Montaje y configuración de una OpenVPN con un Router DD-WRT

Las conexiones VPN permiten el acceso a archivos remotos o conectar oficinas a través de túneles seguros mediante Internet. Incluso puede ser útil para garantizar las conexiones en los puertos o puntos de acceso a Internet Wi-Fi, ocultando el tráfico de Internet de espías locales.

Si no va a tener más de dos docenas de usuarios de VPN, usted podría considerar la creación de su propio servidor VPN usando el firmware del router DD-WRT. Si usted tiene un router inalámbrico compatible, puede cargar el firmware en él. Esto le da un servidor OpenVPN y cliente, y muchas más características frescas. A continuación, puede configurarlo para conexiones de acceso remoto o en el sitio de sitio a las conexiones para conectar oficinas juntos.

DD-WRT soporta dos diferentes protocolos de VPN: Protocolo de túnel punto a punto (PPTP) por sus siglas en inglés, que es muy popular, pero tiene vulnerabilidades, y OpenVPN, que utiliza el sistema Secure Sockets Layer (SSL) y Transport Layer Security (TLS) para una solución mucho más segura. En este tutorial vamos a configurar y utilizar OpenVPN.

En este primero de dos artículos, explicaremos cómo actualizar el router con el firmware DD-WRT, el cambio de la IP del router y de la subred, por razones de compatibilidad, y crear certificados SSL. En la segunda serie, vamos a ver paso a paso la configuración del servidor OpenVPN, la creación de scripts de inicio y cortafuegos, la configuración de los clientes, y la prueba llevada a cabo.

Para el registro, este tutorial se está utilizando la variante de VPN de DD-WRT v24-SP2. Es la construcción de 13064, de fecha 10/10/09. Para la creación de certificados SSL y para los clientes, usamos OpenVPN 2.1.1, publicado el 12/11/09. Los pasos para el uso de otras versiones del firmware o OpenVPN puede variar.

Flash Router VPN con la versión de DD-WRT

Primero, asegúrese de que está utilizando un router inalámbrico que es compatible con DD-WRT y tiene suficiente espacio de almacenamiento NVRAM. Usted querrá seguir las instrucciones para cargar el flash o la versión de VPN de DD-WRT a su router.

Para comprobar la NVRAM disponible, debe utilizar Telnet o SSH para llegar al router. Usted puede descargar y utilizar PuTTY. Seleccione Telnet como el tipo de conexión e introduzca la dirección IP del router (generalmente 192.168.1.1). Luego, para el inicio de sesión DD-WRT, escriba «root». Si has creado una contraseña a través del panel de control basado en Web, lo utilizan, de lo contrario, el valor por defecto es «admin».

Una vez que se conectó a través de Telnet, escriba el siguiente comando:

nvram show | grep size

Si tiene más de 5.200 bytes, está bien, puede seguir.

Cambiar la IP del router y de subred

Recuerde, una conexión VPN conecta dos o más redes. Usted debe asegurarse de que la subred de cada red y las IP no entren en conflicto. Así que si usted está planeando utilizar las conexiones VPN de Internet públicos o Wi-Fi hotspots, debe asegurarse de que su red local y la red VPN no se establecen en una subred común.

El router DD-WRT utiliza una dirección IP tal como 192.168.1.1 muy común, hay que cambiarlo:

Comience por conectar al router y entrar al panel de control basado en la Web introduciendo la dirección IP (192.168.1.1) en su navegador Web. A continuación, haga clic en la ficha Configuración y en la zona router IP, cambie la dirección IP local a 192.168.2.1, y haga clic en «Aplicar Configuración».

Ahora tiene que utilizar la nuevo IP (192.168.2.1) para iniciar sesión en el panel de control DD-WRT.

Crear certificados de servidor y cliente

Usted debe descargar e instalar OpenVPN en un PC utilizando el instalador de Windows. Puede utilizar máquinas Linux también, pero aquí vamos hacerlo bajo Windows, así que vamos de la ruta de Windows. Una vez instalado, sigue estos pasos… Para comenzar:

1. Abra el símbolo del sistema: haga clic en Inicio, escriba cmd y pulse Enter.
2. A continuación, cambie a otro directorio tecleando: cd C:FilesOpenVPNeasy-rsa
3. Ejecute un archivo por lotes para crear archivos de configuración tecleando: init-config
4. Mantenga esta ventana abierta del símbolo del sistema para su uso posterior.

