revisando máquinas y refrigeradores

El control de la temperatura y de la humedad son dos de los aspectos básicos y rutinarios, pero también críticos, que realizan estos profesionales. En momentos como el de la nevada, deben revisar cuidadosamente los enfriadores y hacer arranque de generadores. “Los generadores tienen resistencias, pero es bueno hacer un arranque de los mismos cada X horas para confirmar que funcionan perfectamente”, explican.

Los enfriadores están situados en la azotea de los edificios. Son las máquinas encargadas de enfriar el agua que circula por un circuito cerrado y que mantiene el CPD a una temperatura adecuada. Estos técnicos nos cuentan que la azotea tiene unos 2.500 metros cuadrados de superficie, ocupada en un 60-70% por estos enfriadores.

Durante la nevada, los operarios tuvieron que subir varias veces a la azotea del edificio para vigilar que estos enfriadores funcionaran correctamente, aunque para ello primero se tenían que abrir paso ante la nieve acumulada en el suelo. Su misión era evitar que se formara hielo en los refrigeradores que impidiera su funcionamiento, pese a que este tipo de maquinaria está preparada para sufrir los rigores de inviernos más crudos que el nuestro. “Es cierto que en España no habíamos vivido una nevada así, pero las mismas máquinas que tenemos nosotros están en CPD de Dinamarca y funcionan sin problemas”, subraya Raúl González.

Comprobar la automatización del CPD

Durante la noche de la gran nevada en Madrid se produjeron en este CPD 7 micro cortes de la electricidad por parte de la compañía eléctrica. Después de cada una de estas pequeñas incidencias, cualquier CPD debe comprobar que toda la infraestructura sigue funcionando.

Tal y como explican fuentes de Interxion, la mayoría de los CPD están construidos con procesos de automatización, de tal manera que estas operaciones de comprobación se realizan automáticamente ante cada incidencia. Sin embargo, sigue siendo necesaria la supervisión humana apara confirmar que, efectivamente, toda esta automatización funciona y, por tanto, que toda la infraestructura sigue operativa. “Con 7 micro cortes en una noche, es evidente que no pudimos pegar ojo”, explica irónicamente Roger Regueira.

En este punto, aseguran que el personal de seguridad que trabaja en las instalaciones ha sido de gran ayuda durante las horas de las nevadas. “Ellos sí que tuvieron que estar más de 38 horas seguidas en el CPD, ante la imposibilidad de que llegaran los relevos”, nos cuentan. Pero, al ser unos trabajadores también muy acostumbrados a las instalaciones, “nos echan una mano y nos avisan cuando ven que se está produciendo alguna anomalía en algunos de los servidores o instalaciones”.

¿Lo más asombroso? La cantidad de nieve

Aunque los CPD suelen ser instalaciones cerradas y relativamente oscuras, en el mismo edificio donde se alberga el de Interxion hay oficinas desde las que no solo hay ventanas, son que también se hace un seguimiento y monitorización de toda la instalación del CPD, tanto de forma interna como de los refrigeradores que hay en la azotea.

En Xataka

El sector de los centros de datos neutrales reclama a los Diputados medidas "para poder invertir 3.000 millones en España"

Una vez pasada la gran nevada, los operarios que estuvieron trabajando aquella noche aseguran que, en realidad, no hicieron nada que no sea su trabajo habitual, salvo quitar la nieve de la azotea y de las máquinas instaladas allí. “Lo más asombroso que vivimos esa noche fue ver que no paraba de nevar y cómo lo hacía”, aseguran tranquilos.

Así pues, mientras muchos nos sorprendimos de la cantidad de nieve que se había acumulado durante esa noche al despertarnos la mañana del sábado 9 de enero, a estos operarios, que habían estado trabajando toda la noche para que Internet siguiera funcionando no les pilló tan desprevenidos que podrían hundir sus pies en la nieve de las calles de Madrid.

-
La noticia Cómo se vivió la gran nevada desde dentro de un CPD: hablamos con los operarios que se encerraron en ellos para que todo siguiera funcionando fue publicada originalmente en Xataka por Arantxa Herranz .

