Archivo mensual: enero 2017

Firewall – Router de código abierto (ZeroShell, PfSense, etc.)

Preparando una red con VirtualBox, busque dispositivos Firewall, router y balanceador que pudiera virtualizar y ademas como era para pruebas y ejercicios que fuera de libre distribución y me encontré varios pero hablare de los que más me llamaron la atención y el porque.

Zeroshell

Basado en Linux con kernel 4.4, aunque se puede gestionar desde consola lo genial es que con una instalación muy sencilla con pocos recursos(1 CPU, 512 Mb de RAM y  un disco de 1 Gb por ir sobrados) el resto se configura de forma sencilla desde navegador, incluso más sencillo con un pequeño cambio (solo necesario en casos concretos pero no siempre necesario) desde el Shell el resto incluso la instalación en disco se realiza desde un navegador. Dispone de las siguientes características entre otras:

  • Balanceador de linea que nos permite disponer de varias conexiones a internet y utilizar la más adecuada.
  • Portal cautivo para que el usuario deba validarse antes de disponer de acceso a internet.
  • Servidor DHCP
  • QoS (Calidad de servicio) de forma que nos permite limitar trafico entre los usuarios, incluso en capa 7 lo que permite que lo controlemos por aplicación.
  • VPN, tanto Cliente “Host2LAN” como entre servidores “LAN2LAN”
  • Servidor proxy de HTTP que es capaz de bloquear las páginas web
  • Analisis de antivirus  ClamAV
  • Firewall, traductor NAT, redirección
  • Y muchas otras como Sylog, DNS dinamico

Su primera instalación muy sencilla, nos decargamos el ISO de http://www.zeroshell.org/download/ iniciamos la maquina y nos saldra la pantalla inicial, que nos permitirá la instalación (opción A) pero lo único que haremos reconfigurar la IP de acceso que por defecto es 192.168.0.75. Después desde el navegador crearemos el nuevo perfil,  indicando el disco, cambiaremos la clave que por defecto es “admnin/zeroshell “y la activaremos y después de reiniciarse comenzaremos a configurarlo y activar servicios pero esto lo dejamos para otro POST.

pfSense

Es una distribución basada en FreeBSD y se adaptado para dar la utilidad de Firewall, router y otras funcionalidades que ahora describimos, al igual que nuestro anterior ZeroShell su configuración es sencilla desde una interfaz web. Al igual que antes con una sola CPU, 512 MB de RAM.

Las principales caracteristicas son:

  • Firewall, es un firewall de estado, no solo los tipicos filtros de fuente y origen sino limitar el número de conexiones y mediante su tecnología de huella digital podría impedir la conexión de sistemas operativos.
  • Traducción de direcciones NAT.
  • Balanceo de carga de múltiples redes WAN (acceso a internet)
  • Balanceador de servidores.
  • VPNs
  • Informes, portal caututivo y DHCP, como el anterior y muchas más características.

La configuración incial, al igual que antes muy sencilla, definimos las redes y luego desde el interfaz web “System->Setup Wizard” y no empieza a preguntar.

 

Ahora solo nos queda probar y ver cual es el que más nos gusta, así en principio ZeroShell me parece mas pequeñito y es Linux (si trabajo con Linux no es malo que mi software de seguridad sea en otra tecnología no Windows claro esta :-)) luego de pfsense me ha gustado su sistema de actualización y el interfaz parece más amigable pero claro esto requiere algo más de recursos. Conclusión sobre gustos no hay nada escrito y os dejo los dos para que probéis e incluso descubráis otros que pueden serviros para vuestros sistemas virtuales o aprobechar PCs antiguos y montaros vuestros Firewall.

 

Hasta el próximo POST.

DNI Electronico en LINUX

Una vez más (pues no es la primera vez) publico como instalarnos el DNI-e en Linux, en MATE o Ubuntu) pero que se puede adaptar a cualquier otro. En este caso es que como perdí la información anterior y ahora vuelvo a necesitarlo  para poder usarlo porque no reconstruir la información.

