Shared posts

01 Mar 12:01

Cientos de usuarios han sido expulsados de su sesión en Google y nadie sabe por qué

by Eduardo Marín

Cientos de usuarios de los servicios de Google en todo el mundo han reportado que la plataforma los expulsó sin previo aviso de todas las aplicaciones en sus dispositivos. Se desconoce la razón, pero podría ser un fallo a nivel global.

Read more...

01 Mar 11:23

Cloudbleed es la última gran brecha de seguridad que ha expuesto los datos privados de millones de personas

by Raúl Álvarez

Cloudbleed

Esta mañana se daba a conocer que la compañía de seguridad y rendimiento web Cloudflare, que es una de las más grandes e importantes en internet, había identificado "un pequeño fallo" de código que habría expuesto los datos de un número no determinado de sitios. De acuerdo al comunicado de la propia compañía, han localizado la vulnerabilidad y lo han resuelto, pero ahora se sabe que la brecha de seguridad es más grave de lo que imaginábamos.

Para poner un poco en contexto la situación, hay que mencionar que Cloudflare ofrece, entre una amplia variedad de servicios, tecnología que es usada en más de 5,5 millones de sitios en internet, entre los que se encuentra Uber, OKCupid, 1Password, Fitbit, entre otros. Lo que significa que una gran, gran cantidad de datos privados ha sido expuesta, ocasionando un potencial desastre de seguridad, que debido a su magnitud es imposible determinar en nivel de daño hasta el momento.

Hasta el momento es imposible determinar el nivel de daño

Esta vulnerabilidad, que ya ha sido bautizada como Cloudbleed, fue descubierta por Tavis Ormandy, investigador de seguridad en Project Zero de Google, quien dio la voz de alarma a Cloudflare el pasado 18 de febrero, pero lo grave de todo es que la vulnerabilidad había estado activa desde el 22 de septiembre de 2016.

El periodo de mayor impacto fue entre el 13 y el 18 de febrero, cuando una de cada 3.300.000 solicitudes HTTP provocaron filtraciones de memoria en 3,438 dominios únicos. Para complicar aún más las cosas, todos los datos expuestos fueron indexados por Google y otros buscadores, lo que hizo que todo fuera almacenado en cache y estuviera disponible de forma pública.

Entre los datos filtrados se encuentran contraseñas, información personal, cookies, peticiones HTTPS completas, claves API, direcciones IP de clientes, e incluso tokens de autenticación hash. Se estima que 4.287.625 sitios han sido afectados, lo que incluye algunas aplicaciones para iOS como Fitbit. Estos son algunos de los sitios más destacados:

  • authy.com
  • patreon.com
  • medium.com
  • 4chan.org
  • yelp.com
  • zendesk.com
  • uber.com
  • thepiratebay.org
  • pastebin.com
  • discordapp.com
  • change.org
  • feedly.com
  • hardsextube.com
  • nationalreview.com
  • news.ycombinator.com
  • petapixel.com
  • puu.sh
  • putlocker.ws
  • tineye.com
  • 1password.com
  • fastmail.com

En el caso de 1Password y FastMail ya han confirmando que toda la información filtrada estaba bajo un cifrado adicional, por lo que los datos de sus usuarios no están en riesgo. Mientras que el resto de las compañías ya están pidiendo a todos sus usuarios que cambien cuanto antes sus contraseñas, y de ser posible habiliten la autenticación de dos pasos, en caso de ser posible.

¿Qué fue lo que sucedió?

CloudFlare

En la explicación de Cloudflare se pueden leer todos los detalles técnicos. Pero a modo de resumen, el error implicó un "==" en el código donde debería haber sido un "> =". Esto significa que el software intentó guardar los datos de usuario en el lugar correcto, pero cuando esté lugar se llenó, el software terminó almacenando esos datos en otros lugares, en sitios web completamente distintos.

Cloudflare asegura que el fallo llevó a solo unos cuantos datos filtrados, pero si consideramos que la vulnerabilidad estuvo presente durante cinco meses, y que gran parte de esos datos estuvieron almacenados en el cache de diversos buscadores, entonces no se trata de que solo Cloudflare ya haya resuelto el fallo, sino que toda esa información, que repito, es imposible de determinar, es muy probable que siga disponible en algún lugar de internet.

Más información | Cloudflare En Genbeta | Cloudflare admite que un bug filtró durante meses las contraseñas, IPs y cookies de sesiones HTTPS

También te recomendamos

Dispositivos, marcas y tendencias, todo lo que nos trae el Mobile World Congress

Vulnerabilidad en los servidores de VTech: los datos de 6,3 millones de niños, expuestos [Actualizada]

Malware preinstalado: una epidemia que los fabricantes deben cortar de raíz

-
La noticia Cloudbleed es la última gran brecha de seguridad que ha expuesto los datos privados de millones de personas fue publicada originalmente en Xataka por Raúl Álvarez .

23 Feb 12:17

Este malware permite que un drone robe datos a través del LED de un PC

by Sergio Agudo

Drone 1080844 1280

Un drone desarrollado por ingenieros de la Universidad Ben-Gurion de Israel es capaz de extraer datos del parpadeo de un LED del disco duro un PC, según han publicado en Wired. Con este experimento se ha demostrado una técnica de espionaje capaz de derrotar un sistema de seguridad conocido como "air gap", utilizado para mantener sistemas informáticos seguros separándolos de Internet.

El LED de un disco duro funciona con un patrón de códigos similar al morse, con señales de encendido y apagado. Aprovechando este patrón, los investigadores descubrieron que podían mover datos a velocidades de 4.000 bits por segundo, casi un megabyte cada media hora. Puede no parecer mucho, pero es suficiente para robar una clave de cifrado en segundos. Incluso se podrían guardar esos mensajes ópticos para decodificarlos más tarde.

Ahora bien, para poder utilizar este método de robo de datos es necesaria la intervención humana. Se necesita a una persona que esté trabajando con el ordenador que se quiere espiar, que tenga acceso físico a él y que pueda introducir un malware capaz de manipular el encendido del LED para enviar mensajes en código a los hackers. Cualquier malware que consiga privilegios de usuario podría hacerlo, según el medio.

La técnica no tiene un rango tan limitado como el de otros sistemas que se aprovechan de los ruidos del disco duro, o incluso del ruido del ventilador, para saltarse el air-gapping. Saber a qué datos accede la máquina también es más fácil, dado que el LED parpadea de una forma más o menos concreta cada vez que accede a un programa, incluso cuando está hibernando.

Las investigaciones de los ingenieros de Ben-Gurion, por ahora, se están dirigiendo a evitar que los LEDs puedan dar datos. Por ahora sugieren mantener las máquinas aisladas en habitaciones seguras lejos de las ventanas, e incluso llegar a colocar filtros que enmascaran las luces en el caso de los edificios de cristal. También señalan que el software de seguridad en una máquina objetivo podría acceder aleatoriamente al disco duro, creando ruido electrónico y desbaratando cualquier intento de enviar un mensaje desde el LED del ordenador.

Sin embargo, la contramedida más simple es tapar el LED del ordenador. Hace un tiempo tapar la webcam del portátil era un síntoma de paranoia, pero puede que dentro de poco el estándar suba cuando se empiecen a tapar los LEDs de los discos duros por miedo a drones ladrones de datos.

Vía | Wired
Imagen | Powie
En Genbeta | Cinco maneras de generar información desechable para proteger tu identidad en Internet

También te recomendamos

Así es la Serie 9000 de AEG: la única lavadora que mejora la calidad del agua para cuidar tu ropa

Cómo eliminar la contraseña de un archivo PDF

Un ransomware ataca el circuito cerrado de cámaras de vídeo de la policía de Washington D.C.

-
La noticia Este malware permite que un drone robe datos a través del LED de un PC fue publicada originalmente en Genbeta por Sergio Agudo .

23 Feb 12:10

Crean un malware que permite robar datos de un PC con los parpadeos de sus LED

Crean un malware que permite robar datos de un PC con los parpadeos de sus LED


Los guionistas de Mr. Robot siguen recibiendo material para futuros episodios con el descubrimiento de las más sorprendentes técnicas para hackear un ordenador. La revista Wired se hace eco hoy del que posiblemente sea uno de los métodos más rocambolescos e incluso peliculeros que se han visto recientemente: introducir un malware especial que permite comunicar datos mediante destellos de un LED que después son capturados por una cámara externa como la de un dron. Investigadores de la universidad israelí Ben Gurion (que no hace mucho fue noticia por su técnica para convertir… Leer noticia completa y comentarios »
23 Feb 11:57

Con este kit todo en uno que cabe en un USB puedes reparar automáticamente cualquier PC con Windows

by Gabriela González

Screenshot Splash

Como dicen las leyes de Murphy, "si algo puede salir mal, probablemente saldrá mal". A pocas cosas se aplica tan bien esto como a un ordenador, seguramente a la impresora, pero eso es otra historia. Si algo puede ir mal con Windows, seguro pasará en algún momento, y si alguna vez te encuentras frente a un fallo que no estás seguro de cómo resolver, quizás te venga bien algo de ayuda.

All in One System Rescue Toolkit te da una mano en eso. Es un kit de herramientas diseñado para reparar tu ordenador y solucionar automáticamente la mayoría de los problemas de Windows que son más comunes, sin tener que saber mucho sobre computación. Es algo que podemos probar para rescatar el sistema antes de decidir formatear.

Screenshot Livecd 768x576

AIO-SRT fue creado por un técnico en computación acostumbrado a reparar ordenadores en todo momento. Si bien sabe que existen muchos discos de este estilo especializados en herramienta para solucionar problemas (seguro alguien recuerda el Hirens Boot), a él le parece que muchas ofrecían demasiadas cosas, y más de una aplicación que hace lo mismo.

Así pues, creó un ambiente de reparación lleno de utilidades para Windows que le permitiera reducir la cantidad de cosas que lleva en la mano y que hiciera todas las tareas de forma automática sin tener que recordarlas de memoria o llevar una lista. AIO-SRT es un Live-CD, como una distro Linux. Es decir que el usuario debe crear un disco de arranque ya sea en un antiguo CD o en un disco USB.

Screenshot Tabgeneral

Si insertas tu Live CD en un ordenador con Windows este ejecutará una larga lista de utilidades que analizan diferentes partes del sistema y buscan soluciones. Con la herramienta autoFIX se realizan las tareas de mantenimiento de forma automática, se prueba el hardware y se optimiza, se elimina el malware, y se comprueban operaciones de reparación de Windows a la vez.

Este disco funciona con todas las versiones de Windows desde XP hasta Windows 10. Es una herramienta bastante poderosa y aunque está enfocada a técnicos, es bastante fácil de usar. Sin embargo, para aquellos más novatos existe una versión Lite llamada AIO-SRT Lite, esta es aún más simple y que no requiere crear un disco, simplemente lo ejecutas desde Windows.

En Genbeta | Todo lo que puedes probar para reparar Windows antes de formatear tu PC

También te recomendamos

Cómo poner a punto tu ordenador con Windows 10 en enero

Todo lo que puedes probar para reparar Windows antes de formatear tu PC

Así es la Serie 9000 de AEG: la única lavadora que mejora la calidad del agua para cuidar tu ropa

-
La noticia Con este kit todo en uno que cabe en un USB puedes reparar automáticamente cualquier PC con Windows fue publicada originalmente en Genbeta por Gabriela González .

23 Feb 11:57

CrowdInspect escanea los procesos que tu sistema ejecuta buscando malware

by Sergio Agudo

Captura

La empresa CrowdStrike es la responsable detrás de CrowdInspect, una herramienta que ya va por la versión 1.5 y que se encarga de escanear los procesos activos buscando malware en los sistemas Windows. Su rango de acción abarca todos los procesos, no sólo los que se comunican por la red, mostrando un informe detallado si lo encuentra.

La característica que resulta más útil a primera vista es una columna con el marcador de VirusTotal para cada archivo. Para identificar las posibles amenazas en ella, el programa usa un código de colores. Haciendo clic con el botón derecho encima de cualquier proceso nos permite ver el informe detallado en la web.

CrowdInspect está organizado en columnas, en la que podemos ver la siguiente información: si un proceso tiene conexiones de red abiertas, el programa escaneará su tipo, estado, puertos e IPs, tanto a nivel local, como a nivel remoto. Otra columna muestra el marcador de confianza para cada IP remota (lo que puede ayudarte a detectar una conexión no deseada, aunque no se haya iniciado por malware).

Si quieres recibir más información sobre los procesos que se conectan a Internet, en la parte superior izquierda de CrowdInspect encontrarás un botón llamado Live/History, que te permite ver un historial que muestra todas las conexiones a Internet activas mientras el programa se ejecuta.

De lo que no estamos muy seguros es de la columna Inject. Se supone que debe avisar al usuario si se ha detectado un ataque por inyección de código en un proceso, pero no sabemos hasta qué punto nos podemos fiar de esto.El programa también comprueba el archivo del proceso con el Malware Hash Registry, aunque se trata de un servicio algo antiguo que no parece ser muy útil en las circunstancias actuales.

¿Necesitas usar CrowdInspect? Depende de tus necesiades, como siempre. Process Explorer también sirve para lo mismo y puede ser más completo, pero este programa es más simple, pesa menos, es totalmente portable y es totalmente gratis. Vale la pena, al menos, darle una oportunidad.

En Genbeta | Task Manager Deluxe, una alternativa portable y más completa al Administrador de tareas de Windows

También te recomendamos

Así es la Serie 9000 de AEG: la única lavadora que mejora la calidad del agua para cuidar tu ropa

Un ransomware ataca el circuito cerrado de cámaras de vídeo de la policía de Washington D.C.

El presunto responsable del troyano NeverQuest ha sido detenido en España

-
La noticia CrowdInspect escanea los procesos que tu sistema ejecuta buscando malware fue publicada originalmente en Genbeta por Sergio Agudo .

22 Feb 08:48

En esta web puedes tener videoconferencias gratuitas sin necesidad de registro y sin instalar nada

by Gabriela González

Appear In

Sí, aplicaciones conocidas y bastante poderosas para realizar videollamadas grupales es lo que sobra. Skype, Hangouts, y hace casi nada también Facebook Messenger son algunos de los más utilizados a la hora de organizar una videoconferencia. Ahora bien, todas esas requieren tanto crear una cuenta como añadir a cada persona como contacto.

Si quieres tener una conversación en linea con un grupo de personas de la forma más simple posible, sin tener que registrarte, sin tener que compartir información personal, sin instalar aplicaciones adicionales y simplemente compartiendo un enlace, prueba con appear.in que ofrece justamente eso.

