La última vulnerabilidad que ha aparecido en SSL es POODLE un acrónimo para Padding Oracle On Downgraded Legacy Encryption (CVE-2014-3556) que fue nombrada por los investigadores de google que la descubrieron Bodo Möller, Thai Duong, y Krzysztof Kotowicz.

POODLE es una falla en como los navegadores manejan el cifrado, el atacante negocia el cifrado hasta llegar a SSL 3.0, un protocolo viejo y que ha sido abandonado hace mucho pero que aún es soportado, al conseguir esto permite al atacante decifrar información, incluyendo las cookies secretas de sesión, lo que permite hacerse pasar por el usuario.

Esto solo afecta a sitios que usan conexiones seguras con certificados SSL, para verificar si tu sitio es vulnerable puedes ir a este sitio y correr el test:

http://poodlebleed.com/

Para corregir esto en Apache necesitas hacer los siguientes pasos:

1. Actualizar openssl a su última versión

2. Colocar esto en el archivo de configuración de apache para deshabilitar SSL v2 y v3:

SSLProtocol all -SSLv2  -SSLv3

3. Reiniciar tu servidor apache.

Eso es todo después de estos pasos vuelve a correr el test para asegurarte que tu sitio no es vulnerable.

Actualización:

Si además de evitar la vulnerabilidad quieres hacer SSL más seguro en Apache agrega estás otras líneas a tu configuración de Apache:

SSLCipherSuite AES256+EECDH:AES256+EDH
SSLCompression off
SSLHonorCipherOrder On
SSLUseStapling on
SSLStaplingCache "shmcb:/var/run/ocsp(1500000)"
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff

Casi todas requieren Apache >= 2.4 y el módulo de headers activado.

Aquí nos aseguramos de utilizar cifradores seguros, activamos StaplingCache (puedes aparender más aquí) y además nos aseguramos que el navegador siempre utilice HTTPS no importa qué.

Y esta es una gran herramienta para verificar la seguridad y configuración de nuestro SSL:

https://www.ssllabs.com/ssltest/index.html

Espero que les sirva.

samba logoLa nueva versión de Samba 3.4.8 (de la serie 3.4) liberada la semana pasada repara varios agujeros de seguridad incluyendo dos vulnerabilidades de negación de servicio (DoS por sus siglas en inglés).


Samba como muchos de uds saben es el servidor de software libre por excelencia para compartir archivos e impresoras entre redes Linux y MS Windows.

Las vulnerabilidades permitían a los atacantes hacer fallar el servicio smbd remotamente, uno de los problemas era causado por un puntero mal referenciado y el otro por una variable no inicializada.

Las fallas fueron descubiertas por la firma de seguridad Stratsec los cuales revelaron exploits al momento de explicar los detalles de la vulnerabilidad. Es importante que se actualice a la última versión de Samba lo antes posible para evitar ataques, la rama de versiones 3.5 de Samba arregló esta vulnerabilidad también desde la versión 3.5.2.

Más información

Fuente

En Vensign ofrecemos servicios de soporte Linux, Capacitación y migración para PyMES y corporaciones, puede ver nuestros servicios aquí o Contactarnos

Estaremos publicando una serie de artículos con Tips, Sugerencias y opciones para las empresas así que no olviden seguirnos a través de nuestro RSS, Twitter o suscribirte a nuestro Boletín de Noticias

Foto por Lili Vieira de Carvalho bajo Creative Commons

Foto por Lili Vieira de Carvalho bajo Creative Commons

Aquí les dejo el log de la charla les agradezco a todos los que estuvieron presentes y a los que no pudieron asistir este miercoles 24 de junio hay una charla de de LAMP así que los espero por allá.

Log Charla Firewall y Shorewall

El próximo miercoles 10 de junio 17 de junio (disculpen por el cambio se debió a razones de mayor peso) a las 8 pm Venezuela (UTC-4:30) estaré dando una charla acerca de Firewall y Shorewall en Linux en el canal IRC de #ubuntu-ve  están todos invitados a asistir a la charla, donde daré un pequeño tutorial de como funcinan los firewalls en Linux y de como instalar shorewall y configurarlo para tener un Firewall en tu PC.