Hacking apart a sweet, innocent Raspberry Pi – who would do such a thing? Network Chuck, that’s who. But he has a very cool reason for it so, we’ll let him off the hook.

He’s figured out how to install VMware ESXi on Raspberry Pi, and he’s sharing the step-by-step process with you because he loves you. And us. We think. We hope.

Get cutting

In a nutshell, Chuck “hacks” apart a Raspberry Pi to show you how it can operate as three separate computers, each running different software at the same time. He’s a wizard.

VMware is cool because it’s Virtual Machine software big companies use on huge servers, but you can deploy it on one of our tiny devices and learn how to use it in the comfort of your own home if you follow Chuck’s instructions.

What do you need?

• Raspberry Pi 4 (4GB or 8GB RAM)
  • Network Chuck recommends this kit: https://geni.us/BmCeEgp
    
• 2 USB flash drives
  • A small one (16GB or smaller): https://geni.us/DJdC
  • A big one (64GB or larger): https://geni.us/UAoi3H

Make sure you’re up to date

Firstly, you need to make sure you’re running the latest version of Raspberry Pi OS. Chuck uses Raspberry Pi Imager to do this, and the video above shows you how to do the same.

Format your SD card

Then you’ll need to format your SD card ready for VMware ESXi. This can be done with Raspberry Pi Imager too. You’ll need to download these two things:

• Latest Raspberry Pi firmware
• UEFI Raspberry Pi firmware

Chuck is the kind of good egg who walks you through how to do this on screen at this point in the project video.

VMware installation

Then you’ll need to create the VMWare Installer to install the actual software. It’s at this point your USB flash drive takes centre stage. Here’s everything you’ll need:

• VMWare Installer ISO
• Tools to create the VMware Installer:
  • (WINDOWS) Rufus
  • Etcher (mac/linux)

And this is the point in the video at which Chuck walks you through the process.

Once that’s all done, stick your USB flash drive into your Raspberry Pi and get going. You need to be quick off the mark for this bit – there’s some urgent Escape key pressing required, but don’t worry, Chuck walks you through everything.

Create a VM and expand your storage

Once you’ve followed all those steps, you will be up, running, and ready to go. The installation process only takes up the first 15 minutes of Chuck’s project video, and he spends the rest of his time walking you through creating your first VM and adding more storage.

Top job, Chuck.

Keep up with Chuck

Network Chuck live-streams every Monday on his YouTube channel, and you can follow him on Twitter too.

There’s also the brilliant networkchuck.com.

The post Get VMware on Raspberry Pi appeared first on Raspberry Pi.

En este post veremos los pasos que debemos seguir para dejar instalado Suricata en una Debian 10.6. Suricata es un motor de red de alto rendimiento, como IDS (Intrusion Detection System), IPS (Intrusion Prevention System) y usado como sistema de monitorización de red, y por supuesto, ¡Open Source! Gracias a Suricata podremos conocer qué pasa […]

La entrada Instalando Suricata apareció primero en Blog Bujarra.com.

Podría haber llamado a esto "Moodle para dummies", pero nunca me gustó esa expresión. Y creo que esta entrada hubiese sido más conveniente a inicios de curso pero hasta mediados del primer trimestre no se me ocurrió escribirla. La cuestión es que nunca me ha gustado Moodle y ahora, me peleo con él (¿programa?) o ella (¿plataforma, herramienta?). Ni sé cómo se le ha de llamar. 

Valoro muchas de sus posibilidades y soy consciente de que hay muchas otras que desconozco. Pero me resulta tremendamente incómodo, nada intuitivo, con una terminología poco cercana y nada clara y poco agradable a la vista. Por lo tanto, evité usarlo durante mucho tiempo, hasta la llegada del confinamiento en el curso pasado y el actual, en el que vivimos con la espada de Damocles encima y el alumnado necesita cobertura a través del aula virtual. 

