El Camello, el León y el niño. O la evolución del perro al lobo » Networking

WipFW Script Generator V1 Beta

javcasta — Tue, 29 Nov 2011 14:45:47 +0000

Nuevo Post: WipFW Script Generator V1.Beta - http://t.co/m5fo8DR7

29/11/2011 14:47 via MobileLitteBird ReplyRetweetFavorite

Javier Castañón

WipFW Script Generator V1 Beta.

Descarga WipFWScriptGenerator.

Esta utilidad ( WipFW Script Generator ) la he implementado con C# 4.0, en el IDE SharpDevelop 4.1, para .Net 4.0 client profile. Y la he probado en un Windows 7 ultimate SP1 con WipFW 0.5.5b en una LAN stub

Su función es generar un batch script para configurar el firewall WipFW, en un host o máquina de una red stub, es decir que solo conoce una ruta de último recurso (un Gateway) para salir a Inet.

El script generado es simple, no contempla NAT ni redirección de puertos, ya que esta enfocado a configurar el cortafuegos WipFW a modo de “personal firewall” (a grosso modo: capar/permitir redes, hosts, dominios y capar/permitir puertos tcp, udp) para una maquina que no haga funciones router y sea la típica maquina cliente en una típica LAN.)

La utilidad detecta las NICs del host y sus parámetros TCP/IPv4 (IPv4, mascara, dns, gw y proxy si lo hubiera), y se elegiria en un comboBox, mediante la MAC, la NIC con salida a Inet. Tambien se puede elegir la opción “interfaz ppp / modem 3G / …” donde se parametrizaria “a mano” (siempre se podran editar los parametros a mano, idenpendientemente de los valores que obtengan).

Una vez elegida la NIC por su Mac y completado sus parametros tcp/ip, se clikaria el boton OK para validar si estan todos los parametros necesarios, y si lo estuviesen, apareceria el mensaje “parametriza script“, donde el siguiente paso seria acceder al panel de configuración de WipFW, que se encuentra abajo y donde procederiamos a configurar cada pestaña.

Por defecto he marcado o habilitado y desmarcado o deshabilitado los checkBox de las reglas que me parece que son necesarias para optimizar la securización de la maquina con WipFW.

Los comoBox de cada regla permiten definir si la regla va a:

allow – permitir
allow log – permitir y escribir en el log
deny – denegar
deny log – denegar y escribir en el log
drop – descartar sin envio de icmp destination port unrechable
drop log – descartar sin envio de icmp destination port unrechable y escribir en el log

En la pestaña redes, se puede definir las reglas para redes como multicast (224.0.0.0/3), link-local (169.254.0.0/16), y las redes privadas y bogon (a marcar en un checkedListBox ), tambien se puede editar el fichero de la Lista Negra, donde se pueden incluir IPs de host ( 80.59.69.239) o de red ( 80.59.69.0/24 ) o dominios ( www.malware.com ) que se van a bloquear su acceso tanto de salida ( out ) como de entrada ( in )

En la pestaña puertos, podras editar los puertos a permitir o capar ya sean tcp o udp de entrada y salida

Para el usuario no avanzado, tan solo con elegir la nic con salida a Inet y dejar casi por defecto las opciones de la utilidad, tendra un batch script (ultima pestaña SCRIPT) muy funcional, donde solo se permitiria por defecto las consultas DNS a sus servidores DNS, el cliente ssh (tcp22), la navegación WEB (tcp80,tcp443), el correo (smtp, pop3, imap, …) y ser accesible via terminal server o remote desktop protocol (tcp3389)…

En la pestaña proxy, credenciales, IPv6, se podrá dar permisos o capar el proxy:port, definir las credenciales (usuario:contraseña del host) por si se desea ejecutar el script (hacen falta rivilegios de administrador local de la máquina) y dar permiso o capar IPv6.