Ahora, abra una ventana de PC y busque el siguiente directorio: C:Program FilesOpenVPNeasy-rsa. Haga clic con el archivo en vars.bat y haga clic en Modificar. Entonces usted tiene que configurar todas las opciones siguientes:

* KEY_COUNTRY
* KEY_PROVINCE
* KEY_CITY
* KEY_ORG
* KEY_EMAIL

Puede cambiar los valores por defecto, que es después del signo igual de cada parámetro. Asegúrese de guardar los cambios cuando haya terminado.

Volver a la ventana del símbolo del sistema e inicializar la PKI introduciendo los siguientes comandos uno cada vez:

varsclean-allbuild-ca

Después de introducir el último comando, se le pedirá para los parámetros que acaba de establecer en el archivo vars.bat. Haga clic en Aceptar para aceptar los parámetros introducidos. Puede dejar el nombre de la unidad organizativa en blanco. Sin embargo, debe introducir un nombre común. casi cualquier cosa va a funcionar. He usado «OpenVPN-CA»

Ahora puede generar un certificado y una clave privada para el servidor escribiendo lo siguiente:

build-key-server server

Se le pedirá para los parámetros de nuevo. Acepte los valores predeterminados para los que estableció en vars.bat. Por el nombre común que en esta ocasión, escriba «server». Asegúrese de introducir una contraseña segura que usted recuerde o guardarla en algún sitio seguro. Cuando se le solicite para firmar y cometer el certificado, escriba «y.»

Ahora, usted puede generar los certificados para los clientes o equipos que se conecten a su servidor OpenVPN en el router DD-WRT. Debe crear una para cada cliente. Sólo tienes que introducir «build-key», seguido de un espacio y un nombre. Por ejemplo, para tres clientes:

build-key client1
build-key client2
build-key client3

Una vez más, se le pedirá para los parámetros. Elegir un nombre común único. Usted puede utilizar el nombre del certificado, como client1, client2 o client3.

Nota: si más adelante debe generar certificados para cliente adicionales, vuelva al directorio de l rsa en su símbolo del sistema, escriba «vars», y luego seguir adelante con el comando build-key, como build-key client2.

Ahora usted debe generar los parámetros de Diffie-Hellman introduciendo:

build-dh

Por último, debería ver todos sus certificados en el directorio siguiente: C:Program FilesOpenVPNeasy-rsakeys

Tenga en cuenta, la entidad emisora, el servidor y todas las claves de cliente deben ser confidenciales y seguras.

Manténgase sintonizado – vamos a terminar de configurar el servidor y los clientes en la parte 2.

Eric Geier es el fundador y CEO de NoWiresSecurity, que ayuda a las empresas fácilmente proteger su Wi-Fi con el cifrado a nivel de empresa, ofreciendo un servicio externalizado RADIUS/802.1X autenticación. Él es también el autor de la creación de redes de computación y libros, para marcas como para los maniquíes y Prensa de Cisco.
Vía: Linux-Party

El botnet Chuck Norris, ataca a routers con usuario y password por defecto

Existe un tipo de malware denominado por los expertos en seguridad «botnet», este tipo de malware a infectado ya millones de ordenadores en el mundo.
Ahora se ha dado a conocer una variante de este tipo de malware en este caso se trata de un botnet conocido como Chuck Norris, este botnet, tiene la peculiaridad de en lugar de infectar los ordenadores, se centra en la infección y el ataque de los routers y modems que conserven la configuracion de acceso por defecto, es decir el nombre de usuario y el password.

Este malware se aprovecha de la vulnerabilidad que presentan los routers mal configurados o mal protegidos y disponibilidad de estos para ejecutar accesos remotos, los passwords mas comunes, los cuales pueden ser fruto de un ataque son: 1234, user, admin, adminttd, 123456, administrador.
Si tu router conserva aun la configuracion por defecto y por lo tanto la posibilidad de ser vulnerable a uno de estos ataques, quizás sea el momento de cambiar el password de acceso.

