Category: Networking and Internet

moblin: Per què uso Fedora Core 10?

2009/04/06 1 Comment

Reading time: 2 – 4 minutes

Després d’estar molts anys sent un defensor aferrim de Gentoo, els meus companys/amics es fan creus que finalment m’hagi passat a Fedora. He dir que no renego pas de Gentoo, al contrari li reconeixo moltíssimes virtuts i considero que per developers i per gent que vulgui coneixer el sistema a fons i controlar-lo ell, no pas la distribució és el millor que hi ha.

Però per temes professionals m’he posat a treballar amb moblin, una distribució de Linux bàsicament subvencionada per intel. Doncs bé, la qüestió és que malgrat la v1 de moblin es basava en Ubuntu que ja tinc força per la mà, la v2 es basa en FC i d’això ja no en tenia ni idea. La qual cosa feia que no estigués familiaritzat amb l’entorn de desenvolupament i se’m feia molt feixuc avançar.

Per tant, vaig decidir aprofitar una posada de “pota” al disc dur del portàtil, per comprar-ne un de nou (ara en tinc un de 500Gb al Dell m1330) i instal·lar-hi una FC10. Per resumir-ho en una nota del 1 al 10, li posaria al voltant d’un 6. Escencialment el sistema funciona força bé i tot esta molt preparat perquè ràpidament es pugui instal·lar, mantenir i usar. Com podria ser amb Ubuntu, clar. Però té alguns tocs de professionalitat que el diferencien com el SELinux, o alguna altre eina que sorpren veure ben integrada que esta amb el sistema.

Tornant al moblin, pels que no sapigueu a què s’orienta el sistema a continuació en podeu veure un video de presentació:

Si voleu endinsar-vos més en les funcionalitats que ofereix i el seu estat de desenvolupament podeu fer-ho a:

Moblin v1: web de la versió 1.0 del sistema, on hi ha moltíssima informació molt professional ja que aquesta versió ja esta funcionant en alguns dispositius del mercat.
Moblin v2: versió encara en alpha, concretament en alpha2. Però que funciona molt bé i que malgrat esta verda promet moltíssim. Escencialment on jo estic involucrat és en aquesta versió.

Per cert, si algú es vol posar en el tema és important que no oblideu que la versió 2 trenca compatibilitat en moltíssimes coses amb la versió 1.

Arribats aquest punt de l’article només comentar-vos que jo ús ha de semblar extrany si a partir d’ara començo a publicar articles que parlin de FC i/o de moblin.

Netgear ProSafe SSL VPN Concentrator SSL312

2009/03/03 3 Comments

Reading time: 9 – 15 minutes

Havia tingut l’oportunintat de veure funcionar aquest tipus de concentradors d’VPN en diverses ocasions però mai n’havia configurat cap. De fet, el model en concret del que us parlo el vaig descobrir a través de Tecnología Pymes. El que més em va sorprendre és la quantitat d’VPNs que gestionava i el seu preu, són 25 VPNs concurrents per uns 350€ de PVD. Després vaig estar mirant-me a fons el manual i les seves especificacions tècniques i crec que és una de les solucions més competitives per montar VPNs a usuaris remots (roadwarriors) de forma senzilla. En aquest cas, senzilla vol dir que no s’hagi d’anar usuari per usuari a configurar-los l’VPN. Sinó que ells mateixos simplement accedint a una pàgina web i amb un simple usuari/password més el suport d’un plug-in Java/ActiveX passin a ser un client de l’VPN.

Al accedir via web després de l’autenticació el dispositiu facilita un portal d’enllaços als usuaris on poden amb un simple clic accedir a aplicacions a través del navegador, per exemple, usant VNC, RDP, Telnet, SSH, IE i d’altres protocols l’usuari pot iniciar per exemple una sessió amb una aplicació que estigui en un servidor local: Word, Excel, ERP, CRM, Web, etc. O sigui, que és ideal per quan tenim usuaris amb coneixements molt bàsics perquè els podem donar accés directe a les típiques coses que usaran i per l’usuari és molt senzill d’entendre. Obviament si no volem accedir via web a la xarxa remota ho podem fer des del sistema, o sigui, que per exmemple si obrim una consola podem llençar un ping sense problemes als servidors remots. No deixa de ser una VPN de les de sempre, però usant com a client el navegador.

