jueves, mayo 26, 2022

Fluence y MyPublicInbox sellan una alianza para sumar sus fuerzas

La agencia de líderes de opinión y Marketing Digital Corporativo Fluence Leaders y la plataforma de comunicación e impacto de perfiles públicos en Internet MyPublicInbox han cerrado un acuerdo de colaboración a través del cual pretenden aunar esfuerzos para dar un gran paso adelante.

Figura 1: Fluence y MyPublicInbox sellan una alianza para sumar sus fuerzas

Beatriz Cerrolaza, CEO de MyPublicInbox comenta habla sobre la colaboración: 

‘Desde la primera reunión con Jorge Branger, CMO de Fluence, nos dimos cuenta de que teníamos muchas cosas en común y las posibles sinergias brotaban conforme avanzaba la conversación. Las dos compañías nos enfocamos en potenciar el impacto de las empresas y perfiles públicos en Internet y será fantástico amplificar nuestros servicios colaborando juntos.’ 

Como parte del acuerdo, Fluence aportará su trabajo como agencia de marketing digital a la plataforma MyPublicInbox para potenciar las oportunidades profesionales de los perfiles públicos en su crecimiento en Internet. Además, Fluence tendrá a MyPublicInbox como plataforma tecnología para potenciar el trabajo de los influencers que representan con todas las herramientas y servicios que tienen a su disposición los Perfiles Públicos en MyPublicInbox.

Jacobo Carmona, CEO de Fluence también valora muy positivamente esta alianza:

 ‘Tenemos la misma filosofía y nuestra forma de hacer se complementa perfectamente con la de MPI. Hoy en día es imprescindible tener presencia Digital y mucho más si eres un perfil de éxito o una compañía. En MyPublicInbox y Fluence creemos firmemente en que esa presencia digital puede optimizarse y enfocarse para que sea una ayuda y fuente de negocio en lugar de una obligación tediosa.’

Amanda Montiel, COO de Fluence considera esta alianza ‘clave para el desarrollo y la expansión de ambas empresas tanto a nivel nacional como internacional. Hoy en día tener una marca personal bien posicionada, visible y sobre todo accesible a través de la plataforma MyPublicInbox es un must.

Figura 2: De izquierda a derecha, Jacobo Carmona, Beatriz Cerrolaza,

Ambas empresas ya trabajan en nuevas estrategias y acciones que les permitan dar un mayor alcance a su colaboración y a sus usuarios.

Saludos,

miércoles, mayo 25, 2022

Próximos eventos para estos días: Ciberestafas, URJC, KickStart de Ciberseguridad y #SouthSummit22

Esta semana, y la que viene, tengo algunas citas en las que voy a participar, por si quieres pasarte por ellas. De algunas ya os he contando hace poco, pero os completo las que quedan y las nuevas de las que aún no os he comentado. Aquí os las dejo.

Figura 1: Próximos eventos para estos días: Ciberestafas,

La primera será la Presentación del libro de Ciberestafas: La historia de nunca acabar" de Juan Carlos Galindo, que publicamos en 0xWord, como ya os conté en este artículo con todos los detalles del libro. En la presentación estaremos el propio Juan Carlos Galindo, el juego Eloy VelascoAlfonso Cebrián - director general de CEDEU -Carmen Mª García, presidenta de la Fundación Woman's WeekSalvador Molina - presidente de MAD FinTech -, Javier Rodrigo que presentará el acto,  y yo para hablar de este mundo. Será el jueves 27 a las 19:00 horas en Madrid, habrá posibilidad de comprar el libro allí, y podrás llevártelo firmado y dedicado.
La segunda de las charlas será el día 31 de Mayo, en el III Congreso Anual de la URJC, donde yo participaré con una charla a las 09:45 para hablar de tecnología y ciberseguridad. Así que espero que si te apetece pasarte por mi querido Móstoles, te apuntes a venir.
La siguiente cita será el Kickstart Profesional de Ciberseguridad que tendrá lugar ya el día 1 de Junio, y que será una sesión de todo el día, con la realización de las pruebas de Singularity Hackers por la mañana, y de la charla conmigo por la tarde. Tienes los detalles de esta jornada en el artículo que os dejé publicado en el blog, y puedes apuntarte en la web del Campus Internacional de Ciberseguridad.