Lo primero y aunque no es realmente de la instalación de las librerías y programas del DNI-e, deberemos instalar el java ya que muchas páginas usan applet, la experiencia me indica lo mejor es instalar Oracle-Java ya que algunos con las otras versiones me han dado problemas. El java “Openjdk” me va bien pero basta que tenga prisas en un tramite para que esa página no lo quiera por lo que si queréis estar siempre listos yo pasaría por el aro de Oracle e instalaría Oracle-Java.

Así que de forma muy rápida para instalar Oracle-Java o vamos a la página de Oracle y nos lo descargamos o realizamos estos sencillos pasos:

  1. Añadimos y actualizamos repositorio
    sudo add-apt-repository ppa:webupd8team/java
    sudo apt-get update
  2. Instalamos y lo ponemos con alternativa, por si tenemos otros
    sudo apt-get install oracle-java8-installer
    sudo update-java-alternatives -s java-8-oracle

    Yo instalo 8, aunque tenga disponible la 9, pero me marca un error con el plugin de mozilla, que voy a necesitar.

  3. Ponemos las variables como recomienda al instalarse.
    sudo apt-get install oracle-java8-set-default

Y ya tenemos nuestro Java, lo confirmamos con “java -version” y “https://www.java.com/es/download/installed.jsp“, así que ahora si empezamos con la instalación y configuración de todo lo necesario para nuestro DNI-e.

Lo primero que realizaremos es instalar la libreria “libccid” que implementa el controlador con protocolo CCID(si tu lector usa otro protocolo deberas buscarlo, pero este es el más utilizado) y que le permite comunicarse con el DNI-e o tarjeta inteligente.

sudo apt-get install libccid pcscd opensc

Después los programas:

  • pinentry-gtk2: Para la entrada del PIN del DNI.
  • pcsc-tools: Herramientas del lector.
  • libpcslite1 y pcslite-dev
  • coolkey: para las claves PKI.
sudo apt-get install pinentry-gtk2 pcsc-tools libpcsclite1 
      libpcsclite-dev libreadline6 libreadline-dev coolkey

Ya tenemos el lector así que ha probarlo, ejecutamos pcs_scan (aplicación que se encuentra en las herramientas instaladas con pcs-tools) y que en un principio dira que no tiene tarjeta, al introducir el DNI-e no solo la detectara sino que sabra que tarjeta hemos introducido.

Con el Lector configurado y listo procederemos a instalar los certificados y configuraciones en los navegadores y lectores de correos si lo deseamos que son necesarias.

Descargamos los certificados de:”https://www.dnielectronico.es/PortalDNIe/PRF1_Cons02.action?pag=REF_076” y nos descargamos de “AC Raíz” (pkcs1-sha256WithRSAEncryption) que es la autoridad certificadora de la policia y de “AV DNIE FNMT” el ( pkcs1-sha256WithRSAEncryption ) que es la autoridad de validación del DNI-e y que es la Fabrica de Moneda y Timbre. Desempaquetamos los ficheros descargados y sacamos los archivos “.crt”.

Configuramos el navegador, en mi caso Firefox pues el Chrome me ha dado problemas con los certificados.

En preferencias->Avanzado y Certificados vamos a ver certificados y en “Autoridades” damos a importar “AC RAIZ DNIE 2” y confiamos en todo. Y ya podremos ver que esta la “DIRECCION GENERAL DE LA POLICIA” en nuestras autoridades de certificación.

Instalamos el lector en dispositivos de seguridad, damos cargar y ponemos el enlace a la libreria en mi caso “/usr/lib/x86_64-linux-gnu/pkcs11/opensc-pkcs11.so”

Y ya lo tenemos listo para probarlo en algún banco nuestro, aunque estos me dan muchos problemas o van muy lentos debe ser que Linux no les gusta :-), sedes electronicas como Hacienda o DGTque funcionan muy bien, probar la firma (así podremos firmar nuestros correos, por ejemplo  con Thunderbird) en https://valide.redsara.es/valide

 

Hasta la próxima.