Appear In One Click Video Conversations

Appear.in es uno de esos sitios a prueba de bobos. Lo único que tienes que hacer es ingresar a la web, escribir un nombre para tu sala de chat y comenzar la llamada. Toma ese link y compártelo con todas las personas que quieres invitar, una vez que hagan clic en él accederán automáticamente a la sesión.

Las salas de chat soportan audio y vídeo, texto, stickers y también compartir la pantalla de tu ordenador. Puedes bloquear la sala para que los invitados tengan que "tocar" antes de entrar. También puedes hacer la llamada privada, lo que te dará la posibilidad de expulsar usuarios, pero para esto necesitas crear una cuenta.

Las llamadas funcionan de maravilla y la conexión es inmediata, la calidad tanto del vídeo como del audio en las pruebas que hicimos fue más que bien. Si tienes un móvil con Android puedes usar el servicio desde una simple pestaña del navegador, tampoco necesitas instalar nada. Si usas iOS necesitarás una aplicación dedicada.

El servicio es gratuito para videollamadas de hasta ocho personas. Si pagas por salas premium pueden ingresar hasta con 12 personas por 12 dólares al mes para cada sala.

En Genbeta | Signal, la app de mensajería segura, lanza en beta su sistema videollamadas cifradas

También te recomendamos

WhatsApp ya está probando sus llamadas de vídeo, además de algunos cambios en su interfaz

Skype se integra con Slack para traer llamadas de voz y vídeo

Fotografía en invierno: trucos de profesional para fotografiar con lluvia, nieve y poca luz

-
La noticia En esta web puedes tener videoconferencias gratuitas sin necesidad de registro y sin instalar nada fue publicada originalmente en Genbeta por Gabriela González .

21 Feb 12:33

Fútbol pirata desde Facebook Live, nuevo enemigo de las cadenas de pago

by Lara Olmo
Futbol-pirata-desde-Facebook-live-nuevo-enemigo-teles-de-pago
La función de Facebook Live le sirve a un entramado de webs piratas para retransmitir partidos de fútbol de todo el mundo desde esta red social.
21 Feb 11:02

BugDrop, la impresionante operación que tomó el control de PCs para robar más de 600 GB de información

by Raúl Álvarez

Computer

La empresa de seguridad CiberX acaba de dar a conocer los resultados de una investigación que apunta a uno de los hackeos más grandes y sofisticados del último año. La operación bautizada como BugDrop atacó alrededor de 70 objetivos, de donde se destacan industrias, compañías de infraestructura, investigadores científicos, y hasta periodistas y medios de comunicación, la mayoría de estos con sede en Ucrania.

Se cree que BugDrop logró obtener más de 600 GB de datos entre los que se encontraban grabaciones de audio, capturas de pantalla, documentos y contraseñas. Todo esto se realizó mediante archivos maliciosos de Microsoft Word, quienes después de robar la información la subían a Dropbox, para posteriormente ser recuperada por los atacantes.

Micrófonos, Word y Dropbox

Según CiberX, BugDrop no fue tarea de una sola persona, se trata de una operación bien organizada que se apoya en malware sofisticado y que necesita de recursos para lograr sus objetivo, por ello se cree que alguien con mucho poder y una gran infraestructura está detrás de todo esto.

Los blancos se infectaban primero por medio de un documento de Microsoft Word que era enviado por correo, archivo que al ser abierto mostraba lo que parecía una notificación oficial de Office: "Atención: el archivo se creó en una versión más reciente de programas de Microsoft Office. Debe habilitar macros para mostrar correctamente el contenido de un documento", cuando el usuario activaba macros el atacante tomaba control del ordenador.

Una vez que la máquina estaba infectada, se habilitaba de forma automática el micrófono para grabar todas las conversaciones que sucedían a su alrededor, y posteriormente todos estos clips de audio eran subidos a Dropbox. Además de esto, la máquina se programaba para hacer capturas de pantalla en ciertos periodos de tiempo, y cuando el usuario guardaba una copia de algún archivo, ésta también se guardaba en la carpeta de Dropbox.

Word

La operación contaba con una gran infraestructura back-end para almacenar, descifrar y analizar cientos de datos diarios, donde había una participación importante de personas quienes eran los responsables de ordenar manualmente los datos capturados y procesarlos para su posterior análisis.

Se cree que la operación ha estado activa desde junio de 2016, robando información principalmente de Ucrania, pero también se han detectado ataques a ordenadores en Rusia, Arabia Saudita y Austria. Lo novedoso de este tipo de operación es que han usado plataformas gratuitas y que difícilmente son bloqueadas en las empresas, como el caso de Dropbox que se ha vuelto una herramienta ampliamente usada en todo el mundo, que no se bloquea ni se supervisa por los firewalls corporativos.

Otros elementos usados en esta operación han sido DLLs que instalaban el malware, que a su vez instalaban DLLs cifrados, esto con el objetivo de pasar desapercibidos ante los antivirus o análisis de otros programas. Pero la parte más interesante y que no ha permitido dar con los responsables, ha sido el uso de hosting gratuito, que es donde se han instalado los programas de control y comando.

CiberX

CiberX desconoce el origen de este ataque y el destino de la información robada, sólo mencionan que se trata de una sofisticada implementación de malware a gran escala, donde se necesita una gran cantidad de gente para su análisis diario. Por lo anterior, han llegado a la conclusión de que se trata de alguien con amplia experiencia en el sector y que sabe bien cómo trabajar de forma anónima y borrar cualquier tipo de rastro.

Más información | CiberX En Xataka | Cómo llegar a ser un hacker: varios expertos en seguridad nos lo cuentan

También te recomendamos

¿Por qué en Rusia hay que llevar una cámara en el coche?

Porno, almacenamiento y redes sociales: nadie escapa a los hackeos masivos en 2016

¿Robar información sólo con los sonidos del disco duro? Unos hackers aseguran que es posible

-
La noticia BugDrop, la impresionante operación que tomó el control de PCs para robar más de 600 GB de información fue publicada originalmente en Xataka por Raúl Álvarez .

21 Feb 11:02

Disney desarrolla un sistema para dar energía eléctrica de forma inalámbrica a una habitación completa

by Eduardo Marín

La división de investigación y desarrollo de Disney ha creado un sistema que puede abastecer energía de forma inalámbrica a todos los dispositivos que se encuentran en una habitación pequeña. Dicho de otro modo, es una red de carga inalámbrica como la soñaba Nikola Tesla hace casi un siglo.

Read more...

20 Feb 08:39

Buenas practicas en Controladores de dominio virtualizados con Hyper-V

by Jair Gomez Arias

 

 

Suscríbete, comparte y dale me gusta a los vídeos, así ayudarás a JGAITPro para que siga adelante llevando Conocimiento para TI totalmente gratis. Dale! no te cuesta nada, también puedes ayudarnos en http://JGAITPro.com/donar

20 Feb 08:38

¿Como obtener la cadena LDAP en Windows Server? #Firewall #LDAP #Windows #ActiveDirectory

by Peter Diaz Rosales

 

Uno de los requisitos necesarios para conectar el Directorio Activo a cualquier equipo hardware principalmente los Firewalls, es conectarlo a LDAP y así desde el propio equipo poder dar permisos a los usuarios a las aplicaciones.

 

Una manera sencilla pero que debemos de tener mucha precaución es obtener esa cadena LDAP usando el ADSI Edit

 

Esta opción la tenemos disponibles en los DC Windows, pero como he dicho debemos de tener mucho cuidado ya que cualquier cambio no controlado puede afectar nuestro directorio activo.

 

En este ejemplo vamos a utilizar un usuario ubicado en la OU Tecnología IT.

El usuario es Peter Diaz.

 

image

 

Ya una vez ubicado el usuario nos vamos al ADSI EDIT para localizar la cadena LDAP.

 

Apenas abrir el ADSI EDIT nos vamos a la OU y veremos inmediatamente la cadena LDAP.

 

 

image

 

En este ejemplo la cadena es: OU=Tecnologia IT,DC=pdiaz,DC=com

 

Es toda la informacion que debemos de colocar en el equipo firewall o hardware en el campo LDAP.

 

Luego por supuesto colocar el user y el pasword correspondiente para que se pueda conectar.

 

Hasta la próxima….

 

Peter Frank

MVP/MCT/MCSE Productivity & Communication

17 Feb 11:22

Se revierten los roles: Amazon compra tus productos

by Christiane Drummond
entrega caja
Si tienes el trastero lleno cosas que ya no necesitas, tal vez sea el momento de deshacerse de ellos. Descubre el servicio en el que Amazon compra tus productos.
17 Feb 11:14

Sácale más partido a la pestaña Inicio del Administrador de Tareas añadiendo columnas

by Sergio Agudo

windows 10

Si alguna vez has usado Windows en versiones anteriores a la 8 y a la 10, estás al tanto de que en aquellos tiempos el único lugar en el que podías gestionar los programas que se iniciaban con Windows era a través de MSCONFIG. Sin embargo, a partir de Windows 8, Microsoft movió esta información al Administrador de Tareas.

Además de permitirte deshabilitar programas, la nueva pestaña de Inicio ofrece nuevas y mejoradas funcionalidades. Por ejemplo, puedes rastrear la localización de un archivo en tu disco duro, así como buscar en la web de forma instantánea para recibir información más detallada acerca de un programa. Incluso puedes obtener información adicional habilitando más columnas en la vista por defecto.

¿Qué información podemos consultar por defecto?

Para poder hablar de esto, en primer lugar abre el Administrador de Tareas haciendo clic con el botón derecho en la barra de tareas. Cuando esté abierto, selecciona la pestaña inicio. Deberías encontrarte con algo parecido a esto:

Captura

Como ya hemos comentado, se trata de una lista de programas que se inician cuando arranca Windows. Para investigar más acerca de ellos, haz clic con el botón derecho en cualquiera y elige entre las opciones que verás en el menú:

Captura2

Cada una de ellas hace lo siguiente:

  • "Deshabilitar" hace que el programa deje de estar operativo. Si ya está deshabilitado, la opción se cambiará por "Habilitar".
  • "Abrir ubicación del archivo" mostrará en qué carpeta está el archivo ejecutable.
  • "Buscar en línea" abrirá una búsqueda en Internet para que podamos recabar más información sobre el programa.
  • "Propiedades" abrirá el cuadro de diálogo por defecto en el que encontraremos toda clase de datos sobre el software.

Además, hay una columna llamada "Impacto de inicio" que nos permite saber cuánto afecta un programa al arranque de Windows. Esta medida se determina por la cantidad de recursos del procesador y del disco duro que una aplicación necesita para empezar a funcionar durante el arranque. Después se puede usar este valor para determinar qué aplicaciones están sumando tiempo al arranque, lo que puede ayudar a saber cuáles deshabilitar.

Según Microsoft, los valores de impacto se determinan de la siguiente manera:

  • Alto: usan más de un segundo de tiempo de CPU o más de 3 MB de E/S del disco duro en el arranque.
  • Medio: requieren de 300 milisegundos a un segundo en la CPU y de 300 KB a 3 MB de disco duro.
  • Bajo: necesitan utilizar menos de 300 milisegundos en el procesador y menos de 300 KB en el disco.

Añadir columnas adicionales

A través de estas columnas que puedes añadir se puede obtener más detalles sobre las aplicaciones que arrancan con nuestro sistema operativo. Para colocarlas en la vista de la pestaña Inicio, haz clic con el botón derecho en cualquier columna que ya esté presente:

Captura3

Si añades la columna "E/S de disco al inicio" verás la cantidad memoria en disco que requiere cada aplicación para arrancar. Si habilitas "Tipo de inicio" podrás comprobar si cada programa se inicia desde un archivo o desde un registro y "Tiempo deshabilitado" te dirá durante cuánto tiemp un programa concreto ha estado en ese estado. Por último, la columna "Línea de comandos" te dirá la ruta exacta y el archivo ejecutable que Windows usa para lanzar el programa.

También te recomendamos

Cómo añadir un mensaje personalizado al inicio de Windows

Trucos de conducción que te hubiera gustado aprender en la autoescuela (I)

Cómo borrar cualquier rastro en el registro de Windows de un programa desinstalado

-
La noticia Sácale más partido a la pestaña Inicio del Administrador de Tareas añadiendo columnas fue publicada originalmente en Genbeta por Sergio Agudo .

16 Feb 15:39

Get ‘Back to my Pi’ from anywhere with VNC Connect

by Alex Bate

In today’s guest blog, Andy Clark, Engineering Manager at RealVNC, introduces VNC Connect: a brand-new, and free, version of VNC that makes it simple to connect securely to your Raspberry Pi from anywhere in the world.

Since September 2016, every version of Raspbian has come with the built-in ability to remotely access and control your Raspberry Pi’s screen from another computer, using a technology called VNC. As the original inventors of this technology, RealVNC were happy to partner with Raspberry Pi to provide the community with the latest and most secure version of VNC for free.

We’re always looking to improve things, and one criticism of VNC technology over the years has been its steep learning curve. In particular, you need a bit of networking knowledge in order to connect to a Pi on the same network, and a heck of a lot to get a connection working across the internet!

This is why we developed VNC Connect, a brand-new version of VNC that allows you not only to make direct connections within your own networks, but also to make secure cloud-brokered connections back to your computer from anywhere in the world, with no specialist networking knowledge needed.

I’m delighted to announce that VNC Connect is available for Raspberry Pi, and from today is included in the Raspbian repositories. What’s more, we’ve added some extra features and functionality tailored to the Raspberry Pi community, and it’s all still free for non-commercial and educational use.

‘Back to my Pi’ and direct connections

The main change in VNC Connect is the ability to connect back to your Raspberry Pi from anywhere in the world, from a wide range of devices, without any complex port forwarding or IP addressing configuration. Our cloud service brokers a secure, end-to-end encrypted connection back to your Pi, letting you take control simply and securely from wherever you happen to be.

RealVNC

While this convenience is great for a lot of our standard home users, it’s not enough for the demands of the Raspberry Pi community! The Raspberry Pi is a great educational platform, and gets used in inventive and non-standard ways all the time. So on the Raspberry Pi, you can still make direct TCP connections the way you’ve always done with VNC. This way, you can have complete control over your project and learn all about IP networking if you want, or you can choose the simplicity of a cloud-brokered connection if that’s what you need.