Y después de esto, participaré en el South Summit del día 8 al 10 de Junio , donde daré una charla llamada "Trick or Token" sobre Web3, y participaré en un debate, y alguna cosa más haré por allí, que ya que paso, seguro que me hacen trabajar bien.

Figura 5: SouthSummit22

Lo siguiente ya será mi participación en la UAD360 que será los días 10 y 11, donde yo participaré el segundo día, pero...  ya os contaré más de eso en otro artículo.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


martes, mayo 24, 2022

Telefónica Kernel: El compromiso con una visión y la patente internacional WO 2018/024933 A1

En el año 2016, cuando comencé mi trabajo de Chief Data Officer, tenía una misión impuesta con una visión. La misión de hacer de Telefónica una compañía Data-Centric que rompiera los silos de la visión "application centric" de tiempos pasados, y que permitiera construir el futuro de las tecnologías digitales sobre ella. La llamada como Codename: 4º Plataforma. Y no era nada fácil de aterrizar aquella idea en un entorno multinacional como el nuestro.

Figura 1: Telefónica Kernel: El compromiso con una visión y

Hoy en día han pasado ya varios años de trabajar, de hacer que aquel CodeName: 4ª Plataforma se convirtiera en Telefónica Kernel, donde integramos hoy en día todos los datos, productos y servicios digitales. Pero aún recuerdo aquellos días de debate, de plasmar una estrategia táctica para ir dando pasos y conseguir el objetivo. 

Figura 2: El mapa de la 4ª Plataforma para ser Data-Centric

Tuvimos charlas, dibujos, debates, e incluso, plasmamos todo el proceso en un patente que se registró para Telefónica, con la visión de José María Álvarez-Pallete, y el aterrizaje que hicimos en el equipo para ello, que hizo que aparezcamos en la patente internacional W0 2018/024833 A1 mi compañero Antonio Guzmán y yo.
Al final, es un trabajo de Telefónica, pero lo que más me llama la atención, hoy, con la perspectiva de los años, es como de claro que teníamos que construir esa plataforma internamente en Telefónica, cómo debías controlar el Asistente Digital - que finalmente sería AURA -, como la privacidad era clave e importante para nosotros, con la llegada del GDPR, las demandas de Transparencia y Control de Consentimientos de uso de Datos.
Hoy en día, la locura esa de que los datos y el tiempo que dedicas a una plataforma deben tener un valor, y que sonaba a locura, ha sido reemplazado por el Tokenomics y las criptomonedas proof-of-work  minteadas para los usuarios como forma de pagar su tiempo, sus datos, y su aporte de valor a una plataforma, y que nosotros plasmamos en la primera versión de Movistar Tokens, y que seguimos evolucionando.

Figura 5: Sección Generar Tokens en Mi Movistar

Me llama la atención como una visión de transformación de una compañía se llevó tan decididamente, y creo que fue esa decisión la que hizo posible que, con todas las dificultades que conlleva un cambio tan grande, pudiera avanzar y crecer hasta convertirse en nuestro Telefónica Kernel. Una maravilla ser testigo de excepción.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


lunes, mayo 23, 2022

El "leak" del Login en tu Banca Online con tu D.N.I. (NIF) o con tu C.I.F.

Ya he hablado muchas veces de lo que llamamos El "leak" del login, o lo que es lo mismo, cómo saber que una persona tiene una cuenta en un servicio a base de aprovechar los intentos de intentar hacer las tres acciones que se pueden hacer con datos públicos de una persona, es decir, Iniciar Sesión, Crear una cuenta o Recuperar una contraseña, y analizar los mensajes de error.