Pel que fa al firmware que usa després de connectar-hi via RS232 he pogut veure que és un Linux, al qual pel mateix CLI serie podem tenir-hi accés i tocar el que ens convingui. Per cert, enlloc he trobat la configuració del port serie per connectar-hi però fent proves la que m’ha funcionat ha estat: 9600 8N1 no control de fluxe per hardware ni tampoc per software.

Al iniciar el router aquest portava un firmware força antic que no suportava Windows Vista i que només podia treballar amb clients IE via ActiveX. Però després d’actualitzar el firmware a la versió 2.3.03 no només ja es suporta el Windows Vista sinó que també funciona amb clients Linux amb Firefox usant un applet de Java. Això si hem de tenir permisos d’administrador perquè sinó no pot crear les rutes i d’altres similars al sistema.

# uname -a
Linux vpn0 2.4.20-br264 #25 Fri Nov 14 12:23:42 IST 2008 POLO unknown

Els usuaris de l’VPN poden estar guardats en diversos llocs:

Local user database
Microsoft Active Directory
LDAP directory
NT domains
RADIUS (PAP, CHAP, MSCHAP, MSCHAPv2)

A més disposa d’un sistema de grups i de polítiques de permisos que malgrat no ser res de l’altre món ens permet crear certs tipus de perfils restringint els accessos de forma simple i fàcil de gestionar als grups o usuaris.

Quan montem aquesta solució podem treballar de diverses formes. Diposa de dues sortides ethernet i podem treballar amb només una sortida:

o usant dues interficies de xarxa:

a partir d’aquí podem adaptar el sistema d’VPN al que més ens interessi dins de l’empresa.

Abans d’acabar només un apunt sobre el tema de la configuració. Cal dir que no és complicat de configurar, però en primera instància és una mica engorrós tenir tantes opcions i tan poc intuitives. Una bona recomanació és que no deixeu de llegir-vos atentament l’ajuda en línia (apareix a la part dreta) que es mostra en la WebUI de configuració.

Un altre cop doncs NetGear ens ha presentat un producte molt decent i recomanable, he de dir que és una marca que al igual que Linksys m’acostuma a deixar un bon gust de boca.

Pàgina del producte: ProSafe SSL VPN Concentrator SSL312

Atac DOS al DNS: DNS Root Query Amplification

2009/02/28 No Comments

Reading time: 2 – 4 minutes

El dia 26 un dels servidors que administro va ser víctima d’un atac DNS, de fet, a hores d’ara encara continuem sent víctimes de l’atac malgrat ara mateix ja hem pres mesures de contenció per tal de que el mateix no ens afecti. La qüestió és que aquest atac va sobrecarregar l’activitat del nostre servidor de DNS fins a tal punt que les peticions DNS trigaven molta estona a resoldres ja que s’acumulava la feina i aquestes cada cop trigaven més a resoldres. Això de forma col·lateral va provocar problemes en altres serveis, arribant fins hi tot a col·lapsar-los i a fer caure un dels servidors.

L’atac en qüestió esta perfectament descrit pel SANS:

DNS queries for ”

Una possible solució i també descripció del problema la va trobar en Lluís en aquest blog:

DNS Root Query Amplification

Per resumir una mica el que es nota és que rebem moltíssimes peticions de resolució del domini ‘.’, cosa que dona molta feina al nostre servidor DNS i que acaba generant un gran tràfic de resposta per una petita petició que pot llençar perfectament un zombie sense patir cap sobrecarrega al seu ampla de banda, encanvi el destinatari del atac DOS pot veures afectat per moltíssims paquets no solicitats de diversos origens, convertint el simple atac DOS en un complicat atac DDOS difícil de parar pel destí final de l’atac.