Tras esto en la pestaña SCRIPT podra ejecutar el script y/o guardarlo o copiarlo al portapapeles. Tan solo es condicion necesaria tener instalado WipFW en la maquina (obvio, pero siempre hay despistados )

En el botón de “Monitorizar Log” he adjuntado otra utilidad, Tail Con C#, que he implementado tanmbien en c#, para monitorizar el log de WipFW

Y voila

El código del MainForm.cs

MainForm.cs

///*
// * Created by SharpDevelop.
// * User: JavCasta - http://javcasta.com/
// * Date: 19/09/2011
// * Time: 11:09
// *
// * To change this template use Tools | Options | Coding | Edit Standard Headers.
// */

using System;
using System.Collections.Generic;
using System.Data;
using System.Diagnostics;
using System.Drawing;
using System.IO;
using System.Management;
using System.Net;
using System.Text.RegularExpressions;
using System.Windows.Forms;

namespace Prueba
{
	/// 
	/// Description of MainForm.
	/// 
	public partial class MainForm : Form
	{
		ManagementClass objMC;
		ManagementObjectCollection objMOC;
		string[] ipaddresses;
		string[] subnets;
		string[] gateways;
		string[] dns;
		string hostname;
		int i = 0;
		public MainForm()
		{
			//
			// The InitializeComponent() call is required for Windows Forms designer support.
			//
			InitializeComponent();

			//
			// TODO: Add constructor code after the InitializeComponent() call.
			//
			// Begin show
			richTextBox1.Text="";
			ListIP();
			// end show
		}
		public void fulldata()
		{
			if (comboBox2.Text!="" && comboBox3.Text!="" && comboBox4.Text!="" && textBox4.Text!="") {
				MessageBox.Show("Parametriza script");
				tabControl1.Enabled=true;
			}
			else {
				MessageBox.Show("Faltan parametros");
				tabControl1.Enabled=false;
			}
		}
		public void ListIP()
		{
			objMC = new ManagementClass("Win32_NetworkAdapterConfiguration");
 			objMOC = objMC.GetInstances();
 			i=0;
			foreach(ManagementObject objMO in objMOC)
			{
          		if(!(bool)objMO["ipEnabled"])
                	 continue;
       			i=i+1; // i = nº de NICs
       			// j = nº de IPs
          		richTextBox1.Text=richTextBox1.Text + "NIC: " + objMO["Caption"] + "," +  objMO["ServiceName"] + "," + objMO["MACAddress"] +"\n";
          		comboBox1.Items.Add(objMO["MACAddress"]);
          		ipaddresses = (string[]) objMO["IPAddress"];
          		subnets = (string[]) objMO["IPSubnet"];
          		gateways = (string[]) objMO["DefaultIPGateway"];
          		dns = (string[]) objMO["DNSServerSearchOrder"];
          		hostname = (String) objMO["DNSHostName"];
          		groupBox1.Text = "Info TCP/IPv4: " + hostname;

          		try
        		{ 

          		richTextBox1.Text=richTextBox1.Text + "Gateway: ";
          		if (gateways != null)
          			foreach(string sGate in gateways) {
          				richTextBox1.Text=richTextBox1.Text + sGate + "\n";
          			}
				else richTextBox1.Text=richTextBox1.Text + "\n";

          		richTextBox1.Text=richTextBox1.Text + "Ip: ";

          		if (ipaddresses != null) {
					foreach(string sIP in ipaddresses) {
          				richTextBox1.Text=richTextBox1.Text + sIP + "\n";
					}
          		}
          		else richTextBox1.Text=richTextBox1.Text + "\n";

				richTextBox1.Text=richTextBox1.Text + "Mascara: ";

				if (subnets != null)
          		foreach(string sNet in subnets)
          			richTextBox1.Text=richTextBox1.Text + sNet + "\n";
				else richTextBox1.Text=richTextBox1.Text + "\n";

				richTextBox1.Text=richTextBox1.Text + "DNS: ";

				if (dns != null)
				foreach(string sDns in dns)
          			richTextBox1.Text=richTextBox1.Text + sDns + ", ";
				else richTextBox1.Text=richTextBox1.Text + "\n";