Figura 1: El "leak" del Login en tu Banca Online con tu D.N.I. (NIF) o con tu C.I.F.

Para iniciar sesión en un servicio, para recuperar la contraseña, y para crear una cuenta, nos van a solicitar datos que normalmente son públicos, como son la dirección de correo electrónico, el usuario, o el número de teléfono. Datos, que en una tarjeta de visita pueden aparecer con mucha facilidad. Con estos datos se puede intentar iniciar sesión en un servicio, se puede intentar recuperar una contraseña, o se puede intentar crear una cuenta. 

Figura 2: Se informa al que introduce el e-mail de si la cuenta existe o no

Si el sitio web en el que estamos probando, tanto al intentar iniciar sesión, al recuperar una contraseña o al intentar crear una cuenta, da un mensaje distinto cuando la dirección de correo electrónico o el número de teléfono existe previamente en el servicio, que cuando no existe, entonces podremos saber con facilidad si esa persona tiene una cuenta en esa plataforma, lo que es un leak de privacidad, como hemos visto en ejemplos varios:
Con todos estos "leaks", es posible capturar el correo electrónico y/o el número de teléfono de una tarjeta de visita y sacar un mapa de los servicios en los que una persona tiene una cuenta, lo que da mucha información de su vida en la red. Con esta premisa, creamos el servicio de Dirty Business Card en nuestro equipo de Ideas Locas.


Figura 3: Demo de Dirty Business Card

Sin embargo, una de las cosas que también se puede extraer información de las entidades bancarias en las que una persona tiene cuenta, no solo por el número de teléfono (como vimos en el caso de Bizum) o la dirección de correo electrónico, lo que facilitaría los ataques de phishing bancario, enviando el correo de phishing del banco correcto a la persona correcta, sino que también se puede hacer por el número de DNI de una persona.

En algunos bancos, para saber si tienes cuenta o no con ellos, y poder activarte la Banca Online, te solicitan el número de DNI, y si tienen el "leak del login", entonces darán un mensaje diferente cuando ese DNI esté en sus sistemas a cuando no esté en sus sistemas, como en este ejemplo que podéis ver aquí, que para poder ver si tienes cuenta se solicita primero el número de DNI.

Figura 5: Activar el acceso a la Banca Online en un banco

Después, si la cuenta no existe, da un mensaje de error en el que invita a hacerse cliente de la entidad bancaria en concreto, como podéis ver en la imagen siguiente.

Figura 6: Ese DNI o tiene Banca Online

Mientras que si tienes una cuenta bancaria asociada a ese número de DNI (o CIF o NIF dependiendo del número que soliciten), entonces saldrá un proceso distinto para comenzar la recuperación de la contraseña.

Figura 7: Ese DNI tiene Banca Online en este Banco -> Leak

Por desgracia, en nuestro país, localizar el número de DNI, teniendo los dos apellidos y el nombre de una persona, no es demasiado complejo encontrar su número de DNI, ya que en el Boletín Oficial del Estado, en entidades públicas, listados de oposiciones, listados de notas, etcétera, se han publicado y se publican por transparencia, lo que no siempre es lo mejor por privacidad y seguridad.

Figura 8: Un poco de Hacking con Buscadores en Google o Bing y con
Nombre y Apellidos de una tarjeta de visita no es difícil dar con el DNI.


Figura 9: Libro de "Cómo protegerse de los peligros en Internet"
de José Carlos Gallego en  0xWord

Así que, si encuentras un "leak del login" en una entidad bancaria, lo suyo es que se lo reportes para que hagan menos "Verbose" el proceso y no sea fácil conocer si una persona ( o una organización ) tiene cuenta en esa entidad o no, ya que se lo ponemos más fácil a los malos, que con mucha información, y un poco de ingeniería social son capaces de hacer estragos en las personas menos informadas, como la banda que desarticuló la Policía. Y nos ayuda a todos a estar más protegidos contra los peligros en Internet.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


domingo, mayo 22, 2022

¿Cuánto acierta tu dirección IP dónde vives o dónde estás? #GPS #Privacidad #GeoIP

En los últimos artículos de "Cómo saber dónde está un contacto de WhatsApp con los Estados" y "Cómo saber dónde vive un contacto de WhatsApp" compartiendo una canción, hablamos de utilizar la dirección IP como forma de localizar una ubicación GPS. Pero, la pregunta, es... ¿mi dirección IP da una ubicación GPS real o no? Pues bien, descúbrelo tú mismo.