Un bon gràfic per entendre l’atac és aquest:

dns-amplification-attack-small

Aquest gràfic l’he extret de l’article DNS Amplification Attack
del blog Security News & Tips. Que també té un bon article on s’explica l’atac en detall.

Si simplement sóm usats per llençar aquest atac, com era el cas que explico gràcies a eines com el fail2ban no és complicat d’aturar, ja que podem dir-li que vigili el nostre fitxer de logs i llençar regles de filtrat que aturin les peticions al DNS que es repeteixen massa pel mateix origen. Per un detall més complert de com implementar això ús remeto a l’article: DNS Root Query Amplification.

NOTA sobre PowerDNS: El software que usem per gestionar els DNS és el PowerDNS el qual disposa d’una interficie web per controlar les estadístiques del servei, en cas de patir un atac d’aquest tipus a través d’aquesta pàgina web serà molt senzill que identifiqueu quines IPs estan llençant l’atac i a més a més comprovar que l’atac és el del tipus que he descrit.

El cercador en català: que.cat

2009/02/27 2 Comments

Reading time: 2 – 3 minutes

La vida dona moltes voltes, una altre prova d’això és que fa unes setmanes vaig rebre el comentari d’un dels lectors del blog informant-me que esta desenvolupant un interessant cercador de pàgines web en llengua catalana. La veritat és que no tinc el plaer de coneixen els detalls tècnics de com ho esta fent i tampoc els he sabut trobar a la xarxa. De moment les poques busquedes que hi he pogut llençar m’ha semblat:

ràpid
simple d’usar
simple d’interpretar els resultats
molt orientat als continguts en la nostre llengua

Com a tecnòleg la veritat és que convidaria al David a que via podcast o per escrit ens fes cinc cèntims de com ho esta fent per montar el cercador, si és que es pot explicar. Però anant al que comentava a l’inici de l’article, com a persona curiosa que sóc vaig arribar fins a la web de l’empresa del David (deDavid interactive) i vaig adonar-me que el seu logo em sonava moltíssim. Tan és així que vaig seguir pensant on l’havia vist abans i al cap de pocs dies em va venir al cap: a la web de Cablematic. Potser a molts no ús sona la botiga, però jo en sóc un gran client i fa molts anys que hi compro i que hi trobo les coses més rares que puc arribar a buscar en concepte de connectors, cables, gadgets, dispositius, etc.

Així doncs, una casualitat com una altre, resulta que el David llegia el meu blog i jo era un gran usuari d’un dels seus treballs com a programador de webs. Tornant al motiu de l’article, només recomanar-vos que doneu un cop d’ull a que.cat un cercador molt jove, però que apunta maneres i esperem que arribi ben lluny. Qui sap si un dia la generalitat li podria donar tants diners com va fer en el seu dia a Olé! 😉

pfSense i VMWare: problemes amb les interficies en bridging [solucionat]

2009/02/27 No Comments

Reading time: 4 – 6 minutes

Ahir en Joan i jo ens varem passar 11h per descobrir que el nostre gran problema d’incompatibilitat entre el pfSense i el VMWare ESX 3.5 no era res més que un petit error de configuració a un virtual siwtch (vSwitch) que unia les interficies virtuals del firewall.

