Conexión VPN cliente-servidor con Zentyal.

Hoy vamos a ver como instalar un servicio VPN cliente-servidor con Zentyal; como ya vimos anteriormente, Zentyal es una distribución basada en Ubuntu server 18.04 que nos permite implementar Servidores de Dominio & Directorio, ofrece Compatibilidad nativa con Microsoft Active Directory; y nos permite configurar servidores con Ubuntu Server cómodamente con un interfaz gráfico. Para poder implementar este servicio, Zentyal usa Openvpn, y el proceso de instalación es muy sencillo como vais a ver a continuación.

 

 

Voy a probarlo en Virtualbox y si queréis ver como instalarlo, os recomiendo este post donde vemos como hacerlo y la única diferencia será que necesitamos instalar Zentyal sobre una máquina virtual con dos interfaces, un interfaz WAN y otro red interna que hará de LAN, donde estará la red local a la que queremos acceder con la VPN.

 

Y sin mas preámbulos vamos al lío.

Configuración del servidor.

Una vez instalado Zentyal y conectado a internet, procedemos a descargar e instalar los módulos VPN y Certification Authority.

 

 

Una vez instalados sería conveniente darnos una vuelta por el menú “Estado de los módulos” a ver si efectivamente están en marcha, en ocasiones no se activan automáticamente después de la instalación. 

Con esta comprobación realizada, lo siguiente será crear una Entidad Certificadora (CA). 

 

 

Para crear una CA solamente rellenamos el formulario.

Con la CA creada expedimos un certificado para la VPN.

 

 

 

En el menú “VPN” >> “Servidores” preparamos un servidor VPN, simplemente rellenamos el nombre y hacemos clic la pestaña “Habilitado”. Después guardamos cambios en el botón naranja de la esquina superior derecha.

 

 

 

El servidor ya está listo, ahora podemos terminar la configuración en el icono dentado “Configuración”, os lo señalo en la imagen.

 

 

 

Aquí podemos elegir protocolo y puerto para el VPN server y tenemos que seleccionar  en el desplegable (1) el certificado que expedimos hace un momento. Si la dirección IP que viene predeterminada coincide con la que usáis en vuestra red, debéis cambiarla (2). Si queremos permitir que los clientes se vean entre si cuando estén usando la conexión, tenéis la opción disponible (3). Con todo listo elegimos el interfaz donde queremos que escuche el servidor y hacemos clic primero en “Cambiar” y luego en “Guardar Cambios” en la esquina superior derecha del interfaz. 

 

 

En el caso de que tuviéramos varias redes locales implementadas, en el menú servidores VPN >> "Servidores VPN" >> "Redes anunciadas" podríamos gestionar a cual de ellas querríamos dirigir el tráfico desde la VPN.

 

 

Una vez creado aprovechamos para descargar los archivos para los clientes, haciendo clic en el menú “Descargar paquete de configuración del cliente”. En VirtualBox se lo pasaré a la máquina cliente con una carpeta compartida; si fuera un uso real, podríamos enviarlo por correo electrónico por ejemplo. El paquete que se descarga tiene el certificado para el usuario y todos los datos necesarios para la conexión, incluido un instalador de cliente de OpenVPN. Es una versión un poco antigua (2.4.9), pero con Zentyal funciona mejor que las últimas.

 

 

Para terminar en Zentyal podemos echarle un vistazo al menú de filtrado de paquetes. Esta compuesto por cuatro menús desde donde podemos configurar el Firewall con un interfaz simple.

Para este caso podríamos crear una regla para que acepte el tráfico UDP desde el exterior, que es el protocolo que configuramos para nuestra VPN anteriormente. No sería necesario pero así vemos como se configura el Firewall en Zentyal.

Lo primero hacemos un servicio de red nuevo con la conexión VPN, en el menú "Red" >> "Servicios" y hacemos clic en "Añadir nuevo", una vez creado podemos configurarlo en "Configuración" os lo señalo en la imagen inferior.

 

En la configuración podemos establecer que protocolos y puertos va a usar este servicio.

Con el servicio terminado ya podemos ir al menú de configuración del Firewall y añadir una regla.

Configuración del cliente.

Ahora vamos a la máquina cliente donde hemos pasado el paquete zip descargado del servidor. En él tenemos varios archivos; primero ejecutamos el instalador del cliente OpenVPN.

El instalador es simple aunque durante el proceso de instalación salta un prompt donde se nos requiere instalar .NET Framework 4. Esta versión es para Windows 10, así que si no lo tenéis instalado podéis aprovechar para descargarlo desde Microsoft con este mismo instalador. Yo lo he probado en Windows 7 así que me he saltado este paso. La instalación terminará sin problemas.

