Category Archives: seguridad

Firewall linux loadbalancer seguridad

Clúster de Balanceadores HAProxy con SSL Offloading y Keepalived

En este post vamos a configurar dos balanceadores HAProxy con SSL Offloading sobre CentOS 7.
Dichos balanceadores trabajarán en modo master-slave.

Además usaremos Keepalived como daemon responsable de la alta disponibilidad, que nos permitirá levantar las IP’s flotantes del clúster ( VRRP ) y responder con un failover en caso de necesidad.

Iptables será el responsable del firewalling y del nat de salida y de servicios no balanceados.

Topología de red:

read more »

Cisco Firewall PKI seguridad

Firewall Cisco ASA auto enable y SSH con PKI

Auto Enable, como su nombre indica, es una funcionalidad de los firewalls Cisco ASA que evita tener que poner el “enable password” si el usuario que accede tiene suficiente “privilege level”.

read more »

DDoS seguridad

Tipos de ataques DDoS que he recibido – I

Recuerdo aún cuando en el 2012 ví el primer ataque DDoS de amplificación UDP, aquel fue de DNS…

No fuimos objetivo del ataque sinó que se usó un dns nuestro como amplificador.

Aunque en realidad dicho server no era un “open resolver“, simplemente se nos usó como vector para amplificar peticiones mediante queries tipo “ANY”.

El descubrimiento fue por casualidad ya que era de poco volumen, pero afectó a la cpu de un clúster de balanceadores Cisco CSS:

 

El problema de CPU del CSS lo solucionamos con un parche y modificación del tipo de balanceo:

flow-state 53 udp flow-disable nat-enable
  • Ataques de Amplificación UDP. Breve introducción:

Los ataques de amplificación UDP se basan en inundar al host atacado con tanto tráfico que no pueda responder correctamente a su propio tráfico legítimo ( degradación de red ).
Esto es, saturar el ancho de banda que disponga. A veces además, si se consigue traspasar los equipos perimetrales de red, se puede llegar a degradar a otros dispositivos.

La mayoría de ataques de amplificación UDP son reflejados. Los actores de este tipo de ataques son de 3 tipos:
– El verdadero atacante ( que usará spoofing haciéndose pasar por la ip del atacado ) o que usará una botnet que a su vez usará spoofing.
– Los amplificadores del ataque ( hosts vulnerables o mal configurados que amplificarán las peticiones spoofeadas )
– La víctima ( al que han suplantado su IP y recibirá el tráfico )

  • Veamos un ejemplo de ataque de amplificación dns:

read more »

Cisco linux PKI seguridad switches

Cisco IOS – Gestión Automatizada con ssh y PKI

El el post anterior ya adelantamos la ventaja de usar ssh con PKI en dispostivos Cisco con IOS versión 15:

La gestión automatizada.

Veremos un ejemplo de acceso ssh sin contraseña a dispostivos Cisco para lanzarles comandos y configuraciones. Usando este método, configuraremos de golpe una community snmp, una access-list y obtendremos el Serial Number dos switches.

read more »

Cisco PKI seguridad switches

Cisco IOS – Configuración de acceso SSH con PKI

Una de las funcionalidades de Cisco IOS versión 15 es el acceso SSH con certificados. Esto es, el acceso ssh usando la infraestructura de clave pública o PKI.

En este post vamos a ver cómo se configura, pero antes hablaré brevemente de la gestión automatizada de la red. read more »

Cisco seguridad switches

Configurar ssh en dispositivos Cisco

En este post vamos a configurar SSH en un switch Cisco. El método también sirve para cualquier dispositivo basado en IOS, esto es routers etc.

Aunque en los switches Cisco, si tenemos activo el acceso https, algo que no recomiendo y que viene por defecto activado en las IOS gestionables por web, ya dispondremos de los certificados y requisitos para directamente habilitar ssh versión 2, prefiero definir paso por paso el procedimiento que considero más recomendable y seguro.

Además aplicaremos configuraciones que permitiran asegurar la configuración y el acceso al dispositivo.

read more »

OTP radius raspberry seguridad

Nueva release de MultiOTP

En el post anterior vimos la configuración del doble factor de Autenticación con Cisco VPN SSL con MultiOTP y Freeradius.

MultiOTP ha sacado una nueva versión con muy interesantes mejoras. Además han sido reconocidos y certificados por la autoridad de OpenAuthentication.
Enhorabuena!

¿Qué novedades hay en MultiOTP 4.1.x ? read more »

Cisco Firewall linux OTP radius seguridad windows

Doble Factor de Autenticación – Cisco VPN SSL con MultiOTP y Freeradius

En el post anterior vimos concepto de Doble Factor de Autenticación. En este post, vamos a realizar una prueba de concepto para usar doble factor de autenticación en un escenario de VPN.

  • 1 – Dispositivos hardware y software usados en este PoC:
Cliente Cisco VPN AnyConnect
Firewall Cisco ASA ( servidor VPN SSL )
Radius IAS o NPS integrado en Active Directory
Freeradius sobre Ubuntu Server + MultiOTP ( clase PHP )
Token compatible con OATH ( algoritmos TOTP - rfc6238 y HTOP - rfc4226 )
  • 2 – Topología:

2-factor-authentication-multiotp-freeradius-cisco-asa read more »

OTP seguridad

Doble Factor de Autenticación – Intro

  • El concepto:

Doble Factor de Autenticación es un método de seguridad que permite añadir una verificación adicional en el proceso de autenticación.

La autenticación más común y sencilla se basa únicamente en un usuario y contraseña estático.
Este es el método de autenticación habitual para acceder al correo, a diferentes páginas web …
Pregúntate que sucedería si te roban tu usuario y contraseña …

Cuando realizas operaciones bancarias, ¿usas una tarjeta de coordenadas?
Seguramente sí. Esto podemos considerarlo un factor doble de autenticación. read more »

Firewall Juniper seguridad syslog

Juniper Junos – Enviar syslog a otro puerto

Es posible cambiar el puerto de destino de los mensajes de syslog desde un dispositivo Juniper con junos.

Por defecto el puerto de syslog es el udp/514
En la configuración del servidor syslog que recibirá los mensajes del firewall, ya sea rsyslog, syslog-ng etc, puede estar configurado un “listener” dedicado en otra ip o puerto para poder distinguir dónde agrupar estos mensajes en un fichero diferente al resto.

Veamos el ejemplo: read more »