Ahora soy de las que se pelean con él. Solo sé usar algunas cuestiones básicas que me sirven para sacar adelante el trabajo. Por eso, jamás se me ocurrió escribir nada relacionado con Moodle aquí, en la Nube. Hasta que me di cuenta de que me vendría bien recoger por escrito algunas funciones que, si no las uso con frecuencia, se me olvidan y tengo que investigarlas de nuevo. Lo comenté con unas compañeras de claustro y les ocurría lo mismo, así que pensé que quizá sí encajase en la Nube una entrada así, de manejo básico de Moodle, aunque sea con un enfoque personal pues hablaré solo de lo que yo conozco y uso que, como ya he adelantado, no es mucho. 

Si queréis saber más de Moodle dentro de la Nube TIC, tenéis la entrada de Andoni Sanz: Moodle, solucionando el scroll de la muerte.

Antes de nada hay que tener en cuenta que no todas las aulas virtuales de Moodle serán iguales pues dependerá de los privilegios (no sé si se llaman así) que establezcan las autoridades educativas o los centros. Por ejemplo, en todos los centros en los que yo he estado, los cursos aparecían ya creados en la plataforma mientras que la matrícula del alumnado en unos centros corría a cargo de los equipos directivos y en otros, matriculábamos los docentes. 

Dicho esto, comentaré ya las funciones que a mí me sirven para organizarme:

1- TENER EN CUENTA QUE HAY DIFERENTES MENÚS

Una cuestión en la que veo que tenemos problemas algunas de mis compañeras y yo es la de olvidar dónde se encuentra cada función. Tenemos el menú general (bajo nuestra imagen de perfil), el menú de cada curso (al lado de "activar edición"), el menú interno de cada tarea, los desplegables que están al lado de la opción "editar"... Hay diferentes lugares desde donde actuar pero como hay muchas opciones que no vamos a utilizar, lo que interesa es recordar en qué menú está lo que sí utilizamos. 

En el menú general, una vez editado el perfil personal, lo que yo uso con más frecuencia son dos funciones:

- Cambiar el editor de texto 

En la sección "preferencias" del menú general, el que está bajo nuestra imagen de perfil, encontramos la "configuración del editor". Esta opción es importante porque dependiendo del editor de texto con el que trabajemos, tendremos unas opciones u otras. 

Caja de herramientas de editor Atto

Caja de herramientas de editor TinyMCE

- Cambiar a rol de estudiante (cuando estamos dentro de un curso, pero desde este menú general). Esta opción es fundamental para poder ver cómo aparecen los contenidos y qué opciones de manejo se tienen en el perfil de nuestro alumnado. Desde ahí mismo volvemos a nuestro rol normal. 

2- SABER SIEMPRE LA PÁGINA EN LA QUE NOS ENCONTRAMOS

Esto puede parecer una obviedad, pero a mí a veces Moodle me ha resultado confuso en esto. Desde que cogí la costumbre de fijarme con frecuencia en la zona superior de la página, me he ahorrado algunos problemas que me han surgido otras veces (sobre todo, al copiar elementos de un lugar a otro).

Dentro de mi "área personal", estoy en "mis cursos", en el curso "Lengua pruebas de acceso", en la pestaña "entrega de trabajos" y en la sección "comentario del texto...". La página actual siempre será esa última. Puede parecer una bobada, repito, pero para mí, no lo es. Además, es cómodo utilizar esas referencias de la zona superior como enlaces para volver a otras páginas.

3- DARLE UN FORMATO CÓMODO A NUESTRA ÁREA PERSONAL

Si queremos, podemos modificar el área personal para configurar a nuestro gusto los bloques  también, eliminar algunos de los que no utilizamos. Todo esto se realizará desde la rueda de configuración que tiene cada uno de los bloques. Por ejemplo, en todas las aulas virtuales que he visto, aparece como cabecera una imagen, denominada "carousel". Podemos moverla, ocultarla o eliminarla, como ocurre con los otros bloques. 

Nuestro nombre, al menos en el caso de los docentes de Castilla y León, no puede modificarse.