Bé anem a descriure l’escenari. Imagineu un pfSense com a màquina virtual d’VMWare amb dues potes físiques, o una física i una virtual, com volgueu el problema és el mateix. Si les dues són virtuals no ho he provat, però imagino que passa el mateix. La qüestió és que si fem que les dues potes del pfSense estiguin en mode bridge, és a dir com si el pfSense no hi fos i ambdues subxarxes estiguessin unides en una de sola, llavors el tràfic entre una xarxa i l’altre no flueix. O sigui, no podem passar ni paquets ICMP, ni TCP ni UDP. Però si que podem passar paquets ARP. Curiós, eh!?

vmware-pfsense-bridge

En el dibuix anterior es veu l’escenari d’exemple que varem estar provant. O sigiui, un portàtil en una xarxa física, després en una altre xarxa hi teniem un servidor físic i un de virtual. El pfSense sempre virtual, o sigui dins del VMWare ESX. Per altre banda teniem una altre pota real que ens connectava a internet. Però això no és rellevant, només ho indico perquè quedi clar que el pfSense tenia tres potes i que les que feien el bridge no eren la LAN i la WAN. Sinó la LAN i una OPT1. L’escenari real i le proves següents complicaven aquest escenari bàsic afegint una pota més del pfSense també en mode bridge amb la primera, les proves també van funcionar.

Pels que no estigueu familiaritzats amb el VMWare per fer això cal definir dos vSwitch un que uneixi la LAN del pfSense amb la targeta de xarxa real del VMWare i la Xarxa 1. Un altre vSwitch ha d’unir el pfSense amb la Xarxa 2, que té una màquina virtual connectada a ell i un targeta de xarxa del VMWare connectada a un switch real amb un ordinador físic. Doncs bé, aquestes dues interficies del pfSense es posen en mode bridge i els ordinadors de la xarxa 1 i 2 poden compartir domini de col·lisió i el pfSense pot fer filtrat de packets en mode stealth ja que els usuaris ni s’adonen que els seus paquets passen per un firewall.

Diria que ja ha quedat clar el que passava, doncs bé en Joan i jo ens varem passar 11h lluitant i investigant d’on podia venir el problema que feia que els paquets no passessin d’un costat a l’altre del pfSense. De fet, el que varem observar per començar és que a l’itnerficie de xarxa del pfSense no arribaben els paquets de la xarxa 1 a menys que aquests anessin dirigits a la IP de la pota de forma explícita, o els paquets que volien usar el firewall com a porta d’enllaç per navegar.

Doncs bé, el tema esta en que els vSwitch del VMWare han de tenir el paràmetre “Promiscous Mode“, que per defecte esta a “Reject“, a “”Accept“. Fent això a ambdós vSwitch els paquets flueixen d’un costat a l’altre del firewall sense problemes. Increible, oi? doncs si. Una de les múltiples alegries que et dona l’informàtica quan després d’aixecar-te a les 4 del matí per posar en producció el sistema, a les 6 de la tarda descobreixes en un entorn simulat que el problema venia d’això.

A continuació adjunto un parell de captures de pantalla on podeu veure com per defecte el paràmetre esta a “Reject” :

Caputra de les propietats d'un vSwitch

i simplement editant les propietats del vSwitch el podem posar a “Accept”:

Això farà, que demà a les 8 hem toqui treballar altre vegada i que per fi pugui posar en producció el sistema. Esperem que les proves de concepte fetes en el entorn simulat que varem montar ahir a la tarda segueixin funcionant tan bé en l’entorn real demà al matí. Apa doncs, només agraïr al Joan la seva paciència i seguir provant i provant colze amb colze amb mi per arribar a aquesta solució.

WMWifiRouter: convertint el telèfon en un gateway wifi-3g

2009/02/16 4 Comments

Reading time: 2 – 3 minutes

WMWifiRouter és una aplicació que preten convertir el nostre telèfon mòbil amb Wi-Fi i 3G en un gateway cap a internet pel nostre portàtil, per exemple. De fet, el programa dona molt més de si i l’enllaç cap a la xarxa 3G el podem fer no només amb Wi-Fi sinó també amb Bluetooth i USB.