          		} //fin try
          		catch(Exception ex)
        		{
              	MessageBox.Show("error : " + ex.Message);
        		}
          		richTextBox1.Text=richTextBox1.Text + "\n===================================================\n";
			}
			comboBox1.Items.Add("Interfaz ppp/modem 3G/ ...");
			//proxy
			//ref http://stackoverflow.com/questions/4254351/get-the-uri-from-the-default-web-proxy
			var proxy = HttpWebRequest.GetSystemWebProxy();
			string laurl="http://javcasta.com";
			string myproxy = "";
			string myproxyport = "";
			Uri proxyUri = proxy.GetProxy(new Uri(laurl));
			if (laurl == "http://"+proxyUri.Host.ToString())
			{
				//MessageBox.Show("No hay proxy");
				myproxy = "";
				myproxyport = "";
			}
			else
			{
				myproxy = proxyUri.Host.ToString();
				myproxyport = proxyUri.Port.ToString();
				//MessageBox.Show("Proxy: "+myproxy+" puerto: "+myproxyport);

			}
			textBox6.Text = myproxy;
			textBox7.Text = myproxyport;
			comboBox5.SelectedIndex = 0;
			comboBox7.SelectedIndex = 0;
			comboBox8.SelectedIndex = 0;
			comboBox9.SelectedIndex = 0;
			comboBox10.SelectedIndex = 0;
			comboBox11.SelectedIndex = 0;
			comboBox13.SelectedIndex = 3;
			comboBox15.SelectedIndex = 0;
			comboBox17.SelectedIndex = 0;
			comboBox12.SelectedIndex = 3;
			comboBox14.SelectedIndex = 0;
			comboBox16.SelectedIndex = 0;
			comboBox18.SelectedIndex = 0;
			comboBox19.SelectedIndex = 0;
			comboBox20.SelectedIndex = 0;
			comboBox21.SelectedIndex = 0;
			comboBox26.SelectedIndex = 0;
			comboBox24.SelectedIndex = 0;
			comboBox22.SelectedIndex = 0;
			comboBox23.SelectedIndex = 0;
			comboBox25.SelectedIndex = 0;
			comboBox27.SelectedIndex = 0;
			comboBox28.SelectedIndex = 0;
			comboBox29.SelectedIndex = 0;
			for ( int ele=0; ele < checkedListBox1.Items.Count; ++ele )
  				checkedListBox1.SetItemChecked( ele, true );
			for ( int ele=0; ele < checkedListBox2.Items.Count; ++ele )
  				checkedListBox2.SetItemChecked( ele, true );
			for ( int ele=3; ele < 9  ; ++ele )
  				checkedListBox3.SetItemChecked( ele, true );

	} //fin ListIP

		void ComboBox1SelectedIndexChanged(object sender, EventArgs e)
		{
			//elegir nic
			comboBox2.Items.Clear();
			comboBox3.Items.Clear();
			comboBox4.Items.Clear();
			comboBox2.Text = "";
			comboBox3.Text = "";
			comboBox4.Text = "";
			textBox4.Text ="";
			textBox5.Text ="";
			string consulta="SELECT * FROM Win32_NetworkAdapterConfiguration WHERE IPEnabled = 'TRUE' And MACAddress = '"+
				comboBox1.SelectedItem.ToString()+"' And (SettingID != NULL)";
			//MessageBox.Show(consulta);
			ManagementObjectSearcher query = new ManagementObjectSearcher(consulta);
        	ManagementObjectCollection queryCollection = query.Get();
        	try
        	{
        	foreach( ManagementObject mo in queryCollection )
        	{
        		string[] direcciones = (string[])mo["IPAddress"];
        		if (direcciones != null) {
					foreach(string strIP in direcciones) {
        				comboBox2.Items.Add(strIP);
        				if (comboBox2.Text == "") comboBox2.Text = strIP;
					}
        		}
        		string[] mascaras = (string[])mo["IPSubnet"];
        		if (mascaras != null) {
					foreach(string strMascara in mascaras) {
        				comboBox3.Items.Add(strMascara);
        				if (comboBox3.Text == "") comboBox3.Text = strMascara;
					}
        		}
        		string[] puertaDeEnlace = (string[])mo["DefaultIPGateway"];
        		if (puertaDeEnlace != null) {
					foreach(string strGW in puertaDeEnlace) {
        				comboBox4.Items.Add(strGW);
        				if (comboBox4.Text == "") comboBox4.Text = strGW;
					}
        		}
        		string[] sdns = (string[])mo["DNSServerSearchOrder"];
        		if (sdns != null) {
					foreach(string strdns in sdns) {
        				if (textBox4.Text == "") textBox4.Text=strdns;
        				textBox5.Text = strdns;
					}
        		}
			}
        	}//try
        	catch(Exception ex)
        	{
            	//MessageBox.Show("error : " + ex.Message);
        	}
        	if (comboBox1.Text=="Interfaz ppp/modem 3G/ ...") {
        		comboBox3.Text="255.255.255.255";
        		comboBox4.Text="0.0.0.0";
        		textBox4.Text="208.67.222.222";
        		textBox5.Text="208.67.220.220";
        	}