Modo "mi lista de cursos"

Modo "panel"

4- ESCOGER EL FORMATO DE CURSO (AQUÍ, PESTAÑAS)

La opción de configuración del curso la tenemos en el menú del curso (al lado de "activar/desactivar edición)

Desde esos ajustes podremos modificar varias cuestiones, entre ellas, escoger el formato del curso. Para mi gusto, el mejor es el de "temas en pestañas". Creo que es el que mejor agrupa los contenidos por temática, sin necesidad de tener que bajar mucho rebuscando en listas y mi alumnado se apaña muy bien así. Pero es una cuestión de gustos. Podría haber probado los otros formatos para escribir esta entrada pero recuerdo que una vez lo hice, por investigar, y no pude volver a las pestañas sin más, tuve que configurarlo todo de nuevo. Así que solo mostraré las pestañas.

Un poco más abajo, en esta misma sección podemos añadir restricciones para que las pestañas no aparezcan según determinados parámetros: que los estudiantes hayan realizado previamente una tarea, que llegue una fecha concreta, que lo vea solo un grupo dentro de la clase... Aunque esta opción aún no la he probado porque he optado por hacer lo que cuento a continuación, ocultar las pestañas y abrirlas yo cuando quiera, sin dejarlo en manos de Moodle (voy poco a poco).

4.1- OCULTAR PESTAÑAS 

Desde esta misma sección, en el menú del curso, podemos encontrar las "secciones ocultas" para que las pestañas no estén accesibles al alumnado. En mi caso, las uso para contenidos que preparo con antelación y voy mostrando cuando quiero. Pueden ponerse "en forma colapsada" (se ve que hay una pestaña pero no puede accederse a ella) o, en cambio, no aparezca nada, como se ve en las imágenes de abajo:

Forma colapsada

Pestañas ocultas, aunque solo para los estudiantes

Para darle colores al texto de la pestaña o a esta, podemos escribir el nombre del color en inglés o bien, si estos colores no nos resultan suficientes, no nos gustan o queremos optar por diferentes tonos de un mismo color, podremos buscar en internet cualquier tabla de colores html y copiar de ella el código del color (como se ve en el color de fondo de la imagen siguiente)

Para personalizar una pestaña

Ejemplo de tabla de colores en HTML

Cuando creamos nuestras pestañas, podemos alojar una pestaña dentro de otra haciendo una subpestaña, si escogemos en nivel la opción "hijo de la pestaña anterior". Para esto, simplemente tendremos que tener en cuenta dónde colocamos la pestaña para que esta sea realmente posterior a la que queremos que la aloje. Ahora veremos cómo ordenar las pestañas a nuestro antojo. Al crearlas, la pestaña que está dentro de otra aparecerá como en la imagen, donde "pestaña de prueba" es subpestaña de "Medios de comunicación y publicidad". Como vemos, aparece un botón de inicio que nos llevará también a la pestaña que anida. 

4.4- UTILIDADES DE EDICIÓN DE PESTAÑAS

Como hemos visto en la primera imagen del 4.3, debajo de las pestañas de un curso aparece un apartado llamado "utilidades de edición de pestañas", desde donde podremos moverlas de sitio, prepararlas para mover o copiar contenido de unas a otras, duplicarlas e incluir varias de una sola vez:

Cambiar el orden de las pestañas

Desde "mover el tema actual" podemos colocar las pestañas como mejor nos parezca. No se arrastran, sino que tenemos que colocarnos en la que queramos mover (importante mirarlo si vamos a mover varias, porque cuando movemos una, nos coloca en la que hemos seleccionado como referente y no en la que hemos movido) y después, seleccionar otra que servirá de referencia para mover la nuestra a la izquierda o la derecha de la escogida. Esto depende de cómo aparezcan en el listado. La explicación que da Moodle bajo las pestañas, bajo mi punto de vista es muy poco clara (o yo soy torpe, que también puede ser) y por eso la he modificado en esta imagen:

Mover contenidos dentro de una misma pestaña no tiene ninguna complicación. Aquí sí se trata simplemente de arrastrarlos, colocándonos sobre la cruz de flechas que aparece a la izquierda:

Pero mover contenidos de una pestaña a otra es más complicado. En primer lugar, tenemos que ir a este apartado de "utilidades de edición de pestañas" y ahí tenemos que ir a "acciones de edición asíncronas" y pinchar en "deshabilitar". Al hacerlo, la cruz de flechas que antes aparecía se convierte en una flecha delgada:

Al pinchar en la flechita del contenido que queremos mover, este contenido desaparece (en la imagen, "práctica de análisis de palabras" no está porque acabo de pinchar su flechita) y se muestran unos rectángulos, como si fuesen cajas para recibir los contenidos que estamos moviendo. A veces los contenidos bailan un poco con esta opción, pero no es problema. Se recolocan y si no, hacerlo nosotros es solo arrastrar, como ya hemos visto.

Así, nos vamos a otra pestaña y pinchamos sobre el recuadro donde queremos colocar el contenido que estamos moviendo. Al pinchar, aparecerá ahí. Cuando colocamos el contenido en la pestaña nueva, nos vuelve a llevar a la que estábamos y esto puede despistarnos.  

Para volver a las flechas de uso normal, las que mueven el contenido dentro de una misma pestaña, debemos habilitar de nuevo las acciones de edición asíncronas.

Duplicar contenidos de una pestaña a otra

Si queremos copiar toda una pestaña, con todos sus contenidos, simplemente pinchamos en la opción "duplicar". Nos abre una pestaña nueva, denominada "tema X". Esto puede ser cómodo si queremos mover muchos contenidos, en vez de usar la opción anterior. Podemos copiar y luego borrar. 

Incluir varias pestañas de una sola vez

Como ya hemos dicho, las pestañas pueden añadirse con el signo +, de una a una, pero si queremos incluir varias de una vez, podemos hacerlo desde aquí, con la opción que dice "añadir secciones". Ahí podemos añadir todas las que queramos y resulta práctico para hacerlo de un solo paso, aunque luego editemos cada una de las pestañas. 

Hasta aquí, la primera entrega de las cuestiones básicas de Moodle con las que yo me he peleado. Hay más, así que llegarán otras entregas. Espero que a alguien le sirvan de ayuda.

Ubiquiti es uno de los fabricantes más importantes cuando hablamos de dispositivos de redes. En este artículo nos hacemos eco de un anuncio que han realizado donde alertan de un posible incidente de seguridad que ha podido exponer los datos de los clientes. Ya sabemos que la privacidad es un factor muy importante en la red y cuando ocurre una filtración de este tipo es mucha la información que podría quedar disponible para atacantes.

El fabricante Ubiquiti alerta de una fuga de datos

Ubiquiti es conocido especialmente por sus dispositivos de redes inalámbricas, tanto de gran tamaño como a nivel de usuarios. Ha enviado correos electrónicos a sus clientes después de que haya detectado un problema de seguridad. En ese e-mail les indica que deben cambiar lo antes posible sus contraseñas y habilitar la autenticación de dos factores.

El motivo de esto es un ataque sufrido por parte de sus sistemas alojados en un proveedor de nube externo. Esto ha provocado que los datos de los usuarios hayan podido filtrarse, de ahí la importancia de cambiar las claves de inmediato y evitar problemas mayores.

Concretamente ese correo electrónico indica lo siguiente a los usuarios: “Recientemente nos dimos cuenta de un acceso no autorizado a algunos de nuestros sistemas de tecnología de la información alojados por un proveedor de nube externo. No tenemos indicios de que haya habido actividad no autorizada con respecto a la cuenta de ningún usuario”.

Aunque aseguran que no tienen conocimiento de que algún atacante haya accedido a alguna base de datos de clientes, es imposible estar seguros de ello y por tanto es mejor prevenir. El objetivo es que los datos de los usuarios no corran ningún tipo de riesgo.

Según indican, dentro de la información que ha podido quedar expuesta se incluyen datos como el nombre, dirección de correo electrónico, contraseña, número de teléfono o dirección física.