 

Una vez terminada tenemos en el área de notificaciones un icono de OpenVPN desde donde podemos iniciar la conexión pero aun nos falta cargar el resto de archivos que hemos descargado desde Zentyal.

 

El menú de importación de este cliente puede dar problemas (ya os comenté que es una versión antigua) así que lo mas rápido es ir a la carpeta de configuración de OpenVPN y copiarlos directamente allí. En la imagen inferior podéis ver la ruta hacia la carpeta, aunque esta puede variar en función del tipo de instalación que uséis.

 

 

 

Ya podemos iniciar la conexión desde el área de notificaciones en el icono de OpenVPN. En seguida la cosa se pone en marcha.

 

 

 

Como veis realizar una conexión cliente servidor con Zentyal es cosa de unos clics. Con está conexión podemos acceder remotamente a contenidos compartidos que estén en la red local e incluso podríamos instalar Zentyal como almacenamiento online con su propia VPN incorporada.  


Y bueno os dejo meditando sobre los posibles usos de esta herramienta y me despido hasta el próximo post.

IPfire. Una alternativa a IPcop

IPfire es un router-firewall de Código Abierto basado en GNU/Linux, concretamente en Red Hat. Está enfocado en la seguridad y la usabilidad, en este aspecto es muy similar a Ipcop aunque está mas actualizado, (la última versión de Ipcop es de 2019), así que si buscas una opción similar que te dé mas garantías, IPfire es para ti. 

 

 

 

IPfire esta enfocado en el uso doméstico y SOHO (Small Office Home Office) pero su facilidad de uso y versalitidad lo hace apto para cualquier uso. Otra ventaja de Ipfire es que tiene soporte para algunos chipset ARM, podéis consultar una lista del hardware soportado en este enlace. 

IPfire es una plataforma de seguridad (enrutador y firewall), que se puede ampliar y reforzar fácilmente con complementos. A través de estos complementos, una instalación básica de IPFire se puede escalar rápidamente a un sistema mucho más complejo y personalizable con un sistema de paquetes fácil de usar llamado Pakfire que se utiliza para administrar actualizaciones y complementos. La lista de addons es larga y pueden consultarla en este enlace.

Para este post os haré solo una visita guiada para ver que opciones tiene y dejaré pendiente para futuros post, algunos usos en concreto que seguro que serán de vuestro interés.

Para instalar Ipfire usaré una máquina virtual con la configuración siguiente:

• Red Hat 64-bit
• Ram 640 Mb – 1 procesador virtual
• Almacenamiento 10 Gb
• Dos adaptadores de red: 1 red NAT, 1 red interna.

Muy importante fijarnos en las direcciones MAC de los adaptadores. Podemos verlas en el menú red de Virtualbox.

 

 

La instalación es muy sencilla con el interfaz Anaconda, se podría dividir en tres partes:

Primera configuración. Elegimos idioma para la instalación, sistema de archivos (EXT4) y elegimos disco. 

 

 

 

 

Instalación. Muy rápida. 

 

 

Segunda configuración. Elegimos mapa de teclado, contraseñas de root y usuario admin (para el interfaz web), y pasamos a configurar la red. 

 

 

 

Aquí podemos ver que Ipfire ha heredado la denominación de los interfaces de Ipcop, usando el esquema de colores Green/Red para distinguir la zona “insegura” (internet) y la “segura” (red local) [Red – WAN;Green – LAN] y aparte tenemos disponibles 2 interfaces mas: Orange and Blue. Dependiendo de los interfaces de red que tengamos en el dispositivo físico (o virtual) donde vayamos a instalar Ipfire podemos elegir diferentes configuraciones de red.

Para este caso usaremos GREEN + RED

 

 

Después pasamos al apartado “Asignación de controladores y tarjetas” donde asignaremos un interfaz a cada “color”. Aquí es donde necesitamos fijarnos en la MAC para distinguirlos.

 

 

 Ahora configuramos las direcciones Ip de los interfaces.

 

La dirección Ip del interfaz GREEN será donde nos conectaremos para terminar la configuración.


Ahora para terminar solo faltaría ajustar el servidor DHCP, pero lo vamos a omitir pues vamos a usar una configuración de red estática. Así que ya podemos reiniciar la máquina y conectarnos desde el navegador para terminar la configuración.

En este caso tendremos que usar la dirección 200.10.10.1 por el puerto 444 (que es el que usa Ipfire) entonces sería  https://200.10.10.1:444 en la barra de direcciones del navegador. 

Nos saldrá un aviso en el navegador, aceptamos el riesgo y seguimos.