Simpler connection management

Choosing the computer to connect to using VNC has historically been a fiddly process, requiring you to remember IP addresses or hostnames, or use a separate application to keep track of things. With VNC Connect we’ve introduced a new VNC Viewer with a built-in address book and enhanced UI, making it much simpler and quicker to manage your devices and connections. You now have the option of securely saving passwords for frequently used connections, and you can synchronise your entries with other VNC Viewers, making it easier to access your Raspberry Pi from other computers, tablets, or mobile devices.

RealVNC

Direct capture performance improvements

We’ve been working hard to make improvements to the experimental ‘direct capture’ feature of VNC Connect that’s unique to the Raspberry Pi. This feature allows you to see and control applications that render directly to the screen, like Minecraft, omxplayer, or even the terminal. You should find that performance of VNC in direct capture mode has improved, and is much more usable for interactive tasks.

RealVNC

Getting VNC Connect

VNC Connect is available in the Raspbian repositories from today, so running the following commands at a terminal will install it:

sudo apt-get update

sudo apt-get install realvnc-vnc-server realvnc-vnc-viewer

If you’re already running VNC Server or VNC Viewer, the same commands will install the update; then you’ll need to restart it to use the latest version.

There’s more information about getting set up on the RealVNC Raspberry Pi page. If you want to take advantage of the cloud connectivity, you’ll need to sign up for a RealVNC account, and you can do that here too.

Come and see us!

We’ve loved working with the Raspberry Pi Foundation and the community over the past few years, and making VNC Connect available for free on the Raspberry Pi is just the next phase of our ongoing relationship.

We’d love to get your feedback on Twitter, in the forums, or in the comments below. We’ll be at the Raspberry Pi Big Birthday Weekend again this year on 4-5 March in Cambridge, so please come and say hi and let us know how you use VNC Connect!

The post Get ‘Back to my Pi’ from anywhere with VNC Connect appeared first on Raspberry Pi.

16 Feb 15:38

Tu próxima tele podría venir en dos "piezas" y, si los fabricantes quieren, tendrá todo el sentido del mundo

by María González

Samsung Qled

Echa un vistazo a la foto que encabeza este artículo. Se trata de uno de los nuevos televisores QLED de Samsung expuesto en un entorno real (vamos, no hay Photoshop ni retoque), al que hay conectado una Xbox One, un Apple TV y un decodificador de Movistar+. Seguro que pronto hay algo que te llama la atención: no hay cables visibles (y no, tampoco van por detrás de la pared). Si lo pudieras ver de perfil, también te sorprendería ver que la pantalla está pegada a la pared como si de un cuadro se tratase. ¿Y los cables? ¿Y la "ventilación"?

Del panel del modelo que te mostramos tan sólo salen dos cables: el de alimentación y uno propietario de Samsung. Ambos cables bajan por una canaleta que los oculta hasta el armario que se puede ver a la izquierda. No se aprecia en la foto porque está tapado, pero el cable "invisible" de Samsung es de fibra, fino, transparente y por él pasa toda la información al televisor. El panel, por tanto, puede "pegarse" a la pared casi por completo gracias a una montura especial.

Captura De Pantalla 2017 02 13 A Las 19 51 22 Cable de "Conexión invisible" de Samsung: éste, junto al cable de alimentación, es el único cable que va directamente al panel de las nuevas QLED

El "cerebro" de la tele, un dispositivo independiente

Samsung Qled One Connect Samsung One Connect: el "cerebro" de las nuevas QLED va en un dispositivo independiente, al que se conectan todos los cables

Pero volvamos al armario de la izquierda. En él se aloja el verdadero "cerebro" del televisor: le llaman Samsung One Connect y tiene forma de decodificador, pero en realidad en su interior está la CPU y todos los demás componentes que necesita el televisor para funcionar. También actúa como "hub" de conexiones: a él van conectados todos los dispositivos de los que hablaba el principio, y de él sale el cable "invisible" hacia la pantalla.

En las nuevas QLED, por un lado está el panel y, por otro, el One Connect (el "cerebro" de la tele), como si se tratara de un ordenador

Aunque Samsung ha apostado por esta "caja" adicional para su nueva línea de televisores QLED, en realidad llevan desde 2013 ofreciendo distintas opciones de One Connect y probando diferentes estrategias. La Samsung KS9000 del año pasado, así como otros modelos de sus gamas altas, incluían una cajita denominada Samsung One Connect Mini, que simplemente actuaba como una caja de conexiones (con HDMIs, USBs y entrada de antena, por ejemplo).

Samsung One Connect Mini Ks9000 El One Connect Mini de la Samsung KS9000 era simplemente una "caja" de conexiones

Aunque nunca fue demasiado conocido, en 2015 también llegaron a vender un One Connect Box Evolution Kit, que permitía que televisores de 2013 y 2014 tuvieran un mejor rendimiento y pudieran utilizar la misma interfaz (mando a distancia incluido) y Smart TV que el de los modelos que acababan de llegar al mercado. En el caso de aquel modelo concreto, por ejemplo, con la potencia añadida las teles ya tenían suficientes recursos para reproducir vídeos de YouTube en 4K.

¿Por qué entonces estamos en pleno 2017 hablando de esto? Porque por primera vez Samsung utiliza esto como argumento en la promoción de su nueva generación de televisores QLED. ¿Su razón? Gracias a esto y su nuevo cable son capaces de ofrecer la experiencia sin cables que algunos añoramos. Pero los televisores modulares podrían tener todavía una mayor razón para existir si los fabricantes apostaran de verdad por ellos.

No sólo Samsung: también Xiaomi y LG

Lg Signature Cpu

Samsung no es la única marca que lleva un tiempo experimentando con algo similar, y es que es normal que vayamos viendo alternativas de este tipo cuando cada vez más los fabricantes están apostando por hacer los televisores más finos. Los nuevos televisores LG Signature de este año llevan una especie de "mesita" que tiene función de sistema de sonido y, aunque LG no lo especificó en su presentación, se encargan de toda la conectividad, de la CPU y del resto de componentes. Si no fuera así, difícilmente podrían conseguir esos 3 mm de grosor de los que presumen.

Como puede verse en el vídeo de montaje que han publicado recientemente, de la pantalla sale un único cable que va directamente al sistema de sonido que, a su vez, recibe el resto de conexiones:

La obsesión de los fabricantes por ofrecer las teles más delgadas y las mejores experiencias "sin cables" hacen que cada vez veamos más televisores en dos "piezas": la pantalla y el "corazón" independiente

Quien no lo oculta, sino que más bien presume de ello, es Xiaomi: durante el CES presentó el Mi TV 4, un televisor de 4,9 mm en su parte más delgada que incluye una barra de sonido independiente. La barra de sonido no sólo se ocupa del audio, sino que a ella van todas las conexiones y toda la parte electrónica del televisor. Ésta se conecta al panel con un Mi Port, un único cable propietario por el que pasan todos los datos.

Mi4tv La Mi TV Bar es la que lleva las conexiones: a la pantalla en sí sólo va un cable, el Mi Port, además del de alimentación

"El diseño de TV modular separa de forma inteligente la placa base y el sistema de sonido de la pantalla, y por tanto permite actualizaciones de la placa base independientes", explican en el sitio web de Xiaomi. Los modelos 3 (2015) y 3S (2016) ya utilizaban un sistema similar, pero hasta ahora el fabricante chino no había incidido en ello como una ventaja.

Tiene sentido, pero los fabricantes tienen que cumplir su parte

Sí, sé lo que alguien puede estar pensando: "otro aparato más a meter en el salón, como si ya hubiera pocos". Y ese alguien tiene toda la razón: no deja de ser un dispositivo independiente que, en el caso de Samsung, no tiene una funcionalidad específica adicional. LG y Xiaomi al menos te incluyen el sonido, algo muy necesario cuando hablamos de teles muy delgadas y sin posibilidad física de ofrecer un buen audio.

Sin embargo, este diseño "modular" tiene sus ventajas. Desde el punto de vista de la estética, hace que ocultar los cables sea mucho más sencillo (tan sólo hace falta uno entre pantalla y "cerebro") y permite que los paneles parezcan cuadros, "pegados" a la pared como si así lo fueran. Fuera conectores por la parte trasera del panel y fuera cables colgando.

Captura De Pantalla 2017 02 13 A Las 19 19 33 A la izquierda, tele con montura convencional. A la derecha, tele Samsung QLED con montura pegada a la pared

Estos diseños por ahora se suelen ver sólo en los modelos de las gamas más altas de los principales fabricantes, por lo que no es extraño que las gamas medias y las gamas bajas todavía no dispongan de cajas de conexión similares. Supongo que será cuestión de tiempo: en cuanto las teles ultrafinas bajen de precio y lleguen a más gamas, seguramente veremos este tipo de módulos en modelos mucho más asequibles.

Pero la verdadera utilidad de que un televisor se componga de dos piezas separadas es lo fácil que, siempre que los fabricantes quieran, pueden permitir que cualquier persona con un modelo de unos años de antigüedad pueda renovar, en mayor o menor medida, sus funcionalidades. Y esto, en dispositivos caros que renovamos con muy poca frecuencia y especialmente ahora que hay tantos avances y cambios de un año para otro, puede ser algo a tener muy en cuenta.

¿Cada cuánto cambias de televisor? El ciclo de renovación es de muchos años y un televisor que lo "petara" en 2013 hoy ya está desfasado

Y si no que se lo digan a quien gasta ahora 2.000 euros o más en una tele y al año siguiente le queda "desfasada". Sin falta de irse a tanto dinero, para gamas bajas y medias también puede ser útil. En mi caso, una Smart TV de gama media comprada en 2013 se ha quedado totalmente anticuada en software (Netcast 4.5), potencia (aplicaciones que van a pedales) y conectividad (pocos puertos y versiones antiguas). La parte del software se puede solucionar comprando otro aparato adicional, pero ¿si lo solucionaras todo con un único módulo?

Si el día de mañana tu fabricante cambia el sistema operativo de su Smart TV, la interfaz de sus menús, el mando a distancia e incluso introduce mejoras en el procesado de la imagen que sólo son posibles gracias a un aumento de capacidad del procesador, podría incluir todas estas novedades en una "caja" nueva que poder ofrecer a los poseedores de modelos de años anteriores. Que nadie espere que una actualización de este tipo vaya a hacer que su actual tele 4K vaya a convertirse en el futuro 8K (el panel sigue siendo el mismo), pero hay muchos otros componentes en un televisor que van mejorando cada año.

No sabemos si los modelos QLED de Samsung o los Signature (2017) de LG serán actualizables; Xiaomi ya ha confirmado que su Mi 4 TV sí lo será

Aunque, para que todo esto tenga sentido de verdad, los fabricantes tienen que ponerse las pilas y comprometerse a que sus teles sean actualizables durante X años. Ni Samsung ni LG se han pronunciado al respecto sobre sus modelos de 2017, aunque parece poco probable que sean candidatos a recibir una actualización de hardware en 2018 (si lo fueran, seguramente lo habrían anunciado por todo lo alto para dar tranquilidad a sus posibles compradores). Xiaomi sí lo ha confirmado, aunque sin dar más detalles sobre hasta cuándo. Para que los televisores modulares tengan sentido más allá de de la pura estética, hace falta que los fabricantes se comprometan.

También te recomendamos

QLED y Nano Cell: qué son y por qué decimos que pueden competir con la calidad del OLED

QLED es la nueva tecnología en televisores de Samsung que busca igualar la calidad de los paneles OLED

¿Por qué en Rusia hay que llevar una cámara en el coche?

-
La noticia Tu próxima tele podría venir en dos "piezas" y, si los fabricantes quieren, tendrá todo el sentido del mundo fue publicada originalmente en Xataka por María González .

15 Feb 10:35

Los sitios web ya pueden identificar un usuario aunque use distintos navegadores en el mismo equipo

by alvy@microsiervos.com (Alvy)

Cross browser system architecture

Ars Technica da cuenta del trabajo de unos investigadores que han desarrollado un método efectivo al 99% para identificar a un usuario que navega por la web aunque utilice diferentes navegadores en un mismo ordenador.

Esto normalmente se hace a través de cookies, pero una forma sencilla y conocida de evitar ser «reconocido» por los sitios web que se visitan es simplemente usar otro navegador (por ejemplo Firefox, Opera o Edge en vez de Chrome) en la misma máquina. Las cookies no se comparten de una aplicación a otra.

Pero esta técnica evita usar ese truqui: lo que hace es aprovechar la información relativa al hardware del equipo y los propios navegadores sobre hora, plataforma, tamaño de la pantalla, tipografías, etcétera) – además de las clásicas cookies, las supercookies y las cookies eternas– para calcular cuán probable es que cierto visitante sea el mismo que otro, aunque los navegadores sean diferentes. La fiabilidad es muy alta.

Es similar a aquello que ya nos descubrió Panopticlick hace años: que es muy fácil identificar a un navegador determinado porque no hay dos iguales. (Prepárate a temblar y sentirte desnudo si lo visitas.)

Los detalles del trabajo están aquí: (Cross-)Browser Fingerprinting via OS and Hardware Level Features.

Esta técnica tiene diversas consecuencias para la privacidad, seguridad y funcionalidad de los sitios web, porque como siempre todo depende de cómo se use. La primera impresión es que sin duda se empleará más para el mal que para el bien y es casi seguro que surjan contramedidas en forma de plugins y otras técnicas y escaramuzas, del mismo modo que en su día surgieron los «modos anónimos», el Do not Track y similares.

# Enlace Permanente

15 Feb 10:34

La nueva app de videollamadas de Amazon golpea a Skype donde más le duele: la simplicidad

by Carlos Zahumenszky

El mercado de las videollamadas tiene un nuevo competidor. Se llama Chime, y es la apuesta de Amazon para comerle terreno a Skype con una plataforma propia que funciona por igual en móviles o PC de cualquier sistema operativo.

Read more...

15 Feb 10:34

Ocho tarjetas GTX 1080 conectadas sirven no para jugar, sino para crackear contraseñas

by Javier Pastor

Geforce2

Los amantes de los videojuegos seguramente sueñan con contar en sus equipos con las configuraciones más potentes tanto a nivel de CPU como de GPU, y en este sentido la combinación de varias tarjetas gráficas era una de las opciones más atractivas. Lo que ocurre es que combinar varias tarjetas gráficas no solo sirve para jugar.

De hecho un grupo de expertos en seguridad han desvelado cómo combinar nada menos que ocho GeForce GTX 1080 para un propósito singular: crackear contraseñas a velocidades de vértigo.