El programa no és massa difícil de configurar i amb no massa estona podem tenir-lo llest perquè el portàtil, per exemple, accedeixi per Wi-Fi a internet amb HDSPA via el mòbil. El que no em fa massa el pes és que l’enllaç Wi-Fi es fa en mode ad-hoc i malgrat el propi telèfon ens fa de servidor DHCP, aquest no va massa fi i a vegades li costa força assignar-nos una IP. Però el que realment no em fa gens el pes és que l’enllaç Wi-Fi perd moltíssims paquets, és a dir, després de fer l’enllaç ad-hoc que comentava em vaig posar a fer pings al punt d’accés (o sigui, al telèfon) i de cada 10 pàquets se’n perdien de 3 a 5. O sigui, un desastre i més si tenim en compte que entre el mòbil i l’ordinador no hi havia més d’un pam.

Malgrat això crec que l’eina és una molt bona idea, però crec que ha de millorar molt en el rediment que dona i en l’estabilitat ja que quan ens desconnectem i tornem a connectar ja sigui de la xarxa Wi-Fi o de la 3G la cosa comença a donar errors ben extranys; fins el punt que acaba sortint més a compte reiniciar el telèfon que seguir aguntant el comportament que té. Només animar als creadors de l’eina que la segueixin millorant perquè crec que si arriba a funcionar bé pot tenir molt futur.

pfSense: per fi funcionen els aliases

2009/02/13 No Comments

Reading time: 2 – 2 minutes

Acabo de llegir al wiki de pfSense que per fi la funcionalitat d’aliases als ports funciona, de fet, encara no sé si això passarà a funcionar a la versió 1.2.3 o ja funciona a les versions 1.2.2 que estic montant útlimament quan ho hagi contrastat ja avisaré en aquest mateix post. Pels que no tingueu ni idea de què estic parlant vaig a explicar-me.

Resulta que el pfSense té entre les seves funcions la de poder declarar aliases de hosts, xarxes i ports. Això és genial a nivell conceptual perquè podem definir, per exemple, un grup de hosts que anomenem “ServidorsWeb” i un grup de ports que anomenem “PortsWeb” i després al la secció de regles (rules) només cal que creem una sola regle que permeti el tràfic a tots els “ServidorsWeb” pels “PortsWeb” i això automàticament en background generarà tantes regles com calguin perquè aquest tràfic passi sense problemes. Fins ara es podien definir els aliases dels ports però després a la secció de NAT o Rules no es podien associar, per tant, era com inútil asignar aliases a ports.

Quan tenim xarxes dividides en diverses subxarxes i amb uns quants servidors, grups d’usuaris, etc. aquest típus d’eines van genials. De fet, altres firewalls més coneguts com el Checkpoint fa segles que disposen de funcions com aquestes.

Si voleu donar un cop d’ull a la plana wiki on ho he trobat: Aliases.

Google sync: GNOME Evolution + Gmail/GCalendar/GContacts + Windows Mobile

2009/02/12 3 Comments

Reading time: 2 – 4 minutes

La meva il·lusió quan vaig tenir l’HTC Kaiser (o la Cruise) era tenir-les sincronitzades amb l’Evolution. Al cap de poc temps van començar a posar-se de moda eines com el GCalendar i el Gmail va començar a oferir funcions de POP3 i IMAP cosa que el van fer molt més atractiu. Obviament tenir el correu, contactes i l’agenda completament sincronitzats amb aquests tres elements ja era tot un somni i vaig estar provant i plantejant montar combinacions realment costoses per tal de aconseguir això que comento. Però cap de les combinacions em donava un grau de confiança suficient ja que les sincronitzacions bidireccionals de tot plegat deixaven molt que desitjar. Com sempre passa amb Linux aquest tipus de coses sempre van amb retard.