		} //fin evento combobox

		void ComboBox2SelectedIndexChanged(object sender, EventArgs e)
		{
			try
			{
				comboBox3.SelectedIndex = comboBox2.SelectedIndex;

			}
			catch(Exception ex)
        	{
            	//MessageBox.Show("error : " + ex.Message);
        	}
		}//

		void ComboBox3SelectedIndexChanged(object sender, EventArgs e)
		{
			try
			{
				comboBox2.SelectedIndex = comboBox3.SelectedIndex;
			}
			catch(Exception ex)
        	{
            	//MessageBox.Show("error : " + ex.Message);
        	}
		}

		void CheckBox1CheckedChanged(object sender, EventArgs e)
		{
			if (checkBox1.Checked) {
				textBox6.Enabled = true;
				textBox7.Enabled = true;
				checkBox27.Checked = true;
			}
			else {
				textBox6.Enabled = false;
				textBox7.Enabled = false;
				checkBox27.Checked = false;
			}
		}

		void Button1Click(object sender, EventArgs e)
		{
			Process.Start("TailCsharp2.exe");
			/*
			 * Process p= new Process();
				p.StartInfo.WorkingDirectory = @"C:\whatever";
				p.StartInfo.FileName = @"C:\some.exe";
				p.StartInfo.CreateNoWindow = true;
				p.Start();
				p.WaitForExit();
			 */
		}

		void Button2Click(object sender, EventArgs e)
		{
			//si no existe fichero lo creamos
			if (!File.Exists("table1.txt")) {
				StreamWriter Sw1 = new StreamWriter("table1.txt");
				Sw1.WriteLine("adultpornoxxx.info");
				Sw1.WriteLine("0.0.0.0/8");
				Sw1.WriteLine("5.64.0.0/10");
				Sw1.WriteLine("5.128.0.0/9");
				Sw1.WriteLine("216.252.162.8");
				Sw1.Close();
			}
			Process.Start("table1.txt");

		}

		void Button3Click(object sender, EventArgs e)
		{
			Process.Start("http://www.team-cymru.org/Services/Bogons/fullbogons-ipv4.txt");
		}

		void Button4Click(object sender, EventArgs e)
		{
			Process.Start("http://www.joewein.net/dl/bl/dom-bl-base.txt");
		}

		void Button5Click(object sender, System.EventArgs e)
		{
			//si no existe fichero lo creamos
			if (!File.Exists("portsout.txt")) {
				StreamWriter Sw1 = new StreamWriter("portsout.txt");
				Sw1.WriteLine("# tcp ports out - puertos tcp a los que podrás conectarte");
				Sw1.WriteLine("# ftp");
				Sw1.WriteLine("20");
				Sw1.WriteLine("21");
				Sw1.WriteLine("# ssh");
				Sw1.WriteLine("22");
				Sw1.WriteLine("# telnet");
				Sw1.WriteLine("23");
				Sw1.WriteLine("# smtp");
				Sw1.WriteLine("25");
				Sw1.WriteLine("# http");
				Sw1.WriteLine("80");
				Sw1.WriteLine("# pop3");
				Sw1.WriteLine("110");
				Sw1.WriteLine("# https");
				Sw1.WriteLine("443");
				Sw1.WriteLine("# secureImap");
				Sw1.WriteLine("993");
				Sw1.WriteLine("# Terminal server - remote desktop");
				Sw1.WriteLine("3389");
				Sw1.Close();
				}
			Process.Start("portsout.txt");
		}