Una potencia brutal para romper contraseñas

El servidor dedicado a romper contraseñas no es barato, pero desde luego no es tan caro como suelen ser los supercomputadores que se centran en esta tarea. Los creadores del mismo hacen usaron de una placa base de Tyan, tradicional en las configuraciones multiCPU y multiGPU, a la que "inundaron" con 2 procesadores Xeon E5, 64 GB de memoria, un SSD de 1 TB y 8 tarjetas EVGA GeForce GTX 1080 Founders Edition (recomiendan esas ediciones específicas).

El software utilizado para controlar ese singular servidor es Ubuntu 14.04.3 Server, sobre el cual corren tanto hashcat como hashview, dos programas muy populares entre los "cazadores de contraseñas".

El uso de diccionarios (en ciertos casos) y de la potencia bruta de la computación GPGPU que ofrecen esas ocho tarjetas gráficas bestiales hace el resto. En una prueba sintética rápida comprobaron cómo ese servidor era capaz de llegar a ofrecer 341 GH/s (gigahash por segundo, mil millones de comprobaciones de contraseñas), algo que lógicamente hace que incluso la búsqueda con métodos de fuerza bruta sean factibles en ciertos escenarios.

Este tipo de servidor puede usarse para realizar auditorías de seguridad en todo tipo de servicios web, pero también para verificar que las contraseñas siguen siendo el eslabón débil de muchos usuarios que tratan de proteger sus datos. En un ejemplo del que mostraban la captura se veía como contraseñas como "Passw0rd!", "Password1", "Winter2017" o "Password!" eran especialmente populares en el fichero analizado. Lo que todos nos preguntamos, claro, es qué tal se jugaría a "Battlefield 1" o a "Overwatch" con este "monstruo".

Más información | ShellIntel
En Xataka | NVIDIA Pascal: 1 TB/s y hasta 32 Gb de RAM para intentar reinar entre las tarjetas gráficas

También te recomendamos

Cambia de password: este generador de contraseñas inspirado en xkcd te ayuda

La Raspberry Pi Zero se convierte en un diminuto sistema de hacking letal gracias a PoisonTap

¿Por qué en Rusia hay que llevar una cámara en el coche?

-
La noticia Ocho tarjetas GTX 1080 conectadas sirven no para jugar, sino para crackear contraseñas fue publicada originalmente en Xataka por Javier Pastor .

15 Feb 06:51

MITMf: Ataques modernos en redes de datos IPv4

by noreply@blogger.com (Chema Alonso)
Ya hemos utilizado esta herramienta en alguna ocasión, por ejemplo, en el caso de los ataques a HSTS con SSL Strip2 y Delorean. En este artículo, comentábamos como llevar a cabo ataques a HSTS y eran realizados de forma sencilla a través de la herramienta MITMf. Hoy queremos dedicarle un artículo a MITMf, herramienta que proporciona una gran cantidad de ataques, simplificando, gracias a los plugins, el número de herramientas que se deberían disponer para llevar a cabo los ataques.

Figura 1: MITMf. Ataques modernos en redes de datos IPV4

Los ataques a las redes de datos han evolucionado bastante, aunque es cierto que realizar un ARP Spoofing sigue siendo una piedra angular o base en muchos momentos. Esto es debido a que a partir del uso de la técnica de ARP Spoofing podemos montar una serie de ataques más potentes o a distintas capas. La herramienta de MITMf está disponible a través de su Github.

Instalación de MITMf

La instalación es sencilla, simplemente debemos ejecutar el comando siguiente en tu Kali Linux 2:
git clone https://github.com/byt3bl33d3r/MITMf.git
Después, hay que asegurarse de que se tienen todas las dependencias que MITMf requiere. Para ello se debe ejecutar:
apt-get install python-dev python-setuptools libpcap0.8-dev libnetfilter-queue-dev libssl-dev libjpeg-dev libxml2-dev libxslt1-dev libcapstone3 libcapstone-dev libffi-dev file.
Una vez se tienen las dependencias hay que instalar todas las dependencias de Python que se puedan tener. Para ello, desde dentro de la carpeta de MITMf, hay que ejecutar:
pip install -r requirements.txt.
Antes de comenzar a enseñar las posibilidades que ofrece el framework, vamos a explicar las ventajas de este tipo de herramientas. Hay que recordar que en su momento hablamos de Bettercap, como una herramienta que mejora la usabilidad y agrupa las necesidades de la auditoría de red.

Figura 2: MITMf en GitHub

La idea original de MITMf fue la de comenzar una herramienta de cero para proporcionar un estilo modular y que fácilmente es extensible, para que cualquier pueda ampliar la funcionalidad.

Características y plugins de MITMf

MITMf ofrece la posibilidad de manipular, observar y filtrar paquetes de red, por lo que se podría implementar un plugin para ataques de Network Packet Manipulation. La herramienta también contiene un servidor HTTP, DNS y SMB, el cual puede ser controlado y utilizado por varios de los plugins que la herramienta tiene a día de hoy. Además, dispone de un gran número de plugins.


Figura 3: Ataques de Network Packet Manipulation
A continuación, indicamos los protocolos que MITMf capturará:
• FTP
• IRC
• POP
• IMAP
• Telnet
• SMTP
• SNMP
• NTLMv1/v2
• HTTP, SMB, LDAP (generalmente, strings)
• Kerberos
Esto es capturado al utilizar el plugin Net-Creds, el cual es arrancado al iniciar el framework. Por último, indicar que el plugin Responder permite integrarse con LLMNR, NBT-NS, MDNS spoofing y WPAD Rogue. Como se puede ver, las características de las herramientas son muy completas. A continuación, se enumeran algunos de los diferentes plugins que contiene MITMf:
SSLStrip+: Con este plugin ya jugamos en su día. Permite realizar un bypass parcial de HSTS. 
Responder: Permite hacer spoofing sobre MDNS y WPAD. 
Spoof: Quizá uno de los módulos básicos y más utilizados. Es la base para una gran mayoría de ataques. Permite redirigir el tráfico utilizando los protocolos ARP, ICMP, DHCP o DNS, a través de técnicas como ARP Spoofing y DNS Spoofing. 
Ferret-NG: Un clásico. Permite realizar secuestro de sesiones o hijacking. 
BrowserProfiler: Este plugin intenta enumerar los diferentes plugins que el navegador puede estar utilizando. Es interesante para conocer el entorno y versiones del navegador y sus plugins. 
FilePwn: Utilizando la herramienta Backdoor Factory y BDFProxy permite inyectar una backdoor sobre HTTP. Interesante plugin. 
Inject: Este plugin permite inyectar código arbitrario en el contenido HTML. Otro de los módulos imprescindibles. 
• JSKeylogger: Inyecta código Javascript que permite hacer de keylogger. Un plugin interesante para hacer una JavaScript Botnet.
Replace: El plugin Replace permite modificar el código arbitrario en el contenido HTML. 
SMBTrap: Explota la vulnerabilidad SMB Trap. 
ScreenShotter: Utiliza HTML5 Canvas para realizar una captura de pantalla del navegador. 
• Captive: Crea un portal cautivo y redirige peticiones hacia dónde le indiquemos.
PoC: Inyección de código en el contenido HTML

En esta prueba de concepto se realiza una inyección de código arbitrario sobre el contenido HTML que circula a través de nuestro ataque Man in the Middle. Esto puede ser interesante, ya que a través de, por ejemplo, un ataque ARP Spoofing, el tráfico de la víctima circula por nuestra máquina. En ese instante, cualquier contenido HTML puede ser atacado y modificar el contenido.

En este ejemplo se introduce un iframe oculto que realizará una petición hacia dónde nosotros queramos. Esto se puede alinear o sumar a otro tipo de ataques más complejos. Por ejemplo, en el momento que podemos lograr que un navegador haga una petición a una dirección controlada por nosotros, podríamos devolverle un exploit para lograr el control total de la máquina, explotando algún tipo de vulnerabilidad en el navegador o en algún plugin o componente de éste.

Figura 4: MITM arp spoofing + injet de HTML

Para ejemplificar esto, haremos lo siguiente:
1. Lanzamos el ataque Man in the Middle y configuramos el plugin de inyección. 
2. Cuando la víctima esté infectada, el tráfico circulará a través nuestra. 
3. Inyectaremos el iframe oculto. 
4. Cuando el navegador de la víctima ejecute el HTML, ejecutará el iframe inyectado y realizará, sin saberlo, una petición hacia nuestro servidor. 
5. Tendremos configurado Metasploit para devolver un exploit, en este caso de Java. 
6. Si la máquina es vulnerable, se logrará tener el control de la máquina. En este caso se suma el ataque de red a las posibles vulnerabilidades del software de la máquina, logrando un resultado más potente.
Una vez la máquina víctima descarga el contenido HTML, ya modificado, se realiza una petición a un servidor externo, dónde espera Metasploit. El módulo, para esta PoC, que se ha configurado es una vieja vulnerabilidad en Java, pero que permite ver el potencial y facilidad de uso que ofrece el framework.

Figura 5: Metasploit esperando la ejecución del exploit para obtener sesión

Además, tenemos que tener en cuenta que existen algunos parámetros dentro del plugin Inject que nos permite ver el número de inyecciones de código por dominio, o incluso utilizar una lista blanca de dominios sobre los que se debe modificar el HTML o no. Ciertamente, el plugin es bastante completo. El resultado, para el atacante, es el siguiente:

Figura 6: Sesión Meterpreter obtenida

Como se puede ver, un ataque que podría costarnos antiguamente, hoy en día lo tenemos al alcance de una línea con varios plugins cargados. Potencia, flexbilidad y extensibilidad. Este framework ofrece diferentes soluciones y ataques de red modernos. Próximamente más ataques con este gran framework de auditoría de red.

Autor: Pablo González Pérez (@pablogonzalezpe)
Escritor de los libros "Metasploit para Pentesters", "Ethical Hacking", "Got Root" y “Pentesting con Powershell
13 Feb 20:08

BIND y Active Directory® – Redes PYME

by fico

¡Hola amigos!. El objetivo principal de este artículo es mostrar cómo podemos integrar el servicio DNS basado en el BIND9 en una red Microsoft, muy común en muchas PYMES.

Surge de la solicitud oficial de un amigo que vive en La Tierra del Fuego –El Fueguino– especializado en Redes Microsoft® -Certificados incluidos- de guiarlo en ésta parte de la migración de sus servidores a Linux. Los Costes del Soporte Técnico que pagan a Microsoft® ya son Insoportables para la Compañía en que trabaja y de la que es su Accionista Principal.

Mi amigo El Fueguino tiene un gran sentido del humor, y desde que vio la serie de tres películas “El Señor de los Anillos” quedó prendado de muchos de los nombres de sus personajes sombríos. Así que, amigo Lector, no se extrañe de los nombres de su dominio y de sus servidores.

A los recién llegados al tema y antes de continuar la lectura le recomendamos lean y estudien los tres artículos anteriores sobre las Redes PYMES:

Es como ver tres de las cuatro partes de “UnderWorld” publicadas hasta hoy, y que ésta sea la cuarta.

Parámetros generales

Después de varios intercambios vía e-mail, al fin quedé claro de los parámetros principales de su red actual, los cuales son:

Nombre de dominio  mordor.fan
Red LAN         10.10.10.0/24

===============================================================================
Servidores      Dirección IP    Propósito (Servidores con SO Windows)
===============================================================================
sauron.mordor.fan.  10.10.10.3  Active Directory® 2008 SR2
mamba.mordor.fan.   10.10.10.4  Servidor de archivos Windows
darklord.mordor.fan.    10.10.10.6  Proxy, gateway y firewall sobre Kerios  
troll.mordor.fan.   10.10.10.7  Blog basado en... no recuerdo
shadowftp.mordor.fan.   10.10.10.8  Servidor FTP
blackelf.mordor.fan.    10.10.10.9  Servicio e-mail completo
blackspider.mordor.fan. 10.10.10.10 Servicio WWW
palantir.mordor.fan.    10.10.10.11 Chat en Openfire para Windows

Le pedí permiso a El Fueguino para establecer tantos Alias como fueran necesarios para aclarar mi mente y me dio su autorizo:

Real       CNAME
==============================
sauron      ad-dc
mamba       fileserver
darklord    proxyweb
troll       blog
shadowftp   ftpserver
blackelf    mail
blackspider www
palantir    openfire

Todos los registros DNS importantes los declaré en mi instalación de un Active Directory Windows 2008 que me vi obligado a implementar para guiarme en la confección de éste post.

Sobre los registros SRV del DNS de un Active Directory

Los Registros SRV o Localizadores de Servicios -muy empleados en los Active Directory de Microsoft- se definen en la Request for Comments RFC 2782. Permiten la localización de un servicio basado en el protocolo TCP/IP mediante un consulta DNS. Por ejemplo, un cliente en una red Microsoft puede localizar la ubicación de los Controladores de Dominio – Domain Controllers que brindan el servicio  LDAP sobre el protocolo TCP por el puerto 389 mediante una sola consulta DNS.

Es normal que en los Bosques – Forests, y Árboles – Trees de una gran Red Microsoft existan varios Controladores de Dominio. Mediante el uso de los registros SRV en las diferentes Zonas que conforman El Espacio de Nombres de Dominio de esa Red, podemos mantener una Lista de los Servidores que brindan similares servicios bien conocidos, ordenados por preferencia acorde al protocolo de transporte y el puerto de cada uno de los servidores.

En la Request for Comments RFC 1700 se definen los Nombres Simbólicos Universales para los Servicios Bien Conocidos – Well-Known Service, y se reservan nombres como “_telnet“, “_smtp” para los servicios telnet y SMTP. Si no está definido un nombre simbólico para un Servicio Bien Conocido, se puede utilizar un nombre local u otro nombre acorde a las preferencias del usuario.