Figura 1: ¿Cuánto acierta tu dirección IP dónde vives o dónde estás?

En primer lugar, averiguar tu dirección IP es tan fácil como preguntarle a Google "What is my IP" y te dice rápidamente desde qué dirección IP estás navegando en Internet. Fácil y rápido. 

Figura 2: ¿Saber la dirección IP? Pregúntale a Google

En segundo lugar, comprueba varias bases de datos de GeoIP que, no son todas igual de ajustadas. Hay que tener en cuenta que estas bases de datos se basan en un trabajo de actualización constante de la información de dónde se encuentran las direcciones IP y estas cambian constantemente, así que depende del trabajo que haya detrás de ellas, tendrán más o menos actualizada la información.

También, estas bases de datos se alimentan de información de actualización que dan los usuarios, así que cuanta más comunidad tiene detrás, más ajustada y acertada es la información. En dos pruebas hechas yo en diferentes bases de datos, el resultado ha sido totalmente distinto. 

Figura 4: Ejemplo de IP en una base de GeoIP

MaxMind ha acertado con la ciudad en la que estoy, con mi Código Postal,  y se ha quedado bastante cerca cumpliendo su radio de "accuracy" de 10 Km en mi caso (a bastante menos se ha quedado), y otra ha dado como resultado una ciudad cercana, lo que quiere decir que una de las dos tiene información sin actualizar.


Cambia el resultado un poco.

Estas bases de datos dan, por último, información de GPS, que puedes utilizar para buscar la coordenada en Google y saber cuánto de cerca de dónde estas es esa información GPS. Ten en cuenta que ese es el lugar en le que puede estar el concentrador de comunicación por el que estás saliendo.

Figura 6: En Google Maps pones las coordenadas GPS y te busca la
ubicación y las fotos de Street View. ¿Es tu zona?

¿No ha acertado? No pasa nada, eso quiere decir que esa base de datos no es lo suficientemente fina con los datos, pero puede existir otra que sí que lo sea o que acierte más adelante. ¿Ha quedado cerca? Pues ya sabes, cuando navegas desde esa dirección IP das información que puede indicar dónde estas.

Figura 7: Libro de "Cómo protegerse de los peligros en Internet"
de José Carlos Gallego en  0xWord

Y si es un enlace que te envía alguien por un chat de WhatsApp o de Telegram pues... ya sabes, es un riesgo más que debes evitar, que puede ser peligroso si quieres salvaguardar tu privacidad cuando estás conectado a Internet.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


sábado, mayo 21, 2022

WhatsApp: Cómo saber en qué ubicación se encuentra un contacto de WhatsApp con solo una canción

Hace poco se hablaba en este blog de cómo con los Estados de WhatsApp se pueden utilizar para saber dónde está, en que ubicación GPS, un contacto de WhatsApp. El truco es sencillo, captura la dirección IP desde la que un contacto de WhatsApp hace clic en un enlace publicado en un Estado. La gracia o la debilidad en ese punto es que WhatsApp no avisa de los riesgos de navegar a una dirección web que pueda estar controlada y que pueda capturar la dirección IP y su ubicación y, por otro lado, que cuando se da el registro de accesos a los estados lo da minutado con detalle, algo que no hace, por ejemplo, en las Stories de Instagram.

