Acceso al servidor anywhere

Siguiendo la línea anywhere, hoy hablamos de cómo administrar un servidor desde cualquier sitio, en especial en aquellos en los que sólo tienes acceso por HTTP/HTTPS/FTP.

Lo lógico es usar SSHv2, pero, en muchos sitios, no puedes “salir” por el puerto 22 y mucho menos por uno aleatorio que le habrás puesto a tu SSH con el que evitas la mayoría de los ataques.

En un principio, pensé en SSL-Explorer, pero tiene un problema, levanta su propio servicio en el puerto 443 (por ejemplo), por lo que no depende de Apache (y no permite hacer un VirtualHost). Sé que con mod_proxy podría solucionarlo, pero me da mucha pereza.

Finalmente, encontré AnyTerm y AjaxTerm (que es el que uso). Cualquiera de estos programas te da una “bash” a través del navegador, levantando un servicio más de red en un puerto dado. El problema es cómo publicarlo, pues, ¿vas a dejar tu bash abierta al mundo (tendrán que adivinar el user/pass)? y también, si el problema es que necesito acceder sólo por el puerto 80 o 443, ¿cómo hacerlo? (y ya he dicho que el mod_proxy me da pereza).

Como en el anterior post, con CGIProxy, ya he creado una capa de seguridad, así pues, a través de él accedo a AjaxTerm, encapsulando la sesión a través de mi proxy SSL, por lo que puedo acceder al servicio que yo le indique.

Por tanto, tengo acceso al servidor desde virtualmente cualquier sitio, por muy chapado que esté.

Advertisements

Sesión fotográfica

A menos de una hora para ir a comer, me piden una foto vestido de romano para el dichoso artículo que me han hecho escribir. Ante la urgencia, incluso me proponen usar la ropa de otra persona, a lo que no accedo, eso sí, usando como excusa que estoy sin afeitar todo guarrete.

Consigo convencerles para ir en un momento a casa, recortarme la barba y ponerme la parte de arriba del traje.

A la vuelta, me están esperando los de marketing para la foto. No se les ocurre nada mejor que sacar un logo corporativo que abundan por los pasillos, pero no por cualquier pasillo, sino por el que pasa todo el mundo para ir al comedor y ya es la una (avalancha para ingerir alimentos).

De vaqueros, con zapatos de senderismo (estos días llueve…), camisa, corbata y americana… de traca. Todo el mundo intrigado mirando por qué hacen tantas fotos (cerca de 10). Espero que al menos me den el número de la revista, porque después de tanta vejación, no es para menos.

Navegación anywhere

¿Harto de estar detrás de un proxy?

¿Cansado del abuso de los filtros de contenidos?

¿Temeroso de lo que tu jefe vea en tus logs de navegación?

¿Odias dormir en incómodas camas plegables?… ups!, eso es otro anuncio….

Para todo ello, CGIProxy es tu solución (¡gracias Esteban!). Para ello, debes configurar un Apache y tener este CGI basadp en Perl. Para mejorar la seguridad y, SOBRE TODO, el salto del proxy corporativo, debes usar SSL, pues accediendo por HTTPS, lo único que veremos en el proxy es un método CONNECT a tu Apache, nada más. También, es MUY IMPORTANTE, que el acceso sea mediante usuario/password (como mínimo), de lo contrario, tendrás un proxy abierto al mundo.

Ya sabemos cómo eludir el proxy, ¿y los filtros de contenidos?. Sencillo, como el acceso es restringido, no deberían ser capaces de categorizar tu sitio, si llegan a ello, lo categorizarán con toda probabilidad como una categoría no “sospechosa”. Si a alguien le interesa en qué saco lo mete Webfilter, no tengo problema en comentarlo, pero no lo publicaré.

Finalmente, ¿qué mejor que comprobar que todo lo que he dicho es cierto?. La prueba del algodón, pasamos a través de un Bluecoat:

start transaction ——————-
CPL Evaluation Trace: transaction ID=XXXXXX
<Proxy>
miss :     condition=xxxx
miss :     client.address=xxxxx
MATCH:     client.address=ESTA ES MI IP
.

.

.

miss :     category=”XXXXXXX”
connection: service.name=HTTP client.address=ESTA ES MI IP proxy.port=8080
time: FECHA y HORA UTC
CONNECT tcp://URL_de_MI_PROXY:443/
User-Agent: UserAgent de mi browser
url.category: CATEGORIA_NO_SOSPECHOSA

stop transaction ——————–

Como se puede ver, sólo se ve el connect al proxy, que es la URL que tengamos. Esto es imporante, pues como la URL que visitamos forma parte de la URL que nos muestra el navegador, siempre queda la duda, que espero haya quedado resuelta.

NOTA: En el caso que el Bluecoat o proxy similar tenga tarjeta aceleradora SSL y hayan pagado la licencia de uso, el túnel SSL es “roto”. En ese caso, tendremos que poner mil ojos en la autoría de los certificados, ya que en caso de ser capaz de entrometerse en la conexión HTTPS, el certificado estará generado por éste.