		void Button6Click(object sender, System.EventArgs e)
		{
			//si no existe fichero lo creamos
			if (!File.Exists("portsin.txt")) {
				StreamWriter Sw1 = new StreamWriter("portsin.txt");
				Sw1.WriteLine("# tcp ports in - puertos tuyos tcp a los que podrán conectarse");
				Sw1.WriteLine("# Terminal server o Remote desktop for win: tcp3389");
				Sw1.WriteLine("3389");
				Sw1.Close();
				}
			Process.Start("portsin.txt");
		}

		void CheckBox12CheckedChanged(object sender, EventArgs e)
		{
			if (checkBox12.Checked)
			{
			 //checkedListBox5.Enabled = true;
			 button6.Enabled = true;
			 }
			else
			{
			//checkedListBox5.Enabled = false;
			button6.Enabled = false;
			}
		}

		void Button7Click(object sender, EventArgs e)
		{
			fulldata();
		}

		void Button8Click(object sender, EventArgs e)
		{
			Process.Start("http://wipfw.sourceforge.net/");
		}

		void Button9Click(object sender, EventArgs e)
		{
			//si no existe fichero lo creamos
			if (!File.Exists("udpout.txt")) {
				StreamWriter Sw1 = new StreamWriter("udpout.txt");
				Sw1.WriteLine("#No udp Ports out");
				Sw1.WriteLine("# tftp udp69");
				Sw1.WriteLine("69");
				Sw1.Close();
				}
			Process.Start("udpout.txt");
		}

		void Button10Click(object sender, EventArgs e)
		{
			Process.Start("http://www.javcasta.com/2011/07/31/wipfw-un-firewall-freebsd-por-consola-para-windows/");
		}

		void Button11Click(object sender, EventArgs e)
		{
			Process.Start("http://www.javcasta.com/?s=wipfw");
		}