Tras loguearnos vemos la página principal donde se nos muestra la información sobre los interfaces en uso.

 





 Ahora vamos a hacer una visita a algunas de las características mas interesantes para mi, de este software, para ver el resto podéis probarlo en una máquina virtual vosotr@s mism@s! 

OpenVPN.

 

Tenemos disponible un apartado para la gestión de redes VPN con OpenVPN con todas las opciones necesarias. Podemos encontrarlo en el menú "Servicios" >> "OpenVPN"

 

 

Ipsec.

 

Si tenemos la posiblidad de montar VPN, Ipsec por supuesto no podía faltar. Podemos encontrarlo en el menú "Servicios" >> "Ipsecc".

 

 

Web Proxy.

El menú para instalar Proxis Web es muy extenso y potente. Podéis encontrarlo en "Red" >> "Web Proxy".

 

 

Portal Cautivo.

Es muy sencillo y no tiene opción de usar certificados pero tenemos disponible crear cupones (voucher) para gestionar las conexiones, e incluso la opción de exportarlos en PDF para transmitirlo a los posibles usuarios de la red.

 

Firewall.

Esta opción no es ninguna sorpresa pero las opciones adicionales que trae el Firewall son cuanto menos, curiosas; entre ellas la opción de bloquear todas las conexiones a los puertos frecuentes que usa Microsoft Windows (135,137,138,139,445,1025) en el interfaz BLUE, que es el que viene preparado para usar WIFI y sobre el que IPfire recomienda instalar el portal cautivo.

IDS

 

IPfire tiene su propio IDS incorporado, aunque para echarlo a andar al 100% necesitaremos actualizar el sistema con algunos paquetes con el sistema Pakfire que os comenté al principio, y también un poco de paciencia porque su configuración puede ser un poco compleja en algún momento. Aún así, es una opción que merece la pena explorar.

 

 

 

 

 

Gráficas y Estadísticas.

 

Otra feature interesantísima de IPfire son los gráficos y estadísticas que nos proporciona, que de un vistazo, nos permite hacernos una idea rápida del estado de funcionamiento de la red.

En el menú "Status" >> "Servicios" podemos ver el estado de los diferentes servicios que ofrece IPfire.

 

En el menú "Status" >> "Net-traffic" tenemos disponibles unos lindos gráficos de utilización de los interfaces implementados.

 

En el menú "Status" >> "Sistema" las gráficas de uso de CPU por la máquina donde tengáis instalado IPfire.

 

Y en el menú "Status" >> "Conexiones", mi favorito, una gráfica con todas las conexiones realizadas por el router, con IP, puertos, Pais, cantidad de datos subidos/descargados, etc con código de colores para diferenciar las conexiones por categorías. Buenísima para detectar "cosas raras" en tu red. 

 

 

Como podéis ver Ipfire es buen producto y es totalmente gratis. Si estáis pensando en montar alguna red pequeña, Ipfire pude ser una buen opción. Podéis descargarlo en este enlace y sin mas por el momento me despido, hasta la próxima!

Análisis forense con Autopsy en Windows.

Autopsy es una herramienta de informática forense desarrollada por Basis Technology  y es usada por fuerzas de seguridad, forenses y peritos por todo el mundo. Nos permite analizar imágenes de discos físicos o imágenes de discos de máquinas virtuales y encontrar todo tipo de información interesante. Autopsy está disponible para todos los sistemas operativos y podemos descargarlo en su web oficial.  

 

 

La última versión para Windows es espectacular y comparada con la versión que aparece en Caine (una distribución Linux muy usada para informática forense), esta última se ve como mínimo bastante tosca. También tenemos disponible una versión mas reciente para Gnu/Linux, pero por facilidad de instalación y uso vamos a probarla con Windows 10.

Para las pruebas usaré unas imágenes de disco de esta web https://cfreds.nist.gov/, donde tenemos disponibles múltiples imágenes de disco en varios formatos que podemos descargar para probar Autopsy (o bueno, cualquier herramienta de análisis forense). Las imágenes de disco son dos y en principio sabemos por el nombre, que pertenecen a un equipo Dell Latitude.

 

Sin mas presentaciones vamos al lío.

Lo primero descargamos el instalador de la web oficial de Autopsy y lo ejecutamos, la instalación no tiene ninguna dificultad pues es el típico instalador de Windows.


 

 

 

 

Autopsy usa el motor OpenJdk, así que tenemos que darle paso en el cortafuegos de Windows 10 en la alerta emergente que nos aparece. 

Una vez instalado procedemos a abrir nuestro primer “Case” (caso) , que es como se llaman en Autopsy las diferentes estancias o proyectos de análisis que podemos ir gestionando.