Ojo al hacer una web…

Ayudando a Alicia con los trabajos de la uni, recopilando información que generalmente está en webs de colegios e instituciones, he llegado a http://www.cplgsfuentes.com

Resulta que permite listar el directorio, y su único html, al cargarlo:

PÁGINA DE PRUEBAS

ESTA SERÁ LA PRUEBA PARA VER SI FUNCIONA O NO EL VÍDEO DE LA LECHE

Parece que está tratando de mostrar un video (flv, de flash) con un reproductor embebido… pero a la vista está que parece no salirle

Vuelva usted mañana…

Estoy tratando de obtener la vida laboral a través de la web de la Seguridad Social, con el flamante certificado de la FNMT, y me dice “Acceso Denegado”… lo curioso es que hace unas tres horas, sí funcionaba.

¿Intervención programadas?, ¿caída de algún equipo?, ¿horario algo más amplio que la ventanilla?. La última opción la padezco desde que iba a la Universidad de Alcalá de Henares, donde sólo se podía acceder a las notas de 8 a 20 horas… ya se sabe que a partir de las 20h, Internet cierra la persiana.

Más famosos

La lista de famosos a los que he visto en persona va creciendo poco a poco.

Hace una semana pude ver a Jaime Peñafiel y hoy, si digo eso de “… si parpadena se lo van a perder…” sabréis a quién me refiero: Antonio Lobato.

También, pero este ya hacía bastante más tiempo, hay un abogado famoso que sale siempre en casos “polémicos” con un bigote muy característico, pero nunca recuerdo el nombre.

Lástima que siempre los vea en “horario laboral” y no pueda pedir un autógrafo, como cuando vi a Parada en el Simo hace unos cuantos años (ganando una apuesta sobre si me atrevía o no).

¿Cómo tener tu MTA en casa y no ser bloqueado en el intento?

Siguiendo al hilo de los post sobre Motion, las imágenes salen de casa a través del correo. En un principio, con una configuración básica de Postfix no había mayor problema.

El problema ha surgido con el tiempo: los ISP y demás se han puesto un poco duros con el spam (se suele decir que en condiciones “normales”, el 97% del tráfico de email que recibe un MTA es Spam), así que, si te ven que envías correo con una IP dinámica (las típicas de cualquier ADSL) te meten en el mismo saco (pagamos justos por pecadores… o mejor dicho, redes botnets y demás “Inter-fauna”).

Para ello, sólo me ha quedado la opción de tener un “relayhost” (o smarthost), de tal modo que no realizaré la entrega de correo directamente al MTA destino, sino que usaré el de Gmail para que él, con mejor reputación que yo (que debo aparecer en todas las RBL’s), envíe el correo.

Para ello, usaré Postfix con el siguiente añadido en el fichero main.cf:

       relayhost = smtp.gmail.com:587
       smtp_use_tls = yes
       smtp_sasl_tls_security_options = $smtp_sasl_security_options
       smtp_sasl_tls_verified_security_options = $smtp_sasl_security_options
       smtp_sasl_auth_enable = yes
       smtp_sasl_password_maps = hash:/etc/postfix/password
       smtp_sasl_security_options =

Y donde el fichero /etc/postfix/password tendrá:

       #cat password
       smtp.gmail.com  CUENTA@GMAIL.COM:PASSWORD

No podemos olvidarnos que ese fichero:

1) Contiene en CLARO el usuario y password de una cuenta gmail (ojo con los permisos que le damos)

2) Tendremos que hacer un postmap para que se convierta en “password.db” (el típico fichero de postfix)

Como supongo que podréis imaginar, ¿todo el correo sale con CUENTA@GMAIL.COM como origen?. Sí pero no, es decir, como YO genero los correo con los scripts de Motion (o lo que me dé la gana), puedo poner el “mail from” que quiera, eso sí, la cuenta origen será la misma…

¡Feliz día de ¿Internet?! (¿qué es eso?)

Hoy, 17 de mayo, es el Día de Internet.

Me hace gracia que lo celebremos en España, pues todavía, hay muchísimos núcleos poblacionales que siguen sin tener ADSL o incluso, teléfono. No estoy hablando de una aldea en mitad de los Monegros, sino de pueblos de Guadalajara (Pioz, donde no llega ni el teléfono), Madrid (zonas de Alcalá de Henares, Torrejón)…

¿Para cuándo la declaración de Internet y la Banda Ancha como Servicio Universal, como el agua, la luz…?, ¿Para cuándo un Internet Rural que no tenga nada que envidiar a sus primos de ciudad (ni en precio, calidad ni velocidad)?

Todavía quedan muchos problemas para poder celebrar el Día de Internet, así pues, me niego a celebrarlo y me aberra que mis impuestos se gasten en fiestas llenas de palmeros adoradores del Gobierno o del pez gordo que la haya organizado, en fiestas donde los orondos gerifaltes se pongan medallas, llenándoseles la boca de palabras vacías y diciendo mentiras sobre el gran desarrollo que tiene España.

¿Cuántos años tendremos que esperar para poder celebrarlo de verdad?