Error grave en las DNS

Se ha originado un importante error en Internet, más concretamente en el sistema de nombres de dominio (DNS, por sus siglas en inglés) y aún no se conocen con certeza los daños que ha podido ocasionar. El sistema DNS es aquel que permite «traducir» los nombres de dominios de Internet en un sistema numérico, y este error podría haber permitido a los delincuentes informáticos redirigir cualquier dirección de Internet a otros sitios falsos, incluso si la víctima teclea de manera correcta dicha dirección.
Los grandes grupos de Internet han trabajado en silencio durante meses para desarrollar una solución pero, finalmente, alguien ha filtrado la noticia.Se ha creado un sitio (www.doxpara.com)
para permitir que los usuarios de Internet puedan poner a prueba su vulnerabilidad frente a esta amenaza. Según Kaminsk, el descubridor del error, » nunca se había creado una operación de seguridad de tal magnitud».
Vía

El Pharming y el Crimeware desbancan al Phishing

Actualmente se están estancando los correos electrónicos con Phishing como método de fraude, ya que casi todo el mundo toma sus precauciones, al respecto.
Todos somos conscientes de que ninguna entidad financiera nos solicitara nunca ningún dato bancario, a través de la red, y que por lo tanto no debemos facilitarles dichos datos a nadie.
Actualmente están apareciendo nuevas artimañas de fraude, como son el Pharming y el Crimeware.

¿Que es el Pharming?
Pharming es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su explorador de Internet a la página web que el atacante haya especificado para ese nombre de dominio.

¿Que es el Crimeware?
Crimeware es un tipo de software o programa informático que ha sido específicamente diseñado para la ejecución de delitos financieros en entornos on-line. El término fue creado por Peter Cassidy, Secretario General del Anti-Phishing Working Group para diferenciarlo de otros tipos de software malicioso.

Vulnerabilidad en las redes wifi caseras

Existen varios sistemas de cifrado para las redes wifi, sin embargo en España inexplicablemente el mas utilizado, es el conocido como  WEP (Wired Equivalent Privacy).
Este sistema de cifrado es el mas vulnerable a ataques de tal modo que lo mas lógico seria utilizar el tipo de cifrado WPA (Wi-Fi Protected Access) ya que este sistema es mucho mas robusto.
En el año 2005 un grupo de investigación del FBI demostraron en una conferencia lo sencillo que resultaba crackear las claves WEP utilizando para ello, tan solo 3 minutos.
A continuación tenéis un ejemplo gráfico del proceso realizado por la gente de http://www.crimemachine.com utilizando para ello un pack de software para Linux llamado «Auditor Security Collection».
La verdad es que resulta sorprendente lo poco que se tarda en obtener la clave WEP ya desencriptada.
Lógicamente este articulo no pretende mostrar como crackear redes wifi, si no todo lo contrario lo que pretende es demostrar que vuestras redes wifi son vulnerables y que pueden ser crackeadas en cualquier momento.

WPA Cracking

VULNERABILIDAD EN CLIENTE CISCO VPN WINDOWS

vulnerabilidadCisco ha anunciado una vulnerabilidad en su cliente VPN para Windows por la que un usuario local podría llegar a conseguir privilegios administrativos.

El Cliente Cisco VPN es una solución software para sistemas operativos Sun Solaris, Apple MacOS Classic y MacOS X, Linux y Microsoft Windows que permite a los usuarios de estos sistemas establecer túneles IPSec VPN a dispositivos calificados Cisco VPN, tales como los routers Cisco IOS, el PIX Security Appliance, los VPN 3000 Series Concentrators y los ASA 5500 Series Adaptive Security Appliances.

Se ven afectados las versiones 2.x, 3.x, 4.0.x, 4.6.x, 4.7.x con la excepción de la versión 4.7.00.0533 y la 4.8.00.x del Cisco VPN Client para Windows (están excluidos los usuarios de Windows 9x).

En un boletín de seguridad Cisco confirma una vulnerabilidad de elevación de privilegios local en su Cliente VPN para Windows, también conocido como «VPN client dialer». Un atacante local podrá explotarla para elevar sus privilegios de usuario y obtener permisos equivalentes a LocalSystem.

Cisco ha publicado una actualización que corrige está vulnerabilidad, ésta nueva versión 4.8.01.0300 del Cliente Cisco VPN para Windows, puede descargarse desde: http://www.cisco.com/pcgi-bin/tablebuild.pl/windows (solo para usuarios registrados). El aviso de seguridad de Cisco está disponible en http://www.cisco.com/warp/public/707/cisco-sa-20060524-vpnclient.shtml