Finalment aquesta setmana he posat en marxa la trilogia i de moment n’estic molt content del resultats. Anem a pams:

GNOME Evolution 2.24.2 finalment incorpora funcions que permeten:
- Usar l’agenda de contactes del GMail de forma nativa i tenir-la en còpia en local per quan treballem sense connexió a internet.
- Treballar amb un canal del calendari connectat contra GCalendar i sincronitzar-se periodicament de forma transparent. Com en el cas de l’agenda també permet tenir el canal en còpia per quan estem offline.
- Pel tema correu ja no hi havia problema perquè sempre he usat IMAP i a través de Vodafone Push Mail rebo el mateix correu que veig al Evolution al Telèfon i a la compte de GMail. El que de moment no he resolt és que es vegin les carpetes que no són ‘inbox’, però això és més un problema de mandra que no de la tecnologia.
Google Mail, Address Book i Calendar des de fa uns dies disponsen d’un servei de sincronització amb compatibilitat per Windows Mobile, així doncs, només m’ha calgut seguir les instruccions que hi havia a la web de Google Sync i a funcionar.
Windows Mobile, escencialment el que diu Google Sync és que afegit un nou servidor Exchange contra el que farem les configuracions i gràcies a la connexió de Vodafone Mail Push puc connectar a aquest servei amb la mateixa tarifa plana de correu de 15€/mes. Realment genial, perquè tinc els 3 calendaris, agenda i correu sincronitzats per un preu increible.

Com veieu tècnicament la cosa no té cap mèrit per la meva part, i amb uns pocs minuts ho he tingut tot funcionant. De fet, he invertit molt més temps en fer recerca durant tot aquest temps que no pas en configurar aquest sincronització que comento. Per cert, com a nota fríbola afegir que, sense fer cap extra es sincronitzen perfectament els accents en qualsevol dels dispositius!

GreenSQL: protecció contra SQL injection

2009/01/20 No Comments

Reading time: 1 – 2 minutes

Gràcies a l’Aitor descubreixo el GreenSQL, una aplicació en forma de dimoni que fa funcions de reverse proxy entre les aplicacions que usen MySQL i el servidor de MySQL. Després de revisar la pàgina web, una presentació i veure una demostració del seu panell de control he de dir que l’eina té molt bona pinta. El seu mètode de funcionament ens pot portar a alguns mals de caps ja que fins que les whitelist no tenen suficient informació de com funcionen les nostres aplicacions alguns falsos positius en els seus anàlisis ens poden fer tornar una mica bojos. Malgrat això en alguns entorns crec que l’eina pot ser molt útil. El que no he sabut trobar per enlloc és un benchmark de quin és el rendiment d’aquest proxy ja que per entorns de molta càrrega crec que podria convertir-se en un coll d’ampolla. Finalment una altre informació que no he sabut trobar és on guarda la seva base de dades d’informació??? ja que el volum d’aquesta pot ser molt gran i seria curiós saber si ho fa també sobre MySQL o sobre fitxers de text, tipus sqlite o BerkeleyDB, per exemple.

Arquitectura HA escalable

2009/01/16 2 Comments

Reading time: 2 – 4 minutes

A aquestes altures tots heu sentit a parlar més o menys de AWS. Sota el meu punt de vista són un conjunt de serveis a tenir molt en compte en el futur de les empreses. En entorns que cada cop es basen de forma més forta amb la virtualització i la externalització del hardware amb arquitectures com el SaaS. Doncs bé, si penseu treballar amb AWS hi ha unes eines web de l’empresa Righscale que valen realment la pena, el dolent és que no són lliures i que les has de contractar com un SaaS, amb tot el bo i el dolent que això suposa.

Bé doncs, tot llegint el wiki dels productes de Rightscale he trobat uns gràfics molt clars i representatius de com han de ser les arquitectures HA:

Arquitectures HA escalables sobre AWS:

I l’aplicació d’aquesta teoria sobre un cas real per l’empresa wik.is:

Per altre banda també voldria recomenar un parell de pàgines d’aquest wiki que comentava:

Auto-Scaling setup com el nom ens indica parla de com montar una arquitectura autoescalable amb rightscale i a més també amb alta disponibilitat
EC2 infraestructure s’explica l’anàlisis de com es va solucionar la problemàtica de wik.is amb els productes d’AWS i Rightscale