Figura 1: Cómo saber en qué ubicación se encuentra un
contacto de WhatsApp con solo una canción

Sin embargo, esto no es nada nuevo, y el truco para saber dónde se encuentra ubicada una persona, por ejemplo para saber dónde vive un contacto de WhatsApp, o dónde está e n un momento concreto alguien, se conoce desde hace tiempo haciendo lo mismo, es decir, haciendo que un contacto pinche en un enlace que le envías por el chat y que lleva a un servidor web controlado en el que se captura la dirección IP.

Figura 2: Esquema del ataque para capturar la dirección IP

En este caso tienes que hacer uso de la ingeniería social, y para hacerlo mucho más creíble todo, hemos hecho un ejemplo en donde configuras una dirección de una canción de Spotify que va a ser el gancho. El servidor, va a devolver una previsualización como el que devuelve, por ejemplo, Spotify, y el enlace será de un dominio controlado por ti. 

Figura 3: Libro de Hacking iOS:iPhone & iPad (2ª Edición) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Cuando el usuario habla clic y navegue a nuestro servidor, la página web que controlamos captura la dirección IP y hace un REDIRECT a la URL de Spotify donde se encuentra la canción que hemos usado de gancho, y la víctima podrá escucharla.

Figura 4: La primera URL hace el Preview de la canción porque:
1) Tiene un dominio y 2) no lleva parámetros

Como podéis ver, en la conversación de chat hay dos ejemplos para que podáis entender el comportamiento de WhatsApp. Si la URL tiene un dominio y no una dirección IP y, además, la URL no está parametrizada - lo que podría significar un parámetro de tracking de usuarios únicos, entonces hace la previsualización.

Figura 5: Datos que se pueden sacar de un servicio de GeoIP

Desde el punto de vista técnico es muy sencillo, pero obliga a hacer una URL diferente por cada contacto donde se quiera utilizar. O usar la misma dirección, pero de uno en uno para poder diferenciar quién hizo clic. 

Figura 6: Servicios de GeoIP en Internet

El resultado es el mismo, al final, si el usuario hace clic, se captura la dirección IP, se pasa por un servicio de GeoIP y se saca toda la información de geo-localización de esa dirección. 

Figura 7: El servicio devuelve coordenadas GPS

No siempre es muy ajustada, pero puede llegar a serlo. De pendiendo de la calidad del servicio de GeoIP, tendrás más fina y revisada la ubicación donde se encuentra esa dirección IP. Mañanas os cuento cómo revisar cómo de susceptible es tu dirección IP, para que lo pruebes en casa en un momento.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


viernes, mayo 20, 2022

WhatsApp: Cómo te pueden espiar los horarios 24x7 por WhastApp #privacidad #hacking #WhatsApp

Hace unos años hicimos en el equipo de Ideas Locas un experimento bastante curioso utilizando unas funciones que de la app de Telegram para, utilizando la API que usaba por detrás  ( y ya veremos cómo en WhatsApp), monitorizar la actividad de conexión de una persona a su Telegram, y por tanto saber a qué horas se acostaba - más o menos - y en que momentos estaba online en su aplicación de mensajería de Telegram, como podéis ver en la Figura 2.

Figura 1: WhatsApp: Cómo te pueden espiar los horarios 24x7 por WhastApp 

Esta información, sacada de un plataforma de mensajería, era bastante peligrosa, ya que podrían controlar los horarios de una persona sin que ella lo supiera, solo por el hecho de utilizar un servicio. Fue una prueba de concepto que no publicamos, y que solo contamos en alguna presentación para explicar la problemática. ¿Pero qué pasa con WhatsAPP
En el caso de WhatsApp lo hemos podido realizar de igual forma, pero en lugar de utilizando la API, haciendo un escenario un poco más engorroso. Tan sencillo como montar una imagen de un navegador con una cuenta de WhatsApp con una sesión iniciada de WhatsApp Web. En este navegador, utilizando el mismo Plugin que usamos para hacer WannaSap, el gusano que se distribuía por WhatsApp, hemos monitorizado los estados de Online y Last-Seen en las cabeceras de las conversaciones.