Interrupción de la plataforma de administración

Hay que indicar que durante el fin de semana, Ubiquiti sufrió una interrupción generalizada de su plataforma de administración en la nube UniFi que impidió a los usuarios usar la web y las aplicaciones móviles o administrar sus dispositivos. Eso sí, se desconoce si esta interrupción está relacionada con el mensaje que han enviado a los usuarios pidiendo que cambien la contraseña y habiliten la autenticación de dos factores.

Adicionalmente, también indican que recomiendan cambiar la contraseña en cualquier otro servicio donde los usuarios utilicen el mismo nombre y clave de acceso. Esto es importante, ya que en caso de filtración se podría producir lo que se conoce como efecto dominó y que consigan acceso a otras cuentas. De ahí siempre la importancia de utilizar claves únicas.

Siempre es importante proteger nuestras cuentas correctamente. En caso de sufrir algún tipo de filtración, como la que hemos visto en el caso de Ubiquiti, es esencial tomar medidas lo antes posible. Os dejamos un artículo donde damos consejos para crear contraseñas fuertes. La clave es una de las principales barreras de seguridad que podemos usar para evitar intrusos que comprometan nuestra privacidad.

El artículo Ubiquiti pide cambiar la contraseña por una filtración de datos se publicó en RedesZone.

La historia triste de hoy en forma de problema-del-primer-mundo o lágrimas de millonario llega a través de Lost Passwords Lock Millionaires Out of Their Bitcoin Fortunes ($) del New York Times. En ese artículo se cuentan las desventuras de Stefan Thomas, un programador alemán que vive en San Francisco que guardó hace años 7.002 Bitcoin en un pequeño disco duro IronKey… y del que no se acuerda ahora de la contraseña.

El problema es que esos discos duros sólo permiten diez intentos para introducir la contraseña si resulta fallida; el hombre lleva ocho intentos (erróneos) y sólo le quedan dos. Si falla dos veces más el disco se autodestruye encriptándose para siempre. Al cambio actual de unos 28.500 euros por Bitcoin eso quiere decir que hay una auténtica fortuna de cerca de 200 millones de euros esperando a que se acuerde y acierte. 

No es el único al que le han sucedido este tipo de situaciones; recordemos la anotación acerca de las cosas que la gente hace para recuperar sus bitcoin cuando olvidan o pierden las contraseñas, algo que le sucedió hasta a los redactores de la revista Wired. El asunto es que lo que antes podía ser algunos miles de dólares ahora tras las subidas del Bitcoin pueden ser decenas, cientos de miles o incluso millones, como en el caso de Thomas. En el New York Times han calculado que entre el 20 y 25% de los Bitcoin son irrecuperables por estas situaciones; están «perdidos para siempre».

Como alguien le dijo, seguramente las IronKey son muy seguras, pero si tienes 220 millones de dólares esperando podrías dedicar la mitad de esa fortuna a contratar a los mejores hackers del mundo y crackearla; aún así saldrías ganando. Está por ver si eso es una opción, porque con el fabricante seguramente que ya ha hablado y no le habrá dado mucha esperanza. Por si acaso, de momento ha guardado el disco duro en una caja fuerte en un lugar secreto y seguro, no vaya a ser que alguien se lo robe. (Esperemos que no olvide dónde lo ha guardado).

Avisaremos si nos enteramos de cómo acaba la dramática historia y esperamos que no acabe pasándole como a Alan Turing con sus ahorros, que nunca los encontró tras esconderlos con sólo un críptico «mapa del tesoro» de ayuda.

Relacionado:

• Cosas que la gente hace para recuperar sus bitcoin
• Twitter crackeado para una estafa con Bitcoin
• PayPal anuncia que añadirá criptodivisas como Bitcoin
• La historia del dinero (y algo de bitcoin) resumida en tres minutos

# Enlace Permanente

Read 37 remaining paragraphs | Comments

Enlarge (credit: Getty Images)

The malware used to hack Microsoft, security company FireEye, and at least a half-dozen federal agencies has “interesting similarities” to malicious software that has been circulating since at least 2015, researchers said on Monday.