Bind

El propósito de cada campo “especial” que se utiliza en la declaración de un Registro de Recurso SRV es el siguiente:

  • Domain: “pdc._msdcs.mordor.fan.“. Nombre DNS del servicio al cual se refiere el registro SRV. El nombre DNS del ejemplo significa -mas o menos- Primary Domain Controller de la zona _msdcs.mordor.fan.
  • Service: “_ldap”. Nombre Simbólico del servicio que se brinda definido según la Request for Comments RFC 1700.
  • Protocol: “_tcp”. Indica el tipo de protocolo de transporte. Típicamente puede tomar los valores _tcp o _udp, aunque -y de hecho- se puede utilizar cualquier tipo de protocolo de transporte indicado en la Request for Comments RFC 1700. Por ejemplo, para un servicio chat basado en el protocolo XMPP, este campo tendría el valor de _xmpp.
  • Priority: “0“. Declara la prioridad o preferencia para el Host offering this service que veremos mas adelante. Las consultas DNS de los clientes sobre el servicio definido por este registro SRV, al recibir la respuesta adecuada, intentarán contactar con el primer host disponible con el número mas bajo listado en el campo Priority. El rango de valores que puede tomar este campo es de 0 a 65535.
  • Weight: “100“. Se puede utilizar en combinación con Priority para proveer un mecanismo de balance de carga cuando existan varios servidores que prestan el mismo servicio. Deberá existir un registro similar SRV  para cada servidor en el archivo de Zona, con su nombre declarado en el campo Host offering this service. Ante servidores con iguales valores en el campo Priority, el valor del campo Weight se puede usar como un nivel adicional de preferencia y así obtener una exacta selección de servidor para balancear la carga. El rango de valores que puede tomar este campo es de 0 a 65535. Si no se necesita el balance de carga, por ejemplo como en el caso de un solo servidor, se recomienda asignar el valor 0 para facilitar la lectura del registro SRV.
  • Port number – Port: “389“. Número del puerto en el Host offering this service que brinda el servicio indicado en el campo Service. El número del puerto que se recomienda para cada tipo de Servicio Bien Conocido está indicado en la Request for Comments RFC 1700, aunque pueda tomar un valor entre 0 y 65535.
  • Host offering this service – Target: “sauron.mordor.fan.“. Especifica el FQDN que identifica inequívocamente al host que provee el servicio indicado por el registro SRV. Se requiere un registro tipo “A” en el espacio de nombres del dominio para cada FQDN del servidor o host que brinde el servicio. Mas simple, un registro tipo A en la(s) zona(s) directa(s).
    • Nota:
      Para indicar de forma autoritaria que el servicio especificado por el registro SRV no se presta en éste host, se utiliza un solo (
      .) punto.

Solo queremos repetir que el correcto funcionamiento de una red o de un Active Directory® descansa enormemente en el correcto funcionamiento del Servicio de Nombres de Dominio.

Registros DNS del Active Directory

Para confeccionar las Zonas del nuevo Servidor DNS basado en BIND, debemos obtener todos los registros DNS del Active Directory®. Para facilitarnos la vida, vamos al equipo sauron.mordor.fan -Active Directory® 2008 SR2- y en la Consola de Administración del DNS activamos la Transferencia de Zona -directas e inversa- para las principales zonas declaradas en éste tipo de servicio que son:

  • _msdcs.mordor.fan
  • mordor.fan
  • 10.10.10.in-addr.arpa

Una vez efectuado el paso anterior y preferentemente desde un equipo con Linux cuya dirección IP esté dentro del rango de la subred empleada por la Red Windows, ejecutamos:

buzz@sysadmin:~$ dig @10.10.10.3 _msdcs.mordor.fan axfr > temp/rrs._msdcs.mordor.fan
buzz@sysadmin:~$ dig @10.10.10.3 mordor.fan axfr > temp/rrs.mordor.fan
buzz@sysadmin:~$ dig @10.10.10.3 10.10.10.in-addr.arpa axfr > temp/rrs.10.10.10.in-addr.arpa
  • Recordemos de artículos anteriores que la dirección IP del equipo sysadmin.desdelinux.fan es 10.10.10.1 o la 192.168.10.1.

En los tres comandos anteriores podemos eliminar la opción @10.10.10.3pregunta al servidor DNS con esa dirección– si declaramos en el archivo /etc/resolv.conf a la IP del servidor sauron.mordor.fan:

buzz@sysadmin:~$ cat /etc/resolv.conf 
# Generated by NetworkManager
search desdelinux.fan
nameserver 192.168.10.5
nameserver 10.10.10.3

Después de editar con extremo cuidado, como corresponde a cualquier archivo de zona de un BIND, obtendremos los datos siguientes:

Registros RRs de la zona original _msdcs.mordor.fan

buzz@sysadmin:~$ cat temp/rrs._msdcs.mordor.fan 
; Relativos al SOA y NS
_msdcs.mordor.fan.  3600    IN  SOA sauron.mordor.fan. hostmaster.mordor.fan. 12 900 600 86400 3600
_msdcs.mordor.fan.  3600    IN  NS  sauron.mordor.fan.
;
; GLOBAL CATALOG
gc._msdcs.mordor.fan.   600 IN  A   10.10.10.3
;
; Alias -en la base de datos del LDAP modificado y privado de un Active Directory- de SAURON
03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 IN CNAME sauron.mordor.fan.
;
; LDAP modificado y privado de un Active Directory
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan.
_ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan.
_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan.
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan.
_ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan.
_ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV    0 100 389 sauron.mordor.fan.
;
; KERBEROS modificado y privado de un Active Directory
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.
_kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

Registros RRs de la zona original mordor.fan

buzz@sysadmin:~$ cat temp/rrs.mordor.fan 
; Relativos al SOA, NS, MX y al registro A que mapea
; el Nombre del Dominio a la IP de SAURON
; Cosas de un Active Directory
mordor.fan.     3600    IN  SOA sauron.mordor.fan. hostmaster.mordor.fan. 48 900 600 86400 3600
mordor.fan.     600 IN  A   10.10.10.3
mordor.fan.     3600    IN  NS  sauron.mordor.fan.
mordor.fan.     3600    IN  MX  10 blackelf.mordor.fan.
_msdcs.mordor.fan.  3600    IN  NS  sauron.mordor.fan.
;
; Registros A tambien importantes
DomainDnsZones.mordor.fan. 600  IN  A   10.10.10.3
ForestDnsZones.mordor.fan. 600  IN  A   10.10.10.3
; 
; GLOBAL CATALOG
_gc._tcp.mordor.fan.    600 IN  SRV 0 100 3268 sauron.mordor.fan.
_gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan.
;
; LDAP modificado y privado de un Active Directory
_ldap._tcp.mordor.fan.  600 IN  SRV 0 100 389 sauron.mordor.fan.
_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan.
_ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan.
_ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan.
_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan.
_ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan.
;
; KERBEROS modificado y privado de un Active Directory
_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.
_kerberos._tcp.mordor.fan. 600  IN  SRV 0 100 88 sauron.mordor.fan.
_kpasswd._tcp.mordor.fan. 600   IN  SRV 0 100 464 sauron.mordor.fan.
_kerberos._udp.mordor.fan. 600  IN  SRV 0 100 88 sauron.mordor.fan.
_kpasswd._udp.mordor.fan. 600   IN  SRV 0 100 464 sauron.mordor.fan.
;
; Registros A con IP fijas -> Servidores
blackelf.mordor.fan.    3600    IN  A   10.10.10.9
blackspider.mordor.fan. 3600    IN  A   10.10.10.10
darklord.mordor.fan.    3600    IN  A   10.10.10.6
mamba.mordor.fan.   3600    IN  A   10.10.10.4
palantir.mordor.fan.    3600    IN  A   10.10.10.11
sauron.mordor.fan.  3600    IN  A   10.10.10.3
shadowftp.mordor.fan.   3600    IN  A   10.10.10.8
troll.mordor.fan.   3600    IN  A   10.10.10.7
;
; Registros CNAME
ad-dc.mordor.fan.   3600    IN  CNAME   sauron.mordor.fan.
blog.mordor.fan.    3600    IN  CNAME   troll.mordor.fan.
fileserver.mordor.fan.  3600    IN  CNAME   mamba.mordor.fan.
ftpserver.mordor.fan.   3600    IN  CNAME   shadowftp.mordor.fan.
mail.mordor.fan.    3600    IN  CNAME   balckelf.mordor.fan.
openfire.mordor.fan.    3600    IN  CNAME   palantir.mordor.fan.
proxy.mordor.fan.   3600    IN  CNAME   darklord.mordor.fan.
www.mordor.fan.     3600    IN  CNAME   blackspider.mordor.fan.

Registros RRs de la zona original 10.10.10.in-addr.arpa

buzz@sysadmin:~$ cat temp/rrs.10.10.10.in-addr.arpa 
; Relativos al SOA y al NS
10.10.10.in-addr.arpa.  3600    IN  SOA sauron.mordor.fan. hostmaster.mordor.fan. 21 900 600 86400 3600
10.10.10.in-addr.arpa.  3600    IN  NS  sauron.mordor.fan.
;
; Registros PTR
10.10.10.10.in-addr.arpa. 3600  IN  PTR blackspider.mordor.fan.
11.10.10.10.in-addr.arpa. 3600  IN  PTR palantir.mordor.fan.
3.10.10.10.in-addr.arpa. 3600   IN  PTR sauron.mordor.fan.
4.10.10.10.in-addr.arpa. 3600   IN  PTR mamba.mordor.fan.
5.10.10.10.in-addr.arpa. 3600   IN  PTR dnslinux.mordor.fan.
6.10.10.10.in-addr.arpa. 3600   IN  PTR darklord.mordor.fan.
7.10.10.10.in-addr.arpa. 3600   IN  PTR troll.mordor.fan.
8.10.10.10.in-addr.arpa. 3600   IN  PTR shadowftp.mordor.fan.
9.10.10.10.in-addr.arpa. 3600   IN  PTR blackelf.mordor.fan.

Hasta este punto podemos pensar que tenemos los datos necesarios para continuar en nuestra aventura, no sin antes observar los TTLs y demás datos que de forma muy concisa nos brinda la salida y observación directa del DNS de un Active Directory® 2008 SR2 de 64 bits de Microsft®.

Imágenes del DNS Manager en SAURON

Equipo dnslinux.mordor.fan.

Si observamos bien, a la dirección IP 10.10.10.5 no se le asignó nombre alguno para que precisamente quedara ocupada por el nombre del nuevo DNS dnslinux.mordor.fan. Para instalar la pareja DNS y DHCP nos podemos guiar por los artículos DNS y DHCP en Debian 8 “Jessie” y DNS y DHCP en CentOS 7.

Sistema operativo base

Mi amigo El Fueguino, además de ser un verdadero especialista en Microsoft® Windows -posee un par de Certificados expedidos por esa compañía- ha leído y puesto en práctica algunos de los artículos sobre escritorios publicados en DesdeLinux., y me comentó que expresamente quería una solución basada en Debian. 😉

Para complacerlo, partiremos de una instalación nueva y limpia de un servidor basado en Debian 8 “Jessie”. No obstante, lo que escribiremos a continuación es válido para las distribuciones CentOS y openSUSE cuyos artículos mencionamos antes. El BIND y el DHCP son los mismos en cualquier distro. Las ligeras variaciones las introducen los mantenedores de los paquetes en cada distribución.

La instalación la haremos según lo indicado en DNS y DHCP en Debian 8 “Jessie”, poniendo cuidado en utilizar la IP 10.10.10.5 y la red 10.10.10.0/24., hasta antes de configurar el BIND.

Configuramos el BIND al estilo Debian

/etc/bind/named.conf

El archivo /etc/bind/named.conf lo dejamos tal cual se instala.

/etc/bind/named.conf.options

El archivo /etc/bind/named.conf.options debe quedar con el contenido siguiente:

root@dnslinux:~# cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root@dnslinux:~# nano /etc/bind/named.conf.options
options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        // forwarders {
        //      0.0.0.0;
        // };

        //=====================================================================$
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //=====================================================================$

    // No queremos DNSSEC
        dnssec-enable no;
        //dnssec-validation auto;

        auth-nxdomain no;    # conform to RFC1035

 // No necesitamos escuchar por direcciones IPv6
        // listen-on-v6 { any; };
    listen-on-v6 { none; };

 // Para comprobaciones desde el localhost y sysadmin
    // mediante 
    // dig mordor.fan axfr
    // dig 10.10.10.in-addr.arpa axfr
    // dig _msdcs.mordor.fan axfr
    // No tenemos DNS Esclavos... hasta ahora
 allow-transfer { localhost; 10.10.10.1; };
};

// Logging BIND
logging {

        channel queries {
        file "/var/log/named/queries.log" versions 3 size 1m;
        severity info;
        print-time yes;
        print-severity yes;
        print-category yes;
        };

        channel query-error {
        file "/var/log/named/query-error.log" versions 3 size 1m;
        severity info;
        print-time yes;
        print-severity yes;
        print-category yes;
        };

                                
category queries {
         queries;
         };

category query-errors {
         query-error;
         };

};
  • Introducimos la captura de los logs del BIND como un NUEVO aspecto en la serie de artículos sobre el tema. Creamos la carpeta y archivos necesarios para el Logging del BIND:
root@dnslinux:~# mkdir /var/log/named
root@dnslinux:~# touch /var/log/named/queries.log
root@dnslinux:~# touch /var/log/named/query-error.log
root@dnslinux:~# chown -R bind:bind /var/log/named

Comprobamos la sintaxis de los archivos configurados

root@dnslinux:~# named-checkconf 
root@dnslinux:~#

/etc/bind/named.conf.local

Creamos el archivo /etc/bind/zones.rfcFreeBSD con igual contenido que lo indicado en DNS y DHCP en Debian 8 “Jessie”.

root@dnslinux:~# nano /etc/bind/zones.rfcFreeBSD

El archivo /etc/bind/named.conf.local deberá quedar con el siguiente contenido:

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
include "/etc/bind/zones.rfc1918";
include "/etc/bind/zones.rfcFreeBSD";

zone "mordor.fan" {
        type master;
        file "/var/lib/bind/db.mordor.fan";
};

zone "10.10.10.in-addr.arpa" {
        type master;
        file "/var/lib/bind/db.10.10.10.in-addr.arpa";
};

zone "_msdcs.mordor.fan" {
        type master;
 check-names ignore;
        file "/etc/bind/db._msdcs.mordor.fan";
};

root@dnslinux:~# named-checkconf
root@dnslinux:~#

Archivo de la Zona mordor.fan

root@dnslinux:~# nano /var/lib/bind/db.mordor.fan
$TTL 3H
@   IN SOA  dnslinux.mordor.fan.    root.dnslinux.mordor.fan. (
                                        1   ; serial
                                        1D  ; refresh
                                        1H  ; retry
                                        1W  ; expire
                                        3H )    ; minimum or
                                                ; Negative caching time to live
;
; MUCHO CUIDADO CON LOS SIGUIENTES REGISTROS
@               IN   NS  dnslinux.mordor.fan.
@        IN  A   10.10.10.5
@               IN  MX  10 blackelf.mordor.fan.
@       IN  TXT "Wellcome to The Dark Lan of Mordor"
;
_msdcs.mordor.fan.       IN  NS  dnslinux.mordor.fan.
;
dnslinux.mordor.fan.     IN  A   10.10.10.5
; FIN DE MUCHO CUIDADO CON LOS SIGUIENTES REGISTROS
;
DomainDnsZones.mordor.fan.  IN  A   10.10.10.3
ForestDnsZones.mordor.fan.  IN  A   10.10.10.3
; 
; GLOBAL CATALOG
_gc._tcp.mordor.fan.    600 IN  SRV 0 0 3268 sauron.mordor.fan.
_gc._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 3268 sauron.mordor.fan.
;
; LDAP modificado y privado de un Active Directory
_ldap._tcp.mordor.fan.  600 IN  SRV 0 0 389 sauron.mordor.fan.
_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan.
_ldap._tcp.DomainDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan.
_ldap._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan.
_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan.
_ldap._tcp.ForestDnsZones.mordor.fan. 600 IN SRV 0 0 389 sauron.mordor.fan.
;
; KERBEROS modificado y privado de un Active Directory
_kerberos._tcp.Default-First-Site-Name._sites.mordor.fan. 600 IN SRV 0 0 88 sauron.mordor.fan.
_kerberos._tcp.mordor.fan. 600  IN  SRV 0 0 88 sauron.mordor.fan.
_kpasswd._tcp.mordor.fan. 600   IN  SRV 0 0 464 sauron.mordor.fan.
_kerberos._udp.mordor.fan. 600  IN  SRV 0 0 88 sauron.mordor.fan.
_kpasswd._udp.mordor.fan. 600   IN  SRV 0 0 464 sauron.mordor.fan.
;
; Registros A con IP fijas -> Servidores
blackelf.mordor.fan.    IN  A   10.10.10.9
blackspider.mordor.fan. IN  A   10.10.10.10
darklord.mordor.fan.    IN  A   10.10.10.6
mamba.mordor.fan.   IN  A   10.10.10.4
palantir.mordor.fan.    IN  A   10.10.10.11
sauron.mordor.fan.   IN  A   10.10.10.3
shadowftp.mordor.fan.   IN  A   10.10.10.8
troll.mordor.fan.   IN  A   10.10.10.7
;
; Registros CNAME
ad-dc.mordor.fan.   IN  CNAME   sauron.mordor.fan.
blog.mordor.fan.    IN  CNAME   troll.mordor.fan.
fileserver.mordor.fan.  IN  CNAME   mamba.mordor.fan.
ftpserver.mordor.fan.   IN  CNAME   shadowftp.mordor.fan.
mail.mordor.fan.    IN  CNAME   balckelf.mordor.fan.
openfire.mordor.fan.    IN  CNAME   palantir.mordor.fan.
proxy.mordor.fan.   IN  CNAME   darklord.mordor.fan.
www.mordor.fan.     IN  CNAME   blackspider.mordor.fan.

root@dnslinux:~# named-checkzone mordor.fan /var/lib/bind/db.mordor.fan 
zone mordor.fan/IN: loaded serial 1
OK

Los tiempos TTL 600 de todos los registros SRV los mantendremos por si instalamos un BIND Esclavo en tiempos por vanir. Esos registros representan servicios del Active Directory® que mayormente leen datos de su base de datos del LDAP. Como esa base de datos cambia con frecuencia, se deben mantener cortos los tiempos de sincronismo, en un esquema DNS Maestro – Esclavo. Según la filosofía Microsoft observada desde el Active Directory 2000 hasta el 2008, se mantiene el valor de 600 para éstos tipos de registros SRV.

Los TTLs de los servidores con IP fijas, quedan bajo el tiempo declarado en el SOA de 3 horas.

Archivo de la Zona 10.10.10.in-addr.arpa

root@dnslinux:~# nano /var/lib/bind/db.10.10.10.in-addr.arpa
$TTL 3H
@   IN SOA  dnslinux.mordor.fan.    root.dnslinux.mordor.fan. (
                                        1   ; serial
                                        1D  ; refresh
                                        1H  ; retry
                                        1W  ; expire
                                        3H )    ; minimum or
                                                ; Negative caching time to live
;
@       IN  NS  dnslinux.mordor.fan.
;
10  IN  PTR blackspider.mordor.fan.
11  IN  PTR palantir.mordor.fan.
3   IN      PTR     sauron.mordor.fan.
4   IN      PTR     mamba.mordor.fan.
5   IN      PTR     dnslinux.mordor.fan.
6   IN      PTR     darklord.mordor.fan.
7   IN      PTR     troll.mordor.fan.
8   IN      PTR     shadowftp.mordor.fan.
9   IN      PTR     blackelf.mordor.fan.

root@dnslinux:~# named-checkzone 10.10.10.in-addr.arpa /var/lib/bind/db.10.10.10.in-addr.arpa 
zone 10.10.10.in-addr.arpa/IN: loaded serial 1
OK

Archivo de la Zona _msdcs.mordor.fan

Tengamos en cuenta lo recomendado en el archivo /usr/share/doc/bind9/README.Debian.gz dobre la ubicación de los archivos de las Zonas Maestras no sometidas a actualizaciones dinámicas por el DHCP.

root@dnslinux:~# nano /etc/bind/db._msdcs.mordor.fan
$TTL 3H
@       IN SOA  dnslinux.mordor.fan.    root.dnslinux.mordor.fan. (
                                        1       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum or
                                                ; Negative caching time to live
;
@               IN      NS      dnslinux.mordor.fan.
;
;
; GLOBAL CATALOG
gc._msdcs.mordor.fan.   600     IN      A       10.10.10.3
;
; Alias -en la base de datos del LDAP modificado y privado de un Active Directory- de SAURON
03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan. 600 IN CNAME sauron.mordor.fan.
;
; LDAP modificado y privado de un Active Directory
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan.
_ldap._tcp.dc._msdcs.mordor.fan. 600 IN SRV     0 100 389 sauron.mordor.fan.
_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan. 600 IN SRV 0 100 389 sauron.mordor.fan.
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mordor.fan. 600 IN SRV 0 100 3268 sauron.mordor.fan.
_ldap._tcp.gc._msdcs.mordor.fan. 600 IN SRV     0 100 3268 sauron.mordor.fan.
_ldap._tcp.pdc._msdcs.mordor.fan. 600 IN SRV    0 100 389 sauron.mordor.fan.
;
; KERBEROS modificado y privado de un Active Directory
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.
_kerberos._tcp.dc._msdcs.mordor.fan. 600 IN SRV 0 100 88 sauron.mordor.fan.

Comprobamos la sintaxis y podemmos ignorar el error que devuelve, ya que en la configuración de ésta Zona en el archivo /etc/bind/named.conf.local incluimos la declaración check-names ignore;. La zona será correctamente cargada por el BIND.

root@dnslinux:~# named-checkzone _msdcs.mordor.fan /etc/bind/db._msdcs.mordor.fan 
/etc/bind/db._msdcs.mordor.fan:14: gc._msdcs.mordor.fan: bad owner name (check-names)
zone _msdcs.mordor.fan/IN: loaded serial 1
OK

root@dnslinux:~# systemctl restart bind9.service 
root@dnslinux:~# systemctl status bind9.service 
● bind9.service - BIND Domain Name Server
   Loaded: loaded (/lib/systemd/system/bind9.service; enabled)
  Drop-In: /run/systemd/generator/bind9.service.d
           └─50-insserv.conf-$named.conf
   Active: active (running) since dom 2017-02-12 08:48:38 EST; 2s ago
     Docs: man:named(8)
  Process: 859 ExecStop=/usr/sbin/rndc stop (code=exited, status=0/SUCCESS)
 Main PID: 864 (named)
   CGroup: /system.slice/bind9.service
           └─864 /usr/sbin/named -f -u bind

feb 12 08:48:38 dnslinux named[864]: zone 3.e.f.ip6.arpa/IN: loaded serial 1
feb 12 08:48:38 dnslinux named[864]: zone b.e.f.ip6.arpa/IN: loaded serial 1
feb 12 08:48:38 dnslinux named[864]: zone 0.e.f.ip6.arpa/IN: loaded serial 1
feb 12 08:48:38 dnslinux named[864]: zone 7.e.f.ip6.arpa/IN: loaded serial 1
feb 12 08:48:38 dnslinux named[864]: zone mordor.fan/IN: loaded serial 1
feb 12 08:48:38 dnslinux named[864]: zone example.org/IN: loaded serial 1
feb 12 08:48:38 dnslinux named[864]: zone _msdcs.mordor.fan/IN: loaded serial 1
feb 12 08:48:38 dnslinux named[864]: zone invalid/IN: loaded serial 1
feb 12 08:48:38 dnslinux named[864]: all zones loaded
feb 12 08:48:38 dnslinux named[864]: running

Consultamos el BIND

Antes de instalar el DHCP, debemos efectuar toda una serie de comprobaciones que incluye hasta la unión de un cliente Windows 7 al dominio mordor.fan representado por el Active Directory instalado en el equipo sauron.mordor.fan.

Lo primero que debemos hacer es detener el servicio DNS en el equipo sauron.mordor.fan, y declarar en su interfaz de red que en lo adelante su servidor DNS será el 10.10.10.5 dnslinux.mordor.fan.

En una consola del propio servidor sauron.mordor.fan ejecutamos:

Microsoft Windows [Version 6.1.7600]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

C:\Users\Administrator>nslookup
Default Server:  dnslinux.mordor.fan
Address:  10.10.10.5

> gc._msdcs
Server:  dnslinux.mordor.fan
Address:  10.10.10.5

Name:    gc._msdcs.mordor.fan
Address:  10.10.10.3

> mordor.fan
Server:  dnslinux.mordor.fan
Address:  10.10.10.5

Name:    mordor.fan
Address:  10.10.10.3

> 03296249-82a1-49aa-a4f0-28900f5d256b._msdcs
Server:  dnslinux.mordor.fan
Address:  10.10.10.5

Name:    sauron.mordor.fan
Address:  10.10.10.3
Aliases:  03296249-82a1-49aa-a4f0-28900f5d256b._msdcs.mordor.fan

> set type=SRV
> _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
Server:  dnslinux.mordor.fan
Address:  10.10.10.5

_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mordor.fan      SRV serv
ice location:
          priority       = 0
          weight         = 100
          port           = 88
          svr hostname   = sauron.mordor.fan
_msdcs.mordor.fan       nameserver = dnslinux.mordor.fan
sauron.mordor.fan       internet address = 10.10.10.3
dnslinux.mordor.fan     internet address = 10.10.10.5
> _ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs
Server:  dnslinux.mordor.fan
Address:  10.10.10.5

_ldap._tcp.18d3360d-8fdb-40cf-a678-d7c420b6d775.domains._msdcs.mordor.fan
SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = sauron.mordor.fan
_msdcs.mordor.fan       nameserver = dnslinux.mordor.fan
sauron.mordor.fan       internet address = 10.10.10.3
dnslinux.mordor.fan     internet address = 10.10.10.5
> exit

C:\Users\Administrator>

Las consultas DNS realizadas desde sauron.mordor.fan son satisfactorias.

El próximo paso será la creación de otra máquina virtual con Windows 7 instalado. Como aun no tenemos instalado el servicio DHCP, le daremos al equipo con nombre “win7” la dirección IP 10.10.10.251. También le declaramos que su servidor DNS será el 10.10.10.5 dnslinux.mordor.fan, y que el dominio de búsqueda será mordor.fan. No registraremos ese equipo en el DNS porque lo usaremos también para probar el servicio DHCP después que lo instalemos.

A continuación abrimos una consola CMD y en ella ejecutamos:

Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

C:\Users\buzz>nslookup
Default Server:  dnslinux.mordor.fan
Address:  10.10.10.5

> mordor.fan
Server:  dnslinux.mordor.fan
Address:  10.10.10.5

Name:    mordor.fan
Address:  10.10.10.3

> set type=SRV
> _ldap._tcp.DomainDnsZones
Server:  dnslinux.mordor.fan
Address:  10.10.10.5

_ldap._tcp.DomainDnsZones.mordor.fan    SRV service location:
          priority       = 0
          weight         = 0
          port           = 389
          svr hostname   = sauron.mordor.fan
mordor.fan      nameserver = dnslinux.mordor.fan
sauron.mordor.fan       internet address = 10.10.10.3
dnslinux.mordor.fan     internet address = 10.10.10.5
> _kpasswd._udp
Server:  dnslinux.mordor.fan
Address:  10.10.10.5

_kpasswd._udp.mordor.fan        SRV service location:
          priority       = 0
          weight         = 0
          port           = 464
          svr hostname   = sauron.mordor.fan
mordor.fan      nameserver = dnslinux.mordor.fan
sauron.mordor.fan       internet address = 10.10.10.3
dnslinux.mordor.fan     internet address = 10.10.10.5
> _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
Server:  dnslinux.mordor.fan
Address:  10.10.10.5

_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.mordor.fan     SRV serv
ice location:
          priority       = 0
          weight         = 0
          port           = 389
          svr hostname   = sauron.mordor.fan
mordor.fan      nameserver = dnslinux.mordor.fan
sauron.mordor.fan       internet address = 10.10.10.3
dnslinux.mordor.fan     internet address = 10.10.10.5
> exit

C:\Users\buzz>

Las consultas DNS efectuadas desde el cliente “win7” también fueron satisfactorias.

En el Active Directory creamos el usuario “saruman“, con el objetivo de utilizarlo al unir el cliente win7 al dominio mordor.fan., mediante el método “Network ID“, usando los nombres de usuarios saruman@mordor.fan y administrator@mordor.fan. La unión se efectuó correctamente y lo prueba la siguiente captura de pantalla:

Sobre las Actualizaciones Dinámicas en el Microsoft® DNS y en el BIND

Como tenemos el servicio DNS detenido en el Active Directory® no le fue posible al cliente “win7” registrar su nombre y dirección IP en ese DNS. Mucho menos en dnslinux.mordor.fan ya que no hicimos ninguna declaración allow-update para cualquiera de las zonas involucradas.

