Evadiendo el filtrado VPN en WiFis públicas: fteproxy y obfsproxy

En el artículo anterior hablamos de cómo podemos montar una VPN con nuestra raspberry pi. Sin embargo, a veces esto no resulta tan fácil si el lugar que nos ofrece acceso a Internet no confiable (WiFis publicas en general) decide aplicar filtrado del tráfico de VPN.

Básicamente un filtrado consiste en evitar que los paquetes lleguen a su destino y esto puede conseguirse de diferentes formas:

  • Por un lado, pueden estar filtrando el tráfico que tenga como destino puertos “raros”, como podría ser el puerto 1194 que es el que estamos utilizando en el caso de nuestra VPN. En este caso la forma de evitarlo es sencilla: simplemente tendríamos que cambiar el puerto del servidor VPN a uno de uso común, como el 80, el 443 o incluso el 8080.
  • Por otro, podría estar implementado un filtrado de protocolos, como por ejemplo denegar el tráfico UDP en determinados puertos que habitualmente se utilizan con otros protocolos, como el 80 TCP. La solución en este caso sería cambiar el archivo de configuración de la VPN y establecer que se utilice TCP.

Con este par de sencillos pasos puede evitarse en muchos casos el filtrado de las VPN, pero ¿y si el restaurante, cafetería, aeropuerto u hotel va más allá en el filtrado de nuestro tráfico VPN (que recordemos, es imprescindible para establecer una conexión segura)?

[Read more…]

Montando nuestra VPN

Hoy en día es habitual conectarse desde diferentes lugares mediante los múltiples dispositivos que utilizamos de manera cotidiana: móviles, tablets, relojes, libros electrónicos o demás. Por supuesto, esto implica que nuestros datos están viajando por las conexiones de los propietarios de esas redes, lo que supone un gran riesgo de seguridad. Esto no necesariamente significa que el dueño sea “el malo”, simplemente puede ser negligente administrando su red; nunca se puede saber quién puede estar detrás de una red, por muy “honrado” que sea su propietario.

Con esto me estoy refiriendo en concreto a un enemigo, las redes WiFi; nos conectamos a ellas en cafeterías, parques, plazas, hoteles, casas de amigos… Y claro, siempre puede que haya alguien “pegando la oreja”.

[Read more…]

Cifrando el servidor en seis pasos

Una práctica recomendable cuando se utilizan servidores es cifrar los datos del servidor, especialmente cuando éste se encuentra en un lugar poco protegido o cuya seguridad no controlamos (por ejemplo, la sala de café, el despacho de alguien, un CPD externo, etc.). Esto evita que la información almacenada pueda ser comprometida y expuesta, si alguien roba el equipo o extrae el disco para clonarlo.

Pero (siempre hay un pero), hay un pequeño problema cuando se realiza un cifrado completo mediante LVM y LUKS. Si el servidor necesita ser reiniciado (o falla, que también puede pasar) se necesita que alguien físicamente introduzca la clave de cifrado para arrancar de nuevo. Ni que decir tiene que esto puede ser un problema si no tenemos un 24×7 o acceso físico al servidor (o no queremos compartir la clave de cifrado con el personal 24×7).

[Read more…]

Cómo congelarte el dedo (o cold boot attack)

Este domingo pasado se dieron dos factores interesantes: el primero, una tarde-noche tirando a bastante aburrida y el segundo, que tenía materiales que me habían llegado el sábado. Así que decidí probar algo que había leído. Una técnica de la que había oído hablar mucho pero que no había tenido la oportunidad de probar personalmente: un “cold boot attack”.... Leer Más

Recuerda: utiliza sólo las redes WiFi oficiales

Aprovechando uno de los múltiples eventos de seguridad que se organizan en nuestro país, se me ocurrió hacer un pequeño experimento parecido al que mi compañero Roberto llevó a cabo hace ya un par de años, pero en este caso en un entorno algo más especializado (aunque podía encontrar uno público de todo tipo).

Antes de nada, es necesario decir que los datos recogidos fueron analizados únicamente a título estadístico y no se extrajo ningún tipo de información privada o sensible, y señalar que la organización se encargó de informar por diversos medios a los asistentes de que utilizasen únicamente la WiFi oficial del evento… pero ni por esas.

[Read more…]