 

 

Tenemos diferentes fichas para ir rellenando los datos del caso. Nombre, dirección, correo, contacto de la persona que va a realizar el examen etc.. 

 

 

 

 

Generamos un nuevo host en donde iremos añadiendo los análisis de todos los dispositivos que vayamos analizando.

Seleccionamos imagen de disco

 

Aparece en el menú del explorador solo uno de los discos de momento, lo seleccionamos y luego volveremos a por el otro. 

Seleccionamos los diferentes módulos que queremos aplicar a la búsqueda, seleccionaremos todos en este caso (vienen ya preseleccionados). 

 

 

Una vez añadida la imagen Autopsy pasa al proceso de "ingesta", en el que monta la imagen y analiza los datos. Nos tocará esperar mas o menos tiempo en función del tamaño del disco, lógicamente. Tenemos una barra de progreso abajo a la derecha.

 

 

En el panel lateral vemos como se van agrupando los datos recabado organizados por categorías. 

Podemos ver que hay (o había) 32 programas instalados pero también podemos ver otros datos como el historial web, el listado de documentos recientes etc, pero la verdad que hemos obtenido poca información, vamos a por el segundo disco de imagen.

 

 

 

Hacemos clic en el botón “Add Data Source” arriba a la derecha para volver al menú que vimos al principio. 

 

 

Lo añadimos al mismo “Host” que creamos anteriormente.

Si tenemos instalado Autopsy en una maquina física podemos añadir un disco físico (con el cable Sata o USB) y analizarlo con la opción "Local Disk".

 

Vamos a intentar montar la segunda imagen, esta vez probaremos la opción “Logical Files”.

 

 

 

 

Ahora si nos aparecen ambas imágenes, añadiremos la segunda.

Bingo!, podemos ver que ha aparecido mas información, podemos consultar el árbol de carpetas de esa máquina e incluso podemos recuperar información borrada. Por supuesto si hay alguna contraseña almacenada, Autopsy la recuperará.

 

 

Lo mas divertido de Autopsy es usar el buscador de palabras clave "Keyword Search", donde podemos buscar palabras que nosotros podamos intuir que puedan aparecer entre los datos. Saber como funcionan los servicios, programas y aplicaciones nos facilitará mucho la búsqueda, con este buscador se podrían buscar scripts, archivos de configuración, mensajes de correo y todos aquellos archivos que ya sabemos de antemano que son sospechosos (por no hablar de malware). De momento nos conformamos con usar las  típicas hack, crack y password. 

La información resultante de las búsquedas queda organizada por pestañas.

Lo que hace de Autopsy una herramienta fenomenal, aparte de la profundidad del análisis que efectúa; es su capacidad de organizar los resultados, pudiendo agrupar los análisis en función del tipo de análisis que se necesite. Por ejemplo, se podrían agrupar la memorias de todos los dispositivos de una red que ha sufrido un ataque de malware en un solo "Case", y cada imagen de disco con su "Host". 

Pero es que además, se pueden crear fichas con los datos personales de los contactos que recuperemos de mensajes de correo o documentos, lo que nos permite un mejor análisis de quienes hayan accedido al equipo o hayan interactuado con el usuario de alguna manera. 

Por otra parte la opción "Timeline"  nos muestra un histórico de uso con todos los detalles acerca de acceso y modificación de archivos, software instalado, de los correos enviados o recibidos y otros datos relevantes.

 

 

 

Como vimos con Openvas, Autopsy tiene la capacidad de hacer reportes detallados en varios formatos entre ellos Html y Excel.

 

 

 

Reporte del análisis en Html.

 

Por supuesto, nuestros teléfonos smartphone también tienen una memoria, de la que se puede hacer una imagen. Para estos casos, Autopsy tiene algunas opciones especiales.

Por ejemplo con el menú "Communications" podemos visualizar algunos números de teléfono y direcciones de correo usados por el dispositivo así como recolectar algunos contactos de la agenda. 

Si el dispositivo móvil tenía la localización activa podemos consultar los datos en el menú "Geolocation".

 

Como véis Autopsy en un programa magnífico, y en cierto modo terrorífico, pues con él ningún disco está seguro; Os recomiendo que probéis Autopsy; la descarga es gratis, se puede instalar en una máquina virtual, y probad con vuestros discos, igual os lleváis una sorpresa.

Ya para terminar os querría recomendar algunos post anteriores donde probamos herramientas para almacenamiento seguro de la información

• Dos utilidades para borrado seguro en GNU/Linux.
  
• Guarda seguras tus contraseñas con KeePassX.
  
•  Guarda segura tu información con Veracrypt.