Un extraño te vigila por Last-Seen en WhatsApp

Para que uno extraño, es decir, un número de teléfono de una persona que no tienes en tu agenda pueda monitorizarte los horarios a través de WhatsApp, el atacante debe aprovecharse de una mala configuración de seguridad desde el punto de vista de privacidad, que *NO SÉ NI POR QUÉ EXISTE*. Es decir, creo que el que diseñó los valores de configuración de Last-Seen pensó que todas las opciones posibles eran que "Nadie" viera ese dato, que lo vieran "Solo los contactos", y la otra opción era "Todo el mundo". 

Figura 3: Valores de Last-Seen en WhatsApp

Sí, esas podrían ser tres opciones de configuración, pero desde el punto de vista de este servicio, la opción de "EveryOne" no debería ni existir dentro del universo de posibilidades de configuración. Es decir, en la app de WhatsApp solo se deberían poder configurar "Nobody" y "My Contacts" y ya. Pero si has decidido poner "EveryBody", pues te pueden monitorizar.

Figura 4: Last-Seen en WhatsApp Web de un número que no nos conoce

En esta imagen se puede ver que, desde un terminal con WhatsApp Web se puede ver la última conexión de un número de teléfono que no me tiene en su lista de contactos ni que nunca ha chateado con nosotros, así que automatizando un plugin en Firefox, es posible leer constantemente ese dato desde un VM y alimentar una base de datos con horarios de muestreo y datos de Last-Seen para hacer un Time-Line como el de la figura 2.

Un contacto de WhatsApp te vigila cuanto estás Online (24x7)

La cosa es aún más divertida si es un contacto de tu Agenda, ya que no necesita la opción de EveryOne en Last-Seen, sino que puede tomar ventajas del aviso que da WhatsApp de que estás Online. Así que, con la misma estrategia, con un Plugin de Firefox, hemos probado a monitorizar tres números de contacto buscando el texto online en la barra del chat.

Figura 5: Tus contactos siempre pueden saber cuándo estás Online.
Es una característica de "Engament" que fomenta el uso de WhatsApp

Y por supuesto, se puede hacer un Time-Line igual, marcando en el muestreo - cada 5 segundos - de si estaba online o no ese contacto cuando hemos "clickado" en su chat. La idea es que el plugin va haciendo un recorrido por los chats cada ciertos segundos, y guarda en una base de datos la hora de muestreo y si estaba Online o no. El resto es cruzar lo datos.

Figura 6: Monitorización constante de contactos para hacer un
Time-Line de conexiones de un contacto entre Online y Last-Seen.

Para esto, no hay solución más que saber a quién tienes en tu agenda de contactos, porque siempre va a poder configurarse un servicio como este, tal y como hemos hecho nosotros. Así que, cuidado a quién le das tu número de teléfono que le estás dando tus horarios de vida. Es peligroso. WhatsApp debería dejar que se configurase la opción de "Que no se sepa que estoy Online".

Figura 7: Libro de Hacking iOS:iPhone & iPad (2ª Edición) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.


¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


jueves, mayo 19, 2022

Cómo montar tu (Open) VPN con PFSense de forma sencilla #PyMES #Teletrabajo

La irrupción de la pandemia en nuestras cambió muchas cosas. Una de esas situaciones fue el fortalecimiento del teletrabajo y la necesidad de las empresas a amoldarse a un trabajo remoto debido a las necesidades que todos conocemos y la imposibilidad de poder tener contacto entre nosotros. Todo esto produjo una situación en la que muchas empresas tuvieron que amoldarse y empezar a emplear recursos para poder llevar a cabo el teletrabajo.

Figura 1: Cómo montar tu (Open) VPN con PFSense de forma sencilla

En muchas ocasiones, se cometieron errores, ya que se empezaron a exponer servidores a Internet con todo el riesgo que eso podía conllevar. Las soluciones más factibles, incluso cómodas, sería la instalación de una VPN para una empresa, independientemente del tamaño de ésta. Una forma segura (si todo está bien configurado) de acceder a los recursos internos de la organización y de disponer de una trazabilidad sencilla de quién se conecta y cuando a la organización.