Y aquí fue donde se formó la buena trifulca con mi amigo El Fueguino. En mi primer correo sobre éste aspecto le comenté:

  • En los artículos de Microsoft sobre el uso del BIND y el Active Directory® recomiendan que, sobre todo a la Zona Directa, se permita ser actualizada –penetrada– directamente por los clientes Windows que ya están unidos al dominio del Active Directory.
  • Por eso es que, por defecto, en las zonas del DNS de un Active Directory® se permiten las Actualizaciones Dinámicas Seguras por parte de los clientes Windows que ya estén unidos al dominio del Active Directory. Sino están unidos, que se abstengan a las consecuencias.
  • El DNS de un Active Directory admite las actualizaciones dinámicas “Secure only”, “Nonsecure and secure”, o “None” que es lo mismo que decir SIN Actualizaciones o Ninguna.
  • Si de verdad la Filosofía Microsoft no estuviera de acuerdo con que sus clientes NO actualizaran sus datos en su(s) DNS(s), no dejaría abierta la posibilidad de inhabilitar las actualizaciones dinámicas en su(s) DNS(s), a menos que esa opción se dejara para propósitos mas ocultos.
  • Microsoft ofrece “Seguridad” a cambio de Obscuridad, como me afirmó un colega y amigo que pasó cursos de Certificados Microsft®. Cierto. Además, me lo confirmó El Fueguino.
  • Un cliente que adquiera una dirección IP por medio de un DHCP instalado en una máquina con UNIX®/Linux por ejemplo, no podrá resolver la dirección IP de su propio nombre hasta que no esté unido al dominio del Active Directory, siempre que se utilice como DNS el de Microsoft® o un BIND sin actualizaciones dinámicas por parte de un DHCP.
  • Si instalo el DHCP en el propio Active Directory®, entonces debo declarar que las Zonas sean actualizadas por el DHCP de Microsoft®.
  • Si vamos a utilizar el BIND como el DNS para la red Windows, lo lógico y recomendado sea que instalemos la dupla BIND-DHCP, con éste último actualizando de forma dinámica al BIND  y asunto concluido.
  • En el mundo de las redes LAN en UNIX®/Linux, desde que se inventaron las actualizaciones dinámicas sobre el BIND, solo se le permite al Señor DHCP “penetrar” a la Señora BIND con sus actualizaciones. El relajo que sea con orden, por favor.
  • Cuando declaro en la zona mordor.fan por ejemplo: allow-update { 10.10.10.0/24; };, el propio BIND me informa al iniciarlo o reiniciarlo que:
    • zone 'mordor.fan' allows updates by IP address, which is insecure
  • En el sacrosanto mundo UNIX®/Linux ese desparpajo con el DNS es sencillamente inadmisible.

Se podrán imaginar el resto del intercambio con mi amigo El Fueguino mediante e-mails, Telegram Chat, llamadas telefónicas pagadas por él (por supuesto hombre, que no tengo un kilo para eso), y hasta ¡mensajes por medio de palomas mensajeras en pleno siglo XXI!.

Hasta me amenazó con no mandarme un hijo de su mascota, su Iguana “Petra” que me había prometido como parte del pago. Ahí si que me asusté de verdad. Entonces empecé de nuevo, pero desde otro ángulo.

  • El “casi” Active Directory que se puede lograr con Samba 4, resuelve ese aspecto de forma magistral, tanto cuando utilizamos su DNS Interno, o el BIND compilado para que soporte zonas DLZ – Dinamyc Loaded Zones, o Zonas Cargadas Dinámicamente.
  • Sigue padeciendo de lo mismo: cuando un cliente adquiere una dirección IP por medio de un DHCP instalado en otra máquina con UNIX®/Linux, no podrá resolver la dirección IP de su propio nombre hasta que no esté unido al dominio del AD-DC de Samba 4.
  • Integrar la dupla BIND-DLZ y DHCP en la misma máquina donde esté instalado el AD-DC Samba 4 es tarea para un especialista de verdad.

El Fueguino me llamó a capítulo y me gritó: ¡NO estamos hablando del AD-DC Samba 4, sino del Microsoft® Active Directory®!. Y humildemente le respondí que me embullé con parte de los siguientes artículos que yo iba a escribir.

Entonces fue cuando le dije que, la decisión final sobre las actualizaciones dinámicas de los equipos clientes en su red quedaba a su libre albedrío. Que solamente le daría el tip escrito antes sobre allow-update { 10.10.10.0/24; };, y más nada. Que yo no me hacía responsable de lo que resultara de esa promiscuidad de que cada cliente Windows -o Linux- en su red “penetrara” impunemente al BIND.

Si Usted supiera amigo Lector que ese fue el Punto Final a la trifulca no me lo creería. Mi amigo El Fueguino aceptó la solución -y me enviará a la iguana “Petrica“- que ahora comparto con Usted.

Instalamos y configuramos el DHCP

Para mas detalles lea DNS y DHCP en Debian 8 “Jessie”.

root@dnslinux:~# aptitude install isc-dhcp-server

root@dnslinux:~# nano /etc/default/isc-dhcp-server
....
# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
#       Separate multiple interfaces with spaces, e.g. "eth0 eth1".
INTERFACES="eth0"

root@dnslinux:~# dnssec-keygen -a HMAC-MD5 -b 128 -r /dev/urandom -n USER dhcp-key
Kdhcp-key.+157+29836

root@dnslinux:~# cat Kdhcp-key.+157+29836.private
Private-key-format: v1.3
Algorithm: 157 (HMAC_MD5)
Key: 3HT/bg/6YwezUShKYofj5g==
Bits: AAA=
Created: 20170212205030
Publish: 20170212205030
Activate: 20170212205030

root@dnslinux:~# nano dhcp.key
key dhcp-key {
        algorithm hmac-md5;
        secret "3HT/bg/6YwezUShKYofj5g==";
};

root@dnslinux:~# install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key
root@dnslinux:~# install -o root -g root -m 0640 dhcp.key /etc/dhcp/dhcp.key

root@dnslinux:~# nano /etc/bind/named.conf.local
//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
include "/etc/bind/zones.rfc1918";
include "/etc/bind/zones.rfcFreeBSD";
// No olvidar... me olvidé y pagué con errores. ;-)
include "/etc/bind/dhcp.key";


zone "mordor.fan" {
        type master;
        allow-update { 10.10.10.3; key dhcp-key; };
        file "/var/lib/bind/db.mordor.fan";
};

zone "10.10.10.in-addr.arpa" {
        type master;
        allow-update { 10.10.10.3; key dhcp-key; };
        file "/var/lib/bind/db.10.10.10.in-addr.arpa";
};

zone "_msdcs.mordor.fan" {
        type master;
        check-names ignore;
        file "/etc/bind/db._msdcs.mordor.fan";
};

root@dnslinux:~# named-checkconf 
root@dnslinux:~#

root@dnslinux:~#  nano /etc/dhcp/dhcpd.conf
ddns-update-style interim;
ddns-updates on;
ddns-domainname "mordor.fan.";
ddns-rev-domainname "in-addr.arpa.";
ignore client-updates;

authoritative;

option ip-forwarding off;
option domain-name "mordor.fan";

include "/etc/dhcp/dhcp.key";

zone mordor.fan. {
        primary 127.0.0.1;
        key dhcp-key;
}
zone 10.10.10.in-addr.arpa. {
        primary 127.0.0.1;
        key dhcp-key;
}

shared-network redlocal {
        subnet 10.10.10.0 netmask 255.255.255.0 {
                option routers 10.10.10.1;
                option subnet-mask 255.255.255.0;
                option broadcast-address 10.10.10.255;
                option domain-name-servers 10.10.10.5;
                option netbios-name-servers 10.10.10.5;
                range 10.10.10.30 10.10.10.250;
        }
}
# FIN dhcpd.conf

root@dnslinux:~# dhcpd -t
Internet Systems Consortium DHCP Server 4.3.1
Copyright 2004-2014 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Config file: /etc/dhcp/dhcpd.conf
Database file: /var/lib/dhcp/dhcpd.leases
PID file: /var/run/dhcpd.pid

root@dnslinux:~# systemctl restart bind9.service 
root@dnslinux:~# systemctl status bind9.service 

root@dnslinux:~# systemctl start isc-dhcp-server.service
root@dnslinux:~# systemctl status isc-dhcp-server.service

Lo relacionado con las Comprobaciones con clientes, y la Modificación manual de los archivos de Zonas, lo dejamos para que Usted, amigo lector, lo lea directamente de DNS y DHCP en Debian 8 “Jessie”, y lo aplique a sus condiciones reales. Nosotros si efectuamos todas las comprobaciones necesarias y obtuvimos resultados satisfactorios. Por supuesto que enviamos copia de todas ellas a El Fueguino. ¡No faltara más!.

Consejos

Generales

  • Adquiera una buena cantidad de paciencia antes de empezar.
  • Primero instale y configure el BIND. Compruebe todo y consulte todos los registros que declaró en cada archivo de las tres -o más- zonas, tanto desde el Active Directory como desde el propio servidor DNS en Linux. Si es posible, desde una máquina Linux que no esté unida al dominio, haga las necesarias consultas DNS al BIND.
  • Una al dominio existente un cliente Windows con una dirección IP fija, y vuelva a comprobar toda la configuración del BIND desde el cliente Windows.
  • Después que Usted esté indudablemente seguro de que la configuración de su nuevo y flamante BIND es totalmente correcta, aventúrese a instalar, configurar, e iniciar el servicio DHCP.
  • Ante errores, repita todo el procedimiento desde cero 0.
  • ¡Cuidado con el copy & paste! y los espacios sobrantes en cada línea de los archivos named.conf.xxxx
  • Después no se queje -mucho menos con mi amigo el Fueguino- de que no lo aconsejaron debidamente.

Otros consejos

  • Divide y vencerás.
  • En una Red PYME es mas seguro y beneficioso instalar un BIND Autoritario para las Zonas de la LAN interna que no haga recursividad a ningún servidor raíz: recursion no;.
  • En una Red PYME ubicada bajo un Proveedor de Acceso a Internet – ISP, acaso los servicios Proxy y SMTP necesitan resolver nombres de dominio en la Internet. El Squid tiene la opción de declarar sus DNS sean externos o no, mientras que en un servidor de correo basado en Postfix o MDaemon® también podemos declarar los servidores DNS que utilizaremos en ese servicio. En casos como éste, o sea, casos que no brinden servicios a la Internet y que estén debajo de un Internet Service Provider, se puede instalar un BIND con Forwarders apuntando a los DNS del ISP,  y declararlo como DNS secundario en los servidores que necesiten resolver consultas externas a la LAN, sino es posible declararlos mediante sus propios archivos de configuración.
  • Si Usted tiene una Zona Delegada bajo su entera responsabilidad, entonces canta otro gallo:
    • Instale un servidor DNS basado en NSD, el cual es un servidor DNS Autoritario por definición, que responda a las consultas provenientes de equipos en la Internet. Para alguna información aptitude show nsd. 😉  Favor de protegerlo muy bien mediante tantos muros cortafuegos como sean necesarios. Tanto por hardware como por software. Será un DNS cara a Internet, y esa “cara” no la debemos dar con los pantalones bajos. 😉
    • Como nunca me he visto en un caso como el éste, o sea, responsable total de una Zona Delegada, tendría que pensar muy bien que recomendar para la resolución de nombres de dominio externos a nuestra LAN para los servicios que lo necesiten. Los Clientes de la Red PYME no lo necesitan realmente. Consulte literatura especializada, o a un especialista en éstos temas, pues estoy muy lejos de ser uno de ellos. En serio.
    • En los servidores Autoritarios no existe la Recursividad. ¿Ok?. Por si a alguien se le ocurre hacerlo con un BIND.
  • A pesar que especificamos explícitamente en el archivo /etc/dhcp/dhcpd.conf la declaración ignore client-updates;, si ejecutamos en una consola del equipo dnslinux.mordor.fan la orden journalctl -f, veremos que al iniciar el cliente win7.mordor.fan obtenemos los siguientes mensajes de error:
    • feb 12 16:55:41 dnslinux named[900]: client 10.10.10.30#58762: update 'mordor.fan/IN' denied
      feb 12 16:55:42 dnslinux named[900]: client 10.10.10.30#49763: update 'mordor.fan/IN' denied
      feb 12 16:56:23 dnslinux named[900]: client 10.10.10.30#63161: update 'mordor.fan/IN' denied
      
    • Para eliminar esos mensajes, debemos ir a las opciones avanzadas de la configuración de la tarjeta de red y desmarcar la opción “Register this connection’s addresses in DNS“. Eso evitará para siempre que el cliente intente auto registrase en el DNS Linux y fin del problema. Lo siento, pero no tengo una copia de Windows 7 en español. 😉
  • Para enterarse de todas las consultas serias -y locas- que hace un cliente Windows 7, consulte el log queries.log que para algo lo declaramos en la configuración del BIND. La orden sería:
    • root@dnslinux:~# tail -f /var/log/named/queries.log
  • Si Usted no permite que sus equipos clientes se conecten directamente a Internet, entonces ¿para que le hacen falta los Servidores DNS Raíces?. Ésto disminuirá considerablemente la salida del comando journalctl -f y del anterior, si su servidor DNS Autoritario para las Zonas Internas no se conecta directamente con Internet, lo cual es muy recomendado desde el punto de vista de la seguridad.
    root@dnslinux:~# cp /etc/bind/db.root /etc/bind/db.root.original
    root@dnslinux:~# cp /dev/null /etc/bind/db.root
  • Sino necesita la declaración de los servidores raíces, entonces ¿para que le hace falta la Recursividad – Recursion?
    root@dnslinux:~# nano /etc/bind/named.conf.options
    options {
     ....
     recursion no;
     ....
    };

Consejo específico del cual aun no estoy muy claro

El man dhcpd.conf nos dice lo siguiente entre muchas -muchísimas- cosa mas:

        The update-optimization statement

            update-optimization flag;

            If the update-optimization parameter is false for a given  client,
            the server will attempt a DNS update for that client each time the
            client renews its lease, rather than  only  attempting  an  update
            when  it appears to be necessary.  This will allow the DNS to heal
            from database inconsistencies more easily, but the  cost  is  that
            the DHCP server must do many more DNS updates.  We recommend leav‐
            ing this option enabled, which is the default.  This  option  only
            affects  the behavior of the interim DNS update scheme, and has no
            effect on the ad-hoc DNS update scheme.  If this parameter is  not
            specified,  or  is true, the DHCP server will only update when the
            client information changes, the client gets a different lease,  or
            the client's lease expires.

La traducción o interpretación mas o menos exacta se la dejamos a Usted, caro lector.

Personalmente me ha sucedido -y sucedió durante la confección de éste artículo- que cuando enlazo un BIND a un Active Directory® sea de Microsft® o de Samba 4, si le cambio el nombre a un equipo cliente registrado en el dominio del Active Directory® o del AD-DC de Samba 4, mantiene su nombre antiguo y dirección IP en la Zona Directa, y no así en la inversa que se actualiza correctamente con el nombre nuevo. O sea, se mapean el nombre antiguo y el nuevo a la misma dirección IP en la Zona Directa, mientras que en la inversa solo aparece el nombre nuevo. Para entenderme bien lo deben probar Ustedes mismos.

Pienso sea una especie de venganza hacia El Fueguino -que no hacia mi, por favor- por tratar de migrar sus servicios a Linux.