Los espero allá el canal está en el servidor freenode, si no tienen IRC pueden entrar via web por aquí:

http://java.freenode.net//index.php?channel=ubuntu-ve

Mi nick en el IRC es vensign 😉

Agradezco a la gente de Ubuntu-ve especialmente a ntovar por esta oportunidad y espero verlos por allá, cualquier sugerencia de algún punto específico que quieren que toque pueden dejar su comentario aquí.

Saludos

Olivers

Si quieres recibir notificaciones de cuando se publican nuevos artículos y tutoriales en Vensign por favor subscribete a nuestro boletín RSS.

En esta oportunidad les voy a mostrar como instalar Shorewall que es un potente Firewall (o mejor dicho interfaz para configurar el netfilter) para Linux.

La configuración que voy a presentar es para el caso de una computadora con una sola interfaz de red (es decir una computadora personal que quieras proteger), en otra oportunidad les explicaré como hacer un servidor que sirva de Firewall a una red.

Esta instalación está dirigida a Debian y Ubuntu tanto las versiones de Desktop como de Server.

Empecemos…Continúa leyendo

Samba es un programa Open Source que nos permite compartir archivos e impresoras desde una computadora Linux a PC con MS Windows como si fuera una mas de ella, lo cual es muy util ya que podemos tener un servidor de archivos y de impresión basado en Linux colocado en una red donde se conectan PC con Windows.

La página oficial de Samba la puedes encontrar aquí

En este tutorial veremos como instalar Samba en un PC con Ubuntu o Debian instalado.

Continúa leyendo

Esta es una recopilación de tutoriales sacados de los foros de Smoothwall.

Este tutorial es para las personas que utilizan Windows, por una razón o por otra, o nuevos en Linux y no tiene mucho conocimiento de como copiar y editar archivos en Smoothwall o Linux en general. Además este tutorial ayudará para otros tutoriales que voy a publicar más adelante para hacerle modificaciones al SmoothWall

Voy a suponer que ya tienes configurado un servidor de Smoothwall listo y ya funcionando como lo vimos en los tutoriales de SmoothWall en la parte 1, 2 y 3. Ahora tienes a ese servidor conectado entre Internet (interface RED) y tu red LAN (interface GREEN). Y dentro de tu red LAN tienes conectada una PC con Windows o con Linux o ambas. Como veremos en otros tutoriales a veces es necesario modificar o copiar nuevos archivos en tu servidor de SmoothWall, ya sea para hacer alguna modificación o instalar algún módulo e inclusive para hacer un backup vía remota.

Continúa leyendo

SSH es un protocolo y el nombre del programa que lo implementa, que sirve para acceder de forma segura a máquinas remotas a través de una red, permitíendonos ejecutar comandos en la máquina remota e inclusive correr programas gráficos a través del Servidor X.

En este artículo veremos como SSH permite además de la conexión a otras máquinas, copiar datos de forma segura (tanto archivos como simular sesiones FTP seguras), gestionar claves RSA para no escribir claves al conectar a las máquinas y pasar los datos de cualquier otra aplicación por un canal seguro mediante SSH.

Continúa leyendo

Bueno por fin llegamos a la tercera y última parte de la instalación y configuración de SmoothWall, ya vimos en la parte 1 que es SmoothWall los requerimientos de instalación y como obtenerlo, en la parte 2 vimos la primera parte de la instalación y cómo seleccionar nuestra tarjeta de red local.

Muy bien ahora sigamos con la instalación…
Continúa leyendo

En la parte 1 de esta serie de artículos dimos una breve introducción de los requerimientos para la instalación del Smoothwall.

Ahora que ya tenemos la imagen del Smoothwall grabada en un CD y la computadora lista vamos a proceder con la instalación.

Continúa leyendo

Desde hace tiempo ya, existe un proyecto open source llamado Smoothwall que permite instalar en una computadora un firewall, servidor de internet, router, servidor proxy y muchas otras cosas más en un solo paquete fácil de configurar.

Smoothwall viene como una distribución compacta de linux por lo que no hay necesidad de instalar el sistema operativo aparte, además después de instalado todas las tareas administrativas se realizan desde una interfaz web desde cualquier computadora conectada al servidor o desde una conexión remota segura a través de VPN.

Continúa leyendo