JL. Rambla, ampliado y revisado por Pablo González y Chema Alonso

En el artículo de hoy vamos a mostrar como se puede montar una OpenVPN, la cual es una de las posibilidades que trae PFSense, para implementar una VPN. Si eres una persona que viaja mucho y necesitas conexiones seguras en diferentes ubicaciones puede interesarte este tipo de soluciones. Montar una VPN en tu casa no es algo complejo a día de hoy con algo de conocimiento básico. PFSense simplifica el proceso de creación de la CA, del certificado del servidor, de los usuarios, etcétera.
 
Entorno: Comenzando

El entorno que vamos a suponer en este ejemplo es el siguiente:
  • Disponemos de una solución PFSense.
  • Tenemos una red LAN donde tenemos una serie de máquinas y recursos.
  • Tenemos una red WAN, la cual es Internet.
Lo que vamos a hacer es configurar en PFSense, el cual es el que se encuentra entre esa LAN y esa WAN filtrando el tráfico, es decir, actuando de firewall, para poder implementar la VPN en dicho punto. La herramienta de Package Manager que dispone PFSense permite instalar paquetes y demás funcionalidades que hacen de esta suite all-in-one una buena solución para muchos entornos. Para poder exportar los perfiles de OVPN vamos a hacer uso de la instalación del paquete openvpn-client-export.

Figura 3: Instalación del paquete openvpn-client-export

Ahora vamos a llevar a cabo la instalación del servicio de OpenVPN en PFSense. Nos dirigimos al apartado VPN y seleccionamos OpenVPN. Seleccionamos ahora “Wizards”, el asistente que simplificará el proceso de creación de todo lo necesario.

(Revisada y Ampliada) de Carlos Álvarez y Pablo González en 0xWord

Al acceder a “Wizards” empezamos en el paso 6 del proceso y nos solicita el tipo de autenticación con el que se van a autenticar los usuarios de la VPN. Puede ser una base de datos local de usuarios que mantenga PFSense o podríamos incluso integrarlo con un servidor RADIUS o LDAP. En este ejemplo, usamos la base de datos de usuarios locales.

Figura 5: Configuración de RAS

Al pulsar sobre siguiente llegamos al apartado de generación de CA. Es un apartado importante, ya que posteriormente podremos gestionar revocaciones de certificados de usuarios, entre otras cosas. Generamos la CA para el servidor de VPN, simplemente seleccionamos el tamaño de clave y el nombre que le daremos a la CA. Además, hay que indicar los típicos parámetros de país, ciudad, tiempo de validez, etcétera.

Figura 6: Configuración de la Certification Authority

Damos a siguiente y nos encontramos con la generación del certificado del servidor. Seleccionamos el tamaño de clave y rellenamos los parámetros anteriores (tiempo de vida, país, ciudad, etcétera). Si alguna vez has implementado una OpenVPN a mano con el uso de OpenSSL para generar CA y certificados o con easy-RSA, verás la diferencia al instante, ya que la GUI enmascara muchos pasos manuales que, aunque necesarios, podían ser tediosos.

Figura 7: Configuración del Certificado del Servidor

Ahora nos aparece un gran número de opciones dentro de la configuración del servicio de VPN. Hay que ir analizando cada opción. Opciones como:
  • Puerto: Es recomendable utilizar un puerto alto para montar el servicio, en vez de utilizar el puerto por defecto (1194).
  • Descripción de la VPN: Nombre descriptivo.
  • Tipo de protocolo: Sobre el que la VPN funcionará (UDP o TCP) y sobre que protocolo de red IPv4 o IPv6.
  • Opciones criptográficas: TLS Auth, TLS Key, el tamaño de DH, algoritmos criptográficos que se pueden utilizar, el algoritmo de digest, etcétera.
  • Configuración de red: De esto hablaremos un poco más adelante.
Figura 8: Configuración General de la VPN

Llegados a este punto, nos fijamos en la configuración del túnel, es decir, la configuración de red. El direccionamiento que se otorgará a los clientes, por defecto 10.0.8.0/24, aunque esto se puede personalizar como se puede ver en la imagen. Este direccionamiento podrá tener acceso a la red LAN, si así lo decidimos. Como se puede ver un poco más abajo, tenemos que indicar la red de área local, en este caso la 10.0.0.0/24 y es con la que tendremos visibilidad.

