jueves, 22 de octubre de 2009

Implementar Contraseñas Seguras




Existe una técnica llamada SFSP (Simple Formula for Strong Password) desarrollada por el instituto SANS, la idea del tutorial (descrito en un documento con aproximadamente 50 hojas) es que la memoria se vuelva “amiga” del método de creación de contraseñas fuertes. Igualmente sirve para imaginarse un password complejo o para convertir uno “débil” en “robusto”.
La técnica se basa en escoger un código secreto y una “Memory Cue” (¿Haber quien lo traduce?) que podemos entenderlo como una palabra fácil de recordar o con la que estamos muy familiarizados; a estas dos constantes aplicarles las “reglas de orden de entrada” (Input Rules) – se que no traduce eso, pero así lo podemos entender mejor-.
Para efectos de ejemplos usaremos la contraseña “password”, una de las primeras “Input Rules” desde ahora IR, es insertar números entre cada carácter, pero NO cualquier numero la idea es el numero doble de anterior, veamos un ejemplo:
Contraseña neta: password
Contraseña con IR: p1a2s4s8w16o32r64d128
Cuando vemos de cerca la contraseña “robustizada” podemos sacar aparte los numero de las letras, pero juntos hacen una gran combinación. Teniendo nuestra contraseña en ese estado aplicamos la segunda IR
NOTA: Cada IR tiene su propia codificación, ejemplo la primera se llama R1, la segunda se llama R2…y así sucesivamente.
La R2 dice que debemos insertar caracteres especiales a lo que ya tenemos, para este ejemplo los meteremos entre paréntesis, quedando así:
(p1a2s4s8w16o32r64d128)
Y la cosa se complica por que las recomendaciones de R2 no son precisamente que se comience con los caracteres especiales sino que se introduzcan entre los primeros caracteres dejando una contraseña complicada hasta de escribir (por no decir que de recordar).
p1(a2s4s8w16o32r64d128)
NOTA PERSONAL: No puedo extenderme explicando cada una de las IR que describe el documento de SANS, por que infringiría la ley (aunque me gustaría discutir todas) por lo que solo voy a escribir una par mas de ellas.
Otro de los métodos que me parecen interesantes es uno al que llaman “Secret Code” se trata de algo que solo conoce el usuario de la contraseña, para este ejemplo usaremos un nombre muy comun: “alberto”, suponiendo el año en el que alberto nació (Dic 25 de 1980) en notación numérica 12251980 y le aplicaremos el concepto de Secret Code de SFSP, quedando algo así:
Contraseña Neta: alberto
Contraseña con Secret Code: 1a2l2b5e1r9t8o0
La R2 en esta técnica es escribir la segunda letra de la palabra fácil de recodar “alberto” y la escribimos en mayúscula, en total la contraseña quedaría algo parecido a:
Contraseña completa: 1a2L2b5e1r9t8o0
Pero no todo es difícil con los métodos de SANS también tiene uno que puede resultar útil y fácil de recordar, lo llaman “Memory Cue Truncation” y reza que si eres un administrador de servidores y debes mantener múltiples contraseñas de tus servicios prestados puedes usar palabras claves “a medias” combinadas con Secret codes y recordarlos fácilmente, veamos un ejemplo:
Supongamos que tenemos un servidor con un Active Directory y un servidor de correo electrónico en Red Hat con Sendmail. Linux puede entregar los correos en las cuentas del AD (Active Directory) pero los usuarios del dominio NO pueden entrar al servidor desde la consola, es decir, el Administrador del dominio NO es el Key user en el servidor de correos, lo que indica que necesitamos por los menos dos usuarios maestros cada uno con su “propia” contraseña.
Siguiendo el método usaremos el mismo Secret Code para ambos passwords, 12251980 (Dic 25 de 1980, la fecha en que nació el SysAdmin del a red). Para el servidor de Correo podemos hacer un Memory Cue así:
Correo Electrónico en Red Hat
Tomamos las primeros 5 letras de la frase (sin contar los espacios) y las ultimas cinco, nos queda algo como:
CorreoedHat
Entre mas mayúsculas tenga el extracto que sacamos de la frase mucho mejor, luego entre las cinco primeras letras insertamos el Secret Code, quedando la contraseña así:
Correo12251980edHat
Es en resumidas cuentas una contraseña bastante robusta, para el administrador de dominio de AD, quedaría entonces algo como:
Admin12251980ctory
Y podemos complicarnos mucho mas la existencia aplicando las IR que nos parezca mejores, como las de segunda letra en mayúscula, aplicando igualmente los caracteres especiales y una ultima regla que indica la fecha en que modificamos la contraseña que estamos usando, quedando algo (para el servidor de correo) como:
CO#rreo12251980edHat#0403
Conclusión una contraseña robusta, pero complicada de recordar, incluso difícil de escribir.
Como nota final, hay que resaltar que la seguridad no solo se hace con contraseñas robustas o con nombres de usuario impersonales, es muy necesario (incluso mas) tener normas, procedimientos y políticas claras y definidas, sino todo esto no sirve para nada.