Sunburst is the name security researchers have given to malware that infected about 18,000 organizations when they installed a malicious update for Orion, a network management tool sold by Austin, Texas-based SolarWinds. The unknown attackers who planted Sunburst in Orion used it to install additional malware that burrowed further into select networks of interest. With infections that hit the Departments of Justice, Commerce, Treasury, Energy, and Homeland Security, the hack campaign is among the worst in modern US history.

The National Security Agency, the FBI, and two other federal agencies last week said that the Russian government was “likely” behind the attack, which began no later than October 2019. While several news sources, citing unnamed officials, have reported the intrusions were the work of the Kremlin’s SVR, or Foreign Intelligence Service, researchers continue to look for evidence that definitively proves or disproves the statements.

Read 7 remaining paragraphs | Comments

El programa de divulgación de vulnerabilidades de Naciones Unidas ha permitido descubrir que, en cuestión de horas, era posible acceder a los datos privados de más de 100.000 empleado del organismo internacional. El responsable del hallazgo ha sido el grupo de hackeo ético y ciberseguridad Sakura Samurai.

Jackson Henry, Nick Sahler, John Jackson y Aubrey Cottle, los integrantes de este grupo, trataron de buscar vulnerabilidades explorando múltiples endpoints hasta que dieron con uno vulnerable. Uno que exponía credenciales de Git.

Buscando vulnerabilidades para arreglarlas

Lo que primero encontraron fue un subdominio expuesto de la Organización Internacional del Trabajo, el organismo de Naciones Unidas especializado en los asuntos relativos al trabajo y las relaciones laborales. A partir de ahí, pudieron acceder a las credenciales de Git que les permitieron obtener, vía exfiltración mediante git-dumper, una base de datos MySQL y una plataforma de gestión de encuestas.

Tirando del hilo, y tras comprobar que lo anterior no contenía prácticamente nada de utilidad, finalmente hallaron un subdominio del Programa de las Naciones Unidas para el Medio Ambiente.

En Genbeta

Estos investigadores dicen haber encontrado la mejor forma de crear contraseñas seguras gracias a la ciencia

"En última instancia, una vez que descubrimos las credenciales de GitHub, pudimos descargar un montón de proyectos privados de GitHub protegidos por contraseña y dentro de los proyectos encontramos múltiples conjuntos de credenciales de bases de datos y aplicaciones para el entorno de producción del PNUMA", explica Jackson en una publicación en su web.

Las credenciales les dieron la posibilidad de descargar los repositorios Git, "identificando una tonelada de registros de usuario y PII".

Tras tratar toda la información, identificaron más de 100.000 registros privados de empleados con información como nombres, números de identificación, género o registros detallados de viajes. También vieron que era posible acceder sin autorización a múltiples bases de datos. Llegados a este punto, notificaron la vulnerabilidad a Naciones Unidas. Según Hack News, ya ha sido parcheada.

-
La noticia Investigadores de ciberseguridad consiguen acceder a más de 100.000 registros de empleados de la ONU fue publicada originalmente en Genbeta por Toni Castillo .

Cómo he construido artesanalmente mi batería de litio con celdas 1860 recuperadas.

El nuevo año 2021 ha venido cargado de ofertas en licencias muy baratas para el sistema operativo Microsoft Windows, y también para la suite ofimática por excelencia, Microsoft Office, tanto en la versión Office 2016 como en la versión Office 2019. En estas fechas tan señaladas, estamos seguros que muchos habéis regalado, o mejor aún, os han regalado ordenadores, ya sea sobremesa o portátil. Si quieres ahorrarte un buen dinero a la hora de comprar licencias baratas de Windows y Office, hoy en G2Deal están haciendo una campaña de año nuevo 2021 realmente interesante, poniendo grandes ofertas en licencias.  ¿Necesitas comprar una licencia barata de Windows y Office? A continuación, podrás conocer las mejores ofertas.