		void TabPage3GotFocus(object sender, EventArgs e)
		{
			//evento foco
			richTextBox2.Select();
			richTextBox2.Text="@echo off\n";
			richTextBox2.Text+="@SETLOCAL ENABLEDELAYEDEXPANSION\n";
			richTextBox2.Text+="REM WipFW 0.5.5b Script Generator V1.Beta - By JavCasta - 2.011\n";
			richTextBox2.Text+="REM http://javcasta.com/\n";
			richTextBox2.Text+="set dns1="+textBox4.Text+"\n";
			richTextBox2.Text+="set dns2="+textBox5.Text+"\n";
			richTextBox2.Text+="set me="+comboBox2.Text+"\n";
			richTextBox2.Text+="set mask="+comboBox3.Text+"\n";
			richTextBox2.Text+="set gw="+comboBox4.Text+"\n";
			if (checkBox1.Checked) {
				if (textBox6.Text!="" && textBox7.Text!="") {
					richTextBox2.Text+="set proxy="+textBox6.Text+"\n";
					richTextBox2.Text+="set proxyport="+textBox7.Text+"\n";
				}
			}
			richTextBox2.Text+="echo Limpiamos (flush) reglas del firewall wipfw.\n";
			richTextBox2.Text+="ipfw -q -f flush\n";
			if (checkBox2.Checked) richTextBox2.Text+="REM count\n"+"ipfw -q add count "+comboBox6.Text+"ip from any to any\n";
			if (checkBox3.Checked) richTextBox2.Text+="REM loopback\n"+"ipfw -q add "+comboBox5.Text+"ip from any to any via lo*\n";
			if (checkBox4.Checked) richTextBox2.Text+="REM debegamos trafico entrante aleatorio con probabilidad >=5%\n"+
				"ipfw -q add prob 0.05 drop ip from any to any in\n";
			if (checkBox5.Checked) richTextBox2.Text+="REM denegamos localhost spoofing\n"+"ipfw -q add drop log ip from any to 127.0.0.0/8 in\n";
			if (checkBox6.Checked) richTextBox2.Text+="ipfw -q add drop log ip from 127.0.0.0/8 to any in\n";
			if (checkBox7.Checked) richTextBox2.Text+="REM denegamos trafico fragmentado\n"+"ipfw -q add drop log all from any to any frag\n";
			if (checkBox20.Checked) {
					richTextBox2.Text+="REM DHCP\n"+"ipfw -q add pass udp from 0.0.0.0 68 to 255.255.255.255 67 out\n"+
						"ipfw -q add pass udp from any 67 to any 68 in\n"+
						"ipfw -q add pass udp from any 67 to 255.255.255.255 68 in\n";
				}
			if (checkBox10.Checked) richTextBox2.Text+="REM ICMP\n"+"ipfw -q add "+comboBox9.Text+"icmp from any to any\n";
			if (checkBox32.Checked) richTextBox2.Text+="REM IPv6\n"+"ipfw -q add "+comboBox29.Text+"ipv6 from any to any\n";
			if (checkBox22.Checked) richTextBox2.Text+="REM Check-State\n"+"ipfw -q add check-state\n";
			if (checkBox23.Checked) richTextBox2.Text+="REM DNS\n"+"ipfw -q add "+comboBox20.Text+"udp from any to %dns1%,%dns2% 53 keep-state\n";
			if (checkBox24.Checked) richTextBox2.Text+="ipfw -q add "+comboBox21.Text+"udp from %dns1%,%dns2% 53 to any keep-state\n";
			if (checkBox14.Checked) richTextBox2.Text+="REM Multicast / IGMP\n"+"ipfw -q add "+comboBox13.Text+"ip from any to 224.0.0.0/3\n";
			if (checkBox14.Checked) richTextBox2.Text+="ipfw -q add "+comboBox12.Text+"ip from 224.0.0.0/3 to any\n";
			if (checkBox16.Checked) richTextBox2.Text+="REM link-local\n"+"ipfw -q add "+comboBox15.Text+"ip from any to 169.254.0.0/16\n";
			if (checkBox15.Checked) richTextBox2.Text+="ipfw -q add "+comboBox14.Text+"ip from 169.254.0.0/16 to any\n";
			//redes privadas y bogon
			string poolnet1="";
			String poolnet2="";
			int countpool = 0;
			foreach(var item in checkedListBox3.CheckedItems){
				Regex ip = new Regex(@"\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\/\d{1,2}\b");
				MatchCollection result = ip.Matches(item.ToString());
				if (countpool < 4) poolnet1+=result[0]+",";
				if (countpool >= 4) poolnet2+=result[0]+",";
				countpool++;
			}
			poolnet1=poolnet1.TrimEnd(',');
			poolnet2=poolnet2.TrimEnd(',');
			//MessageBox.Show(poolnet1);
			if (checkBox18.Checked) {
				richTextBox2.Text+="REM redes privadas y bogon\n"+
					"ipfw -q add "+comboBox17.Text+"ip from any to "+poolnet1+"\n";
				richTextBox2.Text+="ipfw -q add "+comboBox17.Text+"ip from any to "+poolnet2+"\n";
			}
			if (checkBox29.Checked) {
				richTextBox2.Text+="ipfw -q add "+comboBox26.Text+"ip from "+poolnet1+" to any\n";
				richTextBox2.Text+="ipfw -q add "+comboBox26.Text+"ip from "+poolnet2+" to any\n";
			}
			richTextBox2.Text+="REM Lista Negra\n"+"ipfw -q table 1 flush\n";
			richTextBox2.Text+="if exist table1.txt FOR /F \"eol=#\" %%i IN (table1.txt) do ipfw -q table 1 add %%i\n";
			if (checkBox17.Checked) richTextBox2.Text+="if exist table1.txt ipfw -q add "+comboBox16.Text+"ip from \"table(1)\" to any\n";
			if (checkBox19.Checked) richTextBox2.Text+="if exist table1.txt ipfw -q add "+comboBox18.Text+"ip from any to \"table(1)\"\n";
			//no tcp ports out
			String vnoportsout="";
			if (checkBox30.Checked) {
				richTextBox2.Text+="REM denegamos puertos tcp out\n";
				//leemos noportsout.txt
				StreamReader ficheronpo = new StreamReader("noportsout.txt");
				int counternpo = 0;
				string linenpo="#";
				while((linenpo = ficheronpo.ReadLine()) != null){
					if (!linenpo.StartsWith("#")) {
						vnoportsout+=linenpo+",";
						counternpo++;
					}