Saludos / Juliux

viernes, 16 de octubre de 2009

Saltar paginas restringidas


Poniendo en el navegador la direccion ip en lugar del nombre de la pagina, podemos entrar en algunos casos.
La direccion ip la podemos conocer haciendo un ping en DOS ej >ping www.hotmail.com devolviendo como respuesta la direccion ip.
----------------------------------------------------------

Pero que hacemos si el Proxy blokea tambien las ips? pues necesitamos cambiar los valores a Hexadecimales, y anteponerles "0x" un ejemplo sería:

la IP es 000.124.022.147

Solo un ejemplo, como traduccion sería:

000 = 00h6
124 = 00y8
022 = 10g1
147 = 007j

entonces nosotros vamos a nuestro navegador y ponemos:

0x00h6.0x00y8.0x10g1.0x007j

y podran entrar a la página web sin ningun problema ;)


CONSULTAR EL CORREO (POP3) MEDIANTE TELNET (DOS)


1. Conectarse con el cliente telnet al servidor que corresponda. El puerto casi siempre es 110. 






2. Identificarse:
   * user nombreDeUsuario
   * pass contraseña
   Sé que es posible enviar la contraseña encriptada, según no se qué RFC que todavía
   no he tenido tiempo de leer...

3. Ver la lista de mensajes: 
   * list
   //este comando devuelve la lista de mensajes y lo que ocupa cada uno en bytes.
   * stats
   //nos dice cuántos mensajes tenemos y cuántos bytes ocupan, en total.

4. Leer un mensaje: 
   * retr mensajeNúmero
   //por ejemplo, retr 1 para el primer mensaje, retr 2 para el segundo.
   * top mensajeNúmero númeroDeLíneas
   //para leer las primeras líneas del mensaje (además de todos los encabezados).

5. Borrar un mensaje: 
   * dele mensajeNúmero
   //Muy útil si nos han mandado un mail de tropecientos megas que no nos interesa en absoluto.
   //El mensaje no se borra hasta que terminamos la sesión con quit.
   * rset
   //Recupera un mensaje que hemos marcado para borra con dele, antes de cerrar la sesión.

6. Terminar la sesión:
   * quit 




ENVIAR CORREO (SMTP) MEDIANTE TELNET 

1. Conectarse con el cliente telnet al servidor que corresponda. El puerto casi siempre es 25.

2. Saludar:
   * ehlo tuNombre
   * helo tuNombre
   //Cualquiera de estos dos comandos sirve para iniciar una sesión SMTP.

3. Escribir un mensaje:
   * mail from: emilio@delRemite.nte
   //Así indicamos quién es el remitente. Podría explicar qué sistemas utilizan los
     servidores
     SMTP para comprobar que esta información es cierta, pero no lo voy a hacer.
     El que quiera enviar correos anónimos o falsificados, que se busque la vida ;-).
   * rcpt to: emilio@delDestinata.rio
   //Así indicamos a quién va dirigido el correo.
   * data
   //Después de este comando, empezamos a escribir el correo. Para terminar,
     escribimos un punto ( . ) en una línea aparte.

4. Añadir cabeceras:
   //Podemos añadir más cabeceras, como el nombre del remitente o del
     destinatario. Éstas
     son sólo relevantes para los clientes de correo, pero al servidor no le importan
     en absoluto,
     así que van al principio del cuerpo del mensaje (es decir, después de empezar el
     mensaje con data).
   * subject: elAsunto
   //Para indicar el subject o asuntod del mensaje.
   * from: miNombre
   //Para indicar que me llamo miNombre y mi correo electrónico es
     emilio@delRemite.nte.
   * to: elNombreDelOtro
   //Para indicar que el correo va dirigido a elNombreDelOtro y su dirección de
     correo es emilio@delDestinata.rio.
   //Ya os imagináis que las direcciones de correo indicadas aquí no tienen por qué
     coincidir con las indicadas en el apartado 3. En cualquier caso, el que reciba el mensaje va a poder ver todas las cabeceras.