Ofertazas de año nuevo 2021 en G2Deal para Windows y Office

En este nuevo año 2021 tenemos un gran listado de licencias de Windows y Office muy baratas, para activar tanto en el propio sistema operativo, como también en la mejor suite ofimática. A continuación, os mostraremos todas las ofertas disponibles a las que podemos acceder, lo más importante es que utilices el código de descuento «RD18» para que se te apliquen los descuentos, y se te queden en los precios finales que os vamos a decir nosotros. Este cupón de descuento te proporcionará un 18% de descuento respecto al precio fijado en la web de G2Deal.

Este código de descuento lo podremos utilizar tantas veces como queramos, además, no solamente tendremos disponible la versión Windows 10 Pro que es la más popular de toda, sino que también tendremos a nuestra disposición la versión de Windows 10 Home y Windows 10 Enterprise. Por supuesto, también podremos comprar las versiones de Office 2016 y Office 2019, para tener la suite ofimática de Microsoft con licencia completamente legal para que no tengas problemas con la activación.

Debemos recordar que G2Deal es una web que vende licencias originales OEM de Windows y Office, podremos beneficiarnos de los packs de licencia que tendremos disponibles, por lo que nos ahorraremos un dinero adicional. Es muy importante que a la hora de comprarlo, apliquéis el código de descuento «RD18» para disponer de un 18% en total.

Ofertas para Windows 10 con el código «RD18» para tener 18% de descuento

• Windows 10 Pro CD-KEY (32/64 BIT)  por solo 13,43€ aplicando el descuento RD18 que os hemos comentado antes.
• Windows 10 Pro OEM Global (2 PC) por solo 20,60€
• Windows 10 Home (32/64 Bit)por solo 12,9€
• Windows 10 Enterprise 2019 LTSC por solo 11,55€

Los precios que aparecen en la web oficial, serán más bajos en cuanto apliquemos el código de descuento anterior, y lo mismo ocurre en todas las licencias, tanto de Windows, Office como también de los diferentes packs.

Ofertas para Office con el código RD18

• Microsoft Office Home and Business 2019 por 37,11 €
• Office 2016 Profesional Plus CD-KEY (1 PC) por 38,86 €
• Microsoft Office 2019 Profesional Plus CD-KEY (1 PC) por 42,63 €
• Office 2019 (Home y Student /1 Usuario) por 31,97€
• Office 2016 (Home y Student /1 Usuario) por 21,59€

Ofertas de Windows 10 y Office en pack con el código RD18

• Windows 10 Pro + Office 2016 Pro  por solo 49,04
• Windows 10 Pro + Office 2019 Pro por solo 49,19 €
• Windows 10 Home + Office 2019 Pro por solo 37,56 €
• Windows 10 Home + Office 2016 Pro por solo 46,49€

Así puedes bajar Windows y Office para activarlo

En la web oficial de Microsoft tenemos a nuestra disposición todas las imágenes ISO, tanto de Windows 10 en todas sus versiones, como también de las diferentes versiones de Office. Puedes bajar tanto Windows como Office directamente desde estos enlaces:

• Descargar Microsoft Windows 10
• Descargar Microsoft Office 2016 Professional Plus
• Descargar Microsoft Office 2019 Professional Plus

Una vez descargado e instalado el sistema operativo sin poner la clave de licencia, nos iremos a la sección de «Configuración / Actualización y seguridad / Activación» y aquí seguiremos los pasos para introducir la clave de licencia que hemos comprado en G2Deal.

Comprar licencias y tener nuestro sistema operativo Windows legal, o la suite de Office, es realmente fácil y rápido. Lo primero que tenemos que hacer es entrar en los enlaces anteriores, añadir las licencias que queramos a la lista de la compra, aplicamos el código de descuento RD18 y posteriormente lo pagamos, ya sea con PayPal o tarjeta de crédito/débito. El código de descuento es válido para todas las licencias anteriores, lo puedes usar de forma ilimitada. Estas licencias que compramos son totalmente legales, y una práctica permitida en la Unión Europea desde el año 2012, por lo que no deberías tener ningún tipo de problema.

El artículo Ofertas de año nuevo 2021 en G2Deal, licencias Windows y Office baratas se publicó en RedesZone.