Bloquear IPs en Windows con IPSec

Hoy vamos a explicar como bloquear IPs o rangos de IPs a nuestro equipo con sistema operativo Windows. Es particularmente útil si tenemos un servidor, ya que evitaremos ataques de denegación de servicio entre otros.

El primer paso es ejecutar la consola de configuración de seguridad local. Desde inicio > ejecutar escribiremos secpol.msc

En la consola seleccionaremos Directivas de seguridad IP en Equipo local. Con el botón derecho en el marco de la derecha, seleccionamos Crear Directiva de seguridad IP

Se abrirá el asistente para directivas de seguridad IP. Ponemos el nombre de la directiva y pulsamos siguiente.

En la siguiente pantalla dejamos marcada "Activar la regla de respuesta por defecto" y pulsamos Siguiente. En la pantalla dejamos activa la opción del protocolo Kerberos y pulsamos siguiente. (es posible que nos muestre un aviso si no formamos parte de un dominio, si lo hace pulsad SI a utilizar esta configuración).

Pulsamos finalizar el asistente y se abre la ventana de propiedades. En ella desmarcamos la casilla "Usar el asistente" y pulsamos "Agregar".

En la ventana "Propiedades de Nueva regla" pulsaremos el botón "Agregar"

Desactivamos el asistente y pulsamos Agregar

En la siguiente pantalla tenemos el meollo de la cuestión:

En el primer desplegable podremos elegir entre varias opciones, entre ellas una dirección IP de origen determinada o toda una subred. En el ejemplo hemos introducido una subred 60.60.0.0 de 16 bits (estamos incluyendo las direcciones desde la 60.60.1.1 a la 60.60.255.255.

En el segundo desplegable seleccionamos "Mi dirección IP" (dado que queremos bloquear el tráfico entrante) y aceptamos. Podemos repetir la operación para incluir tantas direcciones IP como rangos de ellas queramos.

Una vez terminado de introducir las direcciones a bloquear, desde la ventana de propiedades de la nueva regla pulsamos la pestaña "Acción de filtrado" y pulsamos sobre Agregar:

Se abre el asistente, aquí pondremos el nombre de la acción:

Y lo más importante, la acción "Bloquear"

Pulsamos siguiente, seleccionamos la nueva acción y pulsamos aplicar.

Aquí ya hemos creado nuestra regla. Sólo queda asignarla a nuestro equipo para que entre en funcionamiento. Para ello, desde la pantalla de la consola de Configuración de seguridad local hacemos clic con el botón derecho sobre la nueva directiva y seleccionamos "Asignar".

De este modo se bloquearán automáticamente todas las conexiones entrantes del rango seleccionado.

Backup de bases de datos PostgreSQL en línea de comandos

Para los que utilicéis bases de datos PostgreSQL es posible que este post os resulte de utilidad. Los que no lo conozcáis os animo a que le dediquéis un tiempo: actualmente es el gestor de bases de datos orientadas a objetos libre más potente del mercado.

Existen varias formas de hacer un backup de una base de datos PostgreSQL, aunque las más usadas son:

• En entorno gráfico con PgAdmin (software gratuito distribuido junto a PostgreSQL).
• Vía web si tenemos instalado PHPPgAdmin.
• Desde línea de comandos (el caso que nos ocupa).

¿Por qué desde línea de comandos? Si administráis servidores os interesará automatizar la tarea mediante un script, de modo que no tengáis que realizar la copia manualmente cada cierto tiempo. 

En la distribución de PostgreSQL existe un ejecutable llamado pg_dump que nos permite realizar la copia de una base de datos a un archivo. La sintaxis es la siguiente:

• Backup: pg_dump -i -h localhost -p 5432 -U usuario -f archivo.sql NombreBD
• Restore: psql -p 5432 -U usuario -d NombreBD -f archivo.sql

Estas sentencias presuponen un servidor local, el puerto 5432 (que podemos cambiar a nuestra conveniencia) y el resto de parámetros que modificaremos para conectar con nuestra base de datos (usuario, archivo.sql y NombreBD). Sobra decir que el usuario que utilicemos debe tener permisos en el servidor para realizar copias de seguridad y acceder a la base de datos (recomendamos utilizar el usuario postgres).

Si ejecutamos la sentencia de backup nos aparecerá un prompt para que ingresemos manualmente la clave. Para evitarlo y automatizar la tarea hay una alternativa: eliminar el parámetro -p y establecer temporalmente el valor de la variable PGPASSWORD con la clave del usuario que queramos utilizar (no olvidéis volverla a establecer a una cadena vacía una vez lanzada la sentencia en el script):

• Linux: PGPASSWORD=miclave

PGPASSWORD=postgres 

pg_dump -U postgres -h localhost basedatos > /mnt/backup/linuxPgbasedatos.sql

PGPASSWORD=

• Windows: SET PGPASSWORD=miclave

SET PGPASSWORD=miclave

 pg_dump -i -h localhost -p 5432 -U postgres -f c:\backup\windowsPgbasedatos.sql basedatos

SET PGPASSWORD=

Luego ya sólo queda lanzar el script desde el cron (Linux) o el programador de tareas (Windows) y tendremos automatizado el backup de la base de datos.

[Actualizado 06/05/2014]

Si necesitáis transferir el fichero de backup a otro equipo vía FTP no olvidéis establecer el flujo de datos a binario (comando binary de FTP).

Wordpress: problemas con rutas relativas

Si habéis utilizado Wordpress, o sobre todo si habéis migrado un sitio hecho en Wodpress puede que hayáis sufrido el problema de rutas a imágenes, recursos, etc... Es especialmente útil cuando ubicamos Wordpress en un subdirectorio de nuestro dominio (dominio.com/directorio_blog/), ya que tendremos que cambiar todas las rutas).