Por supuesto que el nombre antiguo desaparecerá cuando expire su TTL 3600, o el tiempo que hayamos declarado en la configuración del DHCP. Pero queremos que desaparezca de inmediato como sucede en un BIND + DHCP sin un Active Directory por medio.

La solución a esa situación la encontré insertando la declaración update-optimization false; al final de la parte superior del archivo /etc/dhcp/dhcpd.conf:

ddns-update-style interim;
ddns-updates on;
ddns-domainname "mordor.fan.";
ddns-rev-domainname "in-addr.arpa.";
ignore client-updates;
update-optimization false;

Si algún Lector conoce mas al respecto, por favor de Iluminarme. Se lo agradeceré y mucho.

Resumen

Nos hemos divertido un montón con el tema, no?. Nada de sufrimientos pues tenemos un BIND funcionando como servidor DNS en una red Microsoft®, ofreciendo todos los registros SRV y respondiendo adecuadamente a las consultas DNS que se les haga. Por otra parte tenemos a un servidor DHCP otorgando direcciones IP y actualizando correctamente de forma dinámica a las Zonas del BIND.

Mas no podemos pedir… por el momento.

Espero que mi amigo El Fueguino esté contento y satisfecho del primer paso en su migración a Linux para hacer soportable los insoportables costos del Soporte Técnico de Microsft®.

Nota importante

El personaje “El Fueguino” es completamente ficticio y producto de mi imaginación. Cualquier parecido o coincidencia con personas reales es eso mismo: Pura Coincidencia Involuntaria de mi parte. Solo lo creé para hacer un poco amena la redacción y lectura de éste artículo. Ahora si que me pueden decir que el tema DNS es obscuro. 😉

El artículo BIND y Active Directory® – Redes PYME aparece primero en BIND y Active Directory® – Redes PYME.

13 Feb 08:29

Hackean Windows 10 Cloud para que funcione con todos los programas

by Jakub Motyka
Actualizar Windows 10
Windows 10 Cloud va a ser la alternativa a Windows 10 para dispositivos humildes, pero sus limitaciones no suponen ninguna barrera para los programadores.
10 Feb 08:47

Un fallo en los Intel Atom C2000 está causando estragos en productos de Cisco o Synology

by Javier Pastor

Atom

Algo estaba ocurriendo en los routers de Cisco. Tras funcionar bien durante una temporada, de repente algunos de los modelos morían sin aparente explicación. Lo missmo les ocurría a otras compañías que fabrican productos de conectividad empresarial, pero no solo ellos estaban afectados por el problema: Synology, conocida por sus NAS para entornos domésticos, también sufría el problema.

La causa de todos los males parecen ser los chips de la familia Intel Atom C2000. Aunque Intel no ha querido admitir que haya relación entre estos chips y los casos que se han visto en productos de esas empresas, sí que ha reconocido que los chips tienen un problema serio: son, literalmente, bombas de tiempo que al cabo de cierto tiempo dejaban los equipos en los ques estaban instalados inservibles.

Todo va bien hasta que de repente va mal

Intel ya apuntó en la pasada publicación de resultados financieros que habían tenido un problema con uno de sus productos, algo que les había obligado a crear un fondo para solventar las implicaciones del mismo, pero sin dar demasiados detalles. Como apuntan en The Register, ese anuncio coincidió con el de Cisco, que publicaba una advertencia de seguridad para que varios de sus routers, switches y dispositivos de redes ópticas contenían un componente con un "reloj con fallos que es probable que falle con tasas notables tras 18 meses de operación".

Errata

Esa descripción del problema coincidía curiosamente con el problema del que Intel sí dio datos en la documentación de sus Intel Atom C2000.

En ella se añadía una nota en la que se indicaba que "el sistema podría experimentar la incapacidad para arrancar o podría dejar de estar operativo", y se añadía que el reloj del bus LPC (Low Pin Count) podría dejar de funcionar de manera permanentemente, algo que explicaban en detalle en AnandTech. Cisco por su parte coincidía en la explicación de un problema que de presentarse haría que "el sistema deje de funcionar, no arranque y no sea recuperable".

Ambas empresas, insistimos, no han querido admitir que lo uno tenga que ver con lo otro. En The Register han contactado con ambas para tratar de que confirmen o desmientan esa relación, pero no ha habido comentarios al respecto. Lo que sí ha revelado Intel es el conjunto de modelos afectados: son los Intel Atom C2308, C2338, C2350, C2358, C2508, C2518, C2530, C2538, C2550, C2558, C2718, C2730, C2738, C2750, y C2758.

Si tienes un NAS, cuidado

Estos procesadores están presentes en productos de Cisco, pero también en el de otros muchos fabricantes como Dell, HP, NEC, Netgear, Sypermicro o Asrock, con dispositivos que sobre todo están orientados a la conectividad, a microservidores y a dispositivos de almacenamiento.

Syno

Precisamente en este ámbito es donde nos encontramos con que otra de las empresas afectadas es Synology, conocida por sus NAS, varios de los cuales están basados en este procesador. Synology comentó en ese reportaje que están investigando el problema y que si algún usuario cree que podría estar afectado puede dirigirse al soporte a través de esta dirección web. La empresa indicó específicamente que se omitiese cualquier mención de Intel en sus declaraciones iniciales, para luego reconocer que había estado en conversaciones con Intel sobre el problema, aunque no habían detectado que el problema se debiese a los Atom C2000.

En los foros de Synology, no obstante, aparecen varios casos en los que usarios de modelos como los DS1815+ o los DS1515+ que efectivamente cuentan con estos chips. Un hilo de discusión en los foros de soporte de Synology demuestra la preocupación de los usuarios por un problema que podría comprometer sus datos de buenas a primeras. Otros fabricantes de NAS como Seagate o Advantronix también podrían estar afectados, y si dispones de uno de estos equipos convendría que consultases las especificaciones del modelo para contactar con el fabricante en caso de que esté gobernado por uno de esos chips.

Vía | The Register
En Xataka |

También te recomendamos

Brasswell serán los próximos Atom en 14 nanómetros

¿Tendremos electricidad para tanto gadget?

Hay Atom buenos, malos y regulares, e Intel quiere que lo sepas: ahora serán los Atom X3, X5 y X7

-
La noticia Un fallo en los Intel Atom C2000 está causando estragos en productos de Cisco o Synology fue publicada originalmente en Xataka por Javier Pastor .

10 Feb 08:25

Presentada la release final NethServer 7

by davidochobits

Después de un duro trabajo por parte de su equipo de desarrollo, ya tenemos aquí NethServer 7. Se trata de una release muy ambiciosa como veremos más adelante, en las que encontraremos importantes cambios...

La entrada Presentada la release final NethServer 7 aparece primero en ochobitshacenunbyte.

10 Feb 08:07

el Nokia 6 es una verdadera roca, como no podría ser de otra manera

by Alfonso de Frutos

nokia 6 abierto

Nokia ha vuelto. El fabricante finlandés vendió su alma a Microsoft durante unos años, pero finalmente se ha liberado de su contrato y vuelve a producir teléfonos, de la mano de HMD Global.

Hace poco os hablamos del Nokia 6, el primer smartphone de la nueva era de Nokia en el mercado de la telefonía, un dispositivo Android con toda la esencia del histórico fabricante. Pero, ¿es el Nokia 6 tan resistente como los antiguos modelos? Pues parece que sí.

Con el Nokia 6 podrás partir nueces sin problemas

Click here to view the embedded video.

Una de las características más propias de la marca siempre ha sido la durabilidad y robustez de los míticos teléfonos Nokia. Y el Nokia 6 no iba a ser una excepción. Ya viendo el vídeo que encabeza estas líneas, donde utilizan el teléfono para partir nueces, deja patente que el nuevo terminal con Android de Nokia es un trasto realmente robusto.

Y es que hay que recordar que el Nokia 6 cuenta con un chasis de aluminio serie 6000 que dota al terminal de una gran resistencia ante golpes y caídas. Ahora, el sitio web asiático ichai8 ha desmontado un Nokia 6 para ver qué hay en su interior. Y la sorpresa no podría haber sido más agradable.

 

Para empezar, además de contar con un cuerpo realmente resistente, hay varios puntos que hacen que el Nokia 6 sea un teléfono muy bien construido. Para empezar la batería no está pegada al chasis del dispositivo, sino que va encajado en una placa de aluminio. De esta manera es mucho más fácil cambiarla, algo que con otros teléfonos es realmente una odisea.

Además todas las piezas de aluminio están fijadas mediante tornillos por lo que la resistencia del Nokia 6 ante posibles impactos y caídas está garantizada. Lo dicho, un trabajo excelente de Nokia. Lástima que aún no se pueda comprar oficialmente en España, aunque no creo que tarden demasiado en salir de China…

El artículo el Nokia 6 es una verdadera roca, como no podría ser de otra manera ha sido originalmente publicado en Androidsis.

10 Feb 07:54

La verificación en dos pasos de WhatsApp ya está disponible para todos: así se activa

by Kote Puerto

Whatsapp Promo

Todo sea por una mayor seguridad, y nosotros lo agradecemos: WhatsApp nos ha permitido jugar con la verificación en dos pasos desde noviembre del año pasado, pero en una versión beta que hasta hoy no se ha convertido en una realidad para los más de mil millones de usuarios que tiene la aplicación de mensajería.

Cuando digo "para todos" quiero decir aquellos usuarios móviles que tienen a Android, iOS o Windows Phone como sistemas operativos, por lo que poca gente se escapa a la posibilidad. ¿Por qué “dos pasos”? Pues el primero es el propio inicio desde el teléfono - con SMS o llamada -, que ya nos sirve como forma de autenticar la cuenta, y el segundo, y nuevo, un código de seis dígitos que tenemos que crear nosotros.

WhatsApp busca reducir los riegos de suplantación de identidad, ofrecer la mejor seguridad en una aplicación que no tiene contraseñas

Ese código será demandado por la aplicación de WhatsApp de forma periódica, algo que no gusta a todo el mundo, ya que puede resultar incómodo, pero estoy seguro que para muchos será importante.

Esta nueva posibilidad la podremos activar de forma sencilla, a través de la siguiente ruta: Configuración > Cuenta > Verificación en dos pasos > Activar. Puede que ahora mismo no te aparezca, actualiza la aplicación o espera un poco, la iremos recibiendo durante el día.

1366 2000 3 1366 2000 4

Una vez introducido el código de seis dígitos se convertirá en la clave que necesitaremos para activar la cuenta en otros dispositivos. Hay que comentar que adicionalmente se puede asociar un correo electrónico que nos servirá para desactivar esta verificación, en caso que no la queramos, o hayamos perdido el código.

Hay que tener cuidado con una situación: si queremos registrar nuestro número pero no tenemos el código y no proporcionamos correo, no podremos activar nuestra cuenta de WhatsApp hasta que pasen siete días. Al pasar esa semana volveremos a tener la oportunidad de registrarnos en WhatsApp sin necesidad del código, pero no recibiremos los mensajes pendientes. Si pasan 30 días sin introducir el código de verificación, nuestra cuenta será reiniciada, como si de un nuevo usuario se tratara.

Captura De Pantalla 2017 02 10 A Las 8 37 33

No sé si de la forma más efectiva o cómoda, pero WhatsApp se preocupa por la vulnerabilidad de nuestras cuentas, hasta ahora simplemente asociadas al número de teléfono, pero 2016 fue un año en el que se dio algún paso más en temas de seguridad, como la incorporación del cifrado de extremo a extremo.

En Genbeta | Qué es la verificación en dos pasos de WhatsApp y por qué es tan importante Más información | WhatsApp

También te recomendamos

Consejos prácticos para que una pequeña empresa mejore su posicionamiento en buscadores

WhatsApp se transforma en Snapchat al estrenar stickers y dibujos en fotos y vídeos

Éstas son todas las novedades de WhatsApp: más opciones en la cámara, menciones en los grupos y más

-
La noticia La verificación en dos pasos de WhatsApp ya está disponible para todos: así se activa fue publicada originalmente en Xataka por Kote Puerto .

10 Feb 06:50

No malgastes tu dinero en un procesador Intel i7 en lugar de un Intel i5 más barato

by Alex Cranz

Llega la hora de reemplazar tu PC, ya sea porque se ha quedado muy viejo, porque te lo cargaste derramándole alguna bebida encima o simplemente porque te quema el dinero en el bolsillo y quieres reemplazar ese trasto con lo último de Intel, en este caso la nueva microarquitectura Kaby Lake.

Read more...

10 Feb 06:46

Como optimizar tu SSD en Windows 10 con estos 5 consejos

by Jair Gomez Arias

Ya conocemos los beneficios en cuenta a rapidez que nos proporciona una unidad de estado solido o SSD a nuestro equipo, la ejecución de aplicaciones es mucho mayor y por ende el rendimiento completo del computador, en estos 5 vídeos te quiero dar unos consejos o cosas a tener en cuenta a la hora de optimizar nuestro SSD y que su tiempo de vida sea mas largo y mantenerlo al 100%

Evitar que el SSD se apague por inactividad en Windows 10

Activar TRIM en modo automatico para optimizar SSD en Windows 10

Deshabilitar desfragmentación de disco para optimizar SSD en Windows 10

Desactivar el archivo de paginación para optimizar SSD en Windows 10

Desactivar la opción de Restaurar Sistema para optimizar SSD en Windows 10

 

Suscríbete, comparte y dale me gusta a los vídeos, así ayudarás a JGAITPro para que siga adelante llevando Conocimiento para TI totalmente gratis. Dale! no te cuesta nada, también puedes ayudarnos en http://JGAITPro.com/donar

08 Feb 16:00

Vodafone ahora cobra por solucionar incidencias vía telefónica: 2,5 euros por consultar tu PIN

by Eduardo Marín

El operador Vodafone ha comenzado a cobrar una tarifa por solucionar incidencias a través de un teleoperador. Si pierdes tu PIN o PUK y deseas consultarlo con un agente de la operadora, te cobrarán 2,5 euros.

Read more...

08 Feb 07:34

Novedades Gamestarter-Pi

Gamestarter-Pi

Hace casi un año bite-your-idols liberó el proyecto que voy a comentar de nuevo. Se trata de un addons con el que podrás jugar a emuladores retro desde Kodi.

Desde aquel script inicial algo engorroso, el proyecto se convirtió en un addon mas o menos bien estructurado y muy fácil de instalar/configurar por parte del usuario final, solo es necesario bajarse el zip como cualquier addon e instalarlo desde kodi (esta en el aire la opcion de incluirlo en una repo).

Como novedades destacadas podría comentar...

Cont...