5. Cancelar:
   * rset
   //igual que en POP3, este comando sirve para cancelar cualquier cambio que se
     haya hecho durante la sesión.

6. Terminar la sesión:
   * quit

7. Ejemplo
   //Pego tal cual una sesión telnet en la cual me he enviado un correo a mí mismo,
     por si hay
     algo que no queda claro. Las líneas que comienzan con ">" son las que envía el
     servidor, y las que empiezan con "." son las que envío yo.

Ej:


> 220 rita.puntoycoma.net ESMTP service ready [2] using MDaemon v3.0.4 R . helo _jlg


> 250 rita.puntoycoma.net Hello _jlg, pleased to meet you . mail from:
 _jlg@puntoycoma.net

> 250 <_jlg@puntoycoma.net>, Sender ok . rcpt to: _jlg@puntoycoma.net

> 250 <_jlg@puntoycoma.net>, Recipient ok . data

> 354 Enter mail, end with . . subject: Ningún asunto en particular

. from: Yo mismo <_jlg@puntoycoma.net>

. to: Mí mismo <_jlg@puntoycoma.net>

. Esto es una prueba.

. Esto es la segunda línea de la prueba.

. .

> 250 Ok, message saved . quit

> 221 See ya in cyberspace

   //Como veis, el servidor siempre contesta un código de tres cifras, que es significativo para los clientes de correo electrónico, seguidos de un texto que, en realidad, no tiene ninguna importancia.
   //Y así es como veo el correo en mi cliente (Pegasus Mail): 



Saludos / Juliux

Cómo corregir la lentitud de Outlook 2003-2007


1. Desactivar Inútil Outlook Add-ins

Sí, son inútiles, salvo quizá una. Con el fin de desactivar todos los add-ons que se activa por defecto, tendrá que abrir Outlook 2007 en modo administrativo.
En primer lugar, vaya a C: \ Programs \ Microsoft Office \ Office12, haga clic derecho sobre el Outlook.exe programa y seleccione "Ejecutar como Administrador".
Luego, una vez que las cargas de Outlook, vaya a Herramientas del menú superior y luego Trust Center.

Haga clic en Add-ins en el menú de la izquierda y, a continuación, haga clic en el botón Ir en la parte inferior del cuadro de diálogo donde dice Administrar y tiene un cuadro desplegable.

Ahora, usted obtendrá una lista de add-ins que usted puede desmarcar. Se trata de sugerirle que desmarca la casilla de TODOS los add-ins, excepto para la indexación de Windows.

Vaya por delante y elegir la otra opción en el cuadro desplegable, que es cliente de Exchange Extensions. No desactivar el intercambio add-ins si estás conectado a una red corporativa.
Este cambio aumentó significativamente la velocidad de mi instalación de Outlook 2007. También ayudó a reducir el número de casos de carga de datos.

2. Desactivar los canales RSS en Outlook 2007

Otro molesto configuración por defecto en Outlook 2007 es el hecho de que haya un buen número de canales RSS que vienen pre-configurados y que se comen hasta los recursos en términos de la sincronización. Outlook se mantendrá la comprobación de las actualizaciones de estos feeds y lento, por lo tanto, las cosas aún más. Si utiliza otro para su lector RSS, como Google Reader, asegúrese de eliminar los feeds RSS desde Outlook 2007.
En Outlook 2007, vaya a Herramientas, Opciones y, a continuación, haga clic enRSS Feeds.

Como puede ver, he eliminado todos mis feeds RSS de manera que no potencia de CPU está siendo utilizado con este fin! Basta con hacer clic en el botón Quitar para cada canal RSS lista.

3. Compact Outlook.pst su archivo personal

Otra cosa que usted puede hacer para acelerar Outlook 2007 es el pacto de su carpetas de correo electrónico a fin de que no son tan grandes. Es mejor eliminar a cualquier correo electrónico con archivos adjuntos grandes, o incluso para archivar algunos mensajes de correo electrónico si su archivo es más grande que 1 GB.
En Outlook 2007, haga clic en Archivo y, a continuación, datos de gestión de archivos.

Haga clic en la pestaña Archivos de Datos y, a continuación, haga doble clic sobre el archivo de datos que a usted wan compacto.

Ahora vaya adelante y haga clic en el botón Ahora Compact para reducir el tamaño del archivo personal de archivo.

Eso es todo de los métodos que pude averiguar hasta ahora! Si usted sabe de cualquier otro método que ayudará a acelerar la super lento Outlook 2007, después hacer un comentario y háganoslo saber!