Tenemos dos soluciones: ponernos a cambiar una a una las rutas dentro de nuestros posts, editar la base de datos con un script de nuestra factura o la más rentable: utilizar una herramienta que haga el trabajo por nosotros.

Search and Replace

Este plugin de Wordpress nos permite realizar búsquedas en nuestra base de datos y reemplazarlas por la cadena que nos interese. Podemos conseguirlo desde la página oficial del desarrollador: http://thedeadone.net/download/search-and-replace-wordpress-plugin/

Una vez descargado el zip lo descomprimimos en la carpeta /wp-content/plugins de nuestro Wordpress, lo activamos desde el panel de control y lo tendremos disponible para su uso desde Herramientas > Search and Replace:

El interfaz es muy sencillo: nos presenta un cuadro de texto para introducir la cadena original, otro para la cadena de reemplazo y sin olvidar marcar el botón de opción que os señalo en rojo pulsáis el botón "Ir a":

Espero que os resulte útil, un saludo

Eliminar claves de Windows con Hiren's Boot

Una de las utilidades más sencillas, potentes y útiles de Hiren's Boot es la herramienta para eliminar claves de cuentas locales de Windows (desde NT 3.5 a Windows 7 pasando por XP, Vista, versiones de 32 y 64 bits...). Si no tenéis el Hiren's Boot leed primero nuestro anterior post sobre su instalación. La herramienta concreta varía de una distribución a otra de Hiren's, en la versión 15.2 se utiliza Offline NT Password & Registry Editor (http://pogostick.net/~pnh/ntpasswd/)

¿Cómo funciona?

Windows almacena la información del usuario (incluidas las claves encriptadas) en un fichero llamado 'sam' que suele ubicarse en \windows\system32\config. Este fichero forma parte del registro y se almacena en binario, pero varios equipos han sido capaces de hacerlo legible para poder manipularlo a nuestra conveniencia.

¿Cómo lo usamos?

Es muy sencillo, seguiremos los siguientes pasos:

1. Arrancamos el equipo desde el CD de Hiren's
2. Entramos en el menú 'Dos Programs'
3. Elegimos la opción 'Password & Registry Tools'
4. Elegimos la opción 'Offline NT Password & Registry Editor'
5. Al abrirse el programa seleccionamos la opción 1 ('Edit user data and passwords')
6. Se muestra una tabla con los usuarios locales, seleccionamos con el enter el usuario por defecto (el administrador) y la opción 1 (Clear -blank- user password)

De este modo habremos eliminado la clave del administrador de Windows y al reiniciar el equipo (ya con el Windows de nuestro disco) podremos acceder con el usuario Administrador y SIN CLAVE!

Como podéis ver, la seguridad en las cuentas locales de Windows es ridícula. Si tenéis datos que necesiten preservarse de miradas ajenas es preciso que utilicéis un software de encriptación (instalado ya dentro del sistema operativo). Dedicaremos a esto algún post dentro de poco.

Hiren's Boot: imprescindible

Hiren's Boot es una herramienta casi imprescindible para profesionales en el ámbito de reparación de equipos informáticos. Se trata de un live-cd que recopila una gran cantidad de herramientas fundamentales para reparación de equipos, desde herramientas de recuperación de datos, diagnóstico de hardware, backup de datos y drivers, creación y restauración de imágenes de disco y un largo etcétera.

¿Es legal?

Si bien en sus orígenes recopilaban cualquier software interesante (fuese libre o propietario), la presión de los fabricantes ha surtido efecto y poco a poco se han ido sustituyendo los programas que necesitaban licencia por alternativas libres o abandonware. En la versión actual (15.2 al momento de escribir estas líneas) sólo queda como software propietario algunos programas de Microsoft bajo MS-DOS (checkdisk, cab, etc...) y una mini-imagen de Windows XP de la que hablaremos a continuación.

Podéis descargarlo desde la página oficial o desde múltiples sitios, como www.hirensbootcd.org/download/‎

¿Cómo lo utilizo?

Desde la URL anterior descargaremos un archivo ZIP con una imagen ISO de la distribución y varios archivos para personalizarla y grabarla a un CD. Personalmente prefiero grabar directamente la imagen a un CD utilizando cualquier software de grabación. Es posible (y tremendamente útil) grabar la distribución en un pendrive, dedicaremos un artículo a ello próximamente.

Una vez grabado a un CD podemos utilizarlo con Windows arrancado el menú gráfico (bien desde el autorun, bien ejecutando el archivo directamente):

Desde aquí podemos utilizar directamente cualquiera de las herramientas incluidas en la distribución.

La otra forma (y tal vez la más útil) es arrancar directamente el equipo desde el CD (es un live-cd, contiene un minisistema operativo autoarrancable):

En esta pantalla podéis ver las principales opciones del sistema:

• Arrancar desde nuestro disco duro (con el sistema que tengamos instalado).
• Mini Windows XP: carga una imagen de XP en memoria desde la que podemos utilizar cualquier programa de la distribución y acceder a los datos de nuestro disco duro (si está en buenas condiciones).
• DOS Programs: serie de utilidades sobre MS-DOS (recuperación de datos, MBR, cambio de claves, tests de hardware, creación y restauración de imágenes...)
• Resto de opciones: son configurables y normalmente accesibles desde los anteriores apartados.

Realmente se trata de una herramienta impresionante, merece la pena probarla. Vamos a dedicar varios posts a ella próximamente.