Figura 9: Opciones de Tunneling

Además, podemos configurar los diferentes parámetros de red que los clientes de la VPN recibirán por parte del servidor como, por ejemplo:
  • Direcciones de los servidores DNS (pudiendo ser el propio PFSense el servidor DNS).
  • Dirección del Gateway.
  • Dirección del servidor NTP.
  • Wins Server.
  • Opciones NetBIOS.
Después, nos encontraremos con la posibilidad de crear automáticamente la regla en el firewall para permitir las conexiones a la OpenVPN desde clientes que se encuentren en la interfaz WAN. Además, existe otra opción para crear una regla que permite todo el tráfico desde los clientes a través del túnel.

Figura10: Firewall y OpenVPN

Cuando acabamos el proceso, se nos crea una nueva interfaz en el firewall. Esta interfaz es la de OpenVPN (tendremos LAN, WAN, DMZ si la tuviéramos). En la interfaz de WAN deberíamos ver la regla creada que da acceso a la OpenVPN y el puerto que hemos seleccionado. Mientras que en la interfaz OpenVPN deberíamos ver también una regla que nos permite sacar el tráfico a través del túnel.

Figura 11: Regla del tunel

Una vez finalizado el proceso, vamos con la parte de usuarios. Lo primero que hay que hacer es ir a crear un usuario o los usuarios necesarios. Vamos al apartado System -> User Manager y aquí gestionaremos el alta y baja de los diferentes usuarios. No se ha comentado, pero en el proceso de configuración también se elige cómo se autenticarán los usuarios (contraseña, certificado, contraseña más certificado…). Hemos elegido, contraseña y certificado. 

Damos de alta un nuevo usuario, tendremos que darle un nombre, podemos meterlo en un grupo con privilegios en el firewall o no, y podremos configurarle una contraseña y, además, indicar que debe disponer de un certificado para la conexión con la VPN.

Figura 12: Certificado para la conexión

Bien, ahora que ya tenemos todo listo, nos vamos al apartado de VPN y OpenVPN y vamos a la aplicación que instalamos al principio para exportar perfiles. Veremos una opción que nos permite exportar el perfil en formato OVPN. Este perfil es el que utilizará el usuario concreto para conectarse a la VPN

Figura 13: Conexión VPN funcionando

En cualquier instante se puede revocar el certificado o eliminar el usuario de la base de datos, por lo que el acceso quedará inhabilitado. A continuación, importamos el perfil a un cliente OpenVPN, por ejemplo, en Windows, y vemos como se realiza la conexión por la interfaz WAN. A partir de entonces, tendremos acceso a los recursos de la LAN (que es la red 10.0.0.0/24).

Figura 14: Hacking Windows: "Ataques a sistemas y redes Microsoft"
de Pablo González, Carlos García y Valentín Martín.

Sin duda, PFSense es un All-in-one que proporciona muchas posibilidades y en temas de seguridad no solo se queda con la VPN. Hay que recordar que se puede instalar un IDS, proxy, AV, ciertos elementos que fortifican la infraestructura y desde un punto de vista accesible a muchos. Es importante asegurarse que las configuraciones son realmente seguras.

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Contactar con Pablo González

Entrada destacada

Libros x Tempos: Cómo obtener Tempos gratis todos los días en MyPublicInbox para conseguir los libros de @0xWord firmados y dedicados

Desde hace tiempo pusimos a disposición de todos los usuarios de MyPublicInbox la posibilidad de comprar libros de 0xWord con Tempos . Es ...

Entradas populares