    				if (counternpo>4) {
    					vnoportsout=vnoportsout.TrimEnd(',');
    					if (vnoportsout!="") richTextBox2.Text+="ipfw -q add "+comboBox27.Text+"tcp from %me% to any "+vnoportsout+"\n";
    					counternpo=0;
    					vnoportsout="";
    				}
				}
				ficheronpo.Close();
				vnoportsout=vnoportsout.TrimEnd(',');
				if (vnoportsout!="") richTextBox2.Text+="ipfw -q add "+comboBox27.Text+"tcp from %me% to any "+vnoportsout+"\n";
			}
			//no tcp ports in
			String vnoportsin="";
			if (checkBox25.Checked) {
				richTextBox2.Text+="REM denegamos puertos tcp in\n";
				//leemos noportsin.txt
				StreamReader ficheronpi = new StreamReader("noportsin.txt");
				int counternpi = 0;
				string linenpi="#";
				while((linenpi = ficheronpi.ReadLine()) != null){
					if (!linenpi.StartsWith("#")) {
						vnoportsin+=linenpi+",";
						counternpi++;
					}

    				if (counternpi>4) {
    					vnoportsin=vnoportsin.TrimEnd(',');
    					if (vnoportsin!="") richTextBox2.Text+="ipfw -q add "+comboBox22.Text+"tcp from any to %me% "+vnoportsin+"\n";
    					counternpi=0;
    					vnoportsin="";
    				}
				}
				ficheronpi.Close();
				vnoportsin=vnoportsin.TrimEnd(',');
				if (vnoportsin!="") richTextBox2.Text+="ipfw -q add "+comboBox22.Text+"tcp from any to %me% "+vnoportsin+"\n";
			}
			//no udp out
			String vnoudpout="";
			if (checkBox26.Checked) {
				richTextBox2.Text+="REM denegamos puertos udp out\n";
				//leemos noudpout.txt
				StreamReader ficheronuo = new StreamReader("noudpout.txt");
				int counternuo = 0;
				string linenuo="#";
				while((linenuo = ficheronuo.ReadLine()) != null){
					if (!linenuo.StartsWith("#")) {
						vnoudpout+=linenuo+",";
						counternuo++;
					}

    				if (counternuo>4) {
    					vnoudpout=vnoudpout.TrimEnd(',');
    					if (vnoudpout!="") richTextBox2.Text+="ipfw -q add "+comboBox23.Text+"udp from %me% to any "+vnoudpout+"\n";
    					counternuo=0;
    					vnoudpout="";
    				}
				}
				ficheronuo.Close();
				vnoudpout=vnoudpout.TrimEnd(',');
				if (vnoudpout!="") richTextBox2.Text+="ipfw -q add "+comboBox23.Text+"udp from %me% to any "+vnoudpout+"\n";
			}
			//noudpin
			String vnoudpin="";
			if (checkBox28.Checked) {
				richTextBox2.Text+="REM denegamos puertos udp in\n";
				//leemos noudpin.txt
				StreamReader ficheronui = new StreamReader("noudpin.txt");
				int counternui = 0;
				string linenui="#";
				while((linenui = ficheronui.ReadLine()) != null){
					if (!linenui.StartsWith("#")) {
						vnoudpin+=linenui+",";
						counternui++;
					}

    				if (counternui>4) {
    					vnoudpin=vnoudpin.TrimEnd(',');
    					if (vnoudpin!="") richTextBox2.Text+="ipfw -q add "+comboBox25.Text+"udp from any to %me% "+vnoudpin+"\n";
    					counternui=0;
    					vnoudpin="";
    				}
				}
				ficheronui.Close();
				vnoudpin=vnoudpin.TrimEnd(',');
				if (vnoudpin!="") richTextBox2.Text+="ipfw -q add "+comboBox25.Text+"udp from any to %me% "+vnoudpin+"\n";
			}
			richTextBox2.Text+="REM si trafico entre %me% y any saltamos a 50000\n";
			richTextBox2.Text+="ipfw -q add skipto 50000 ip from %me% to any\n";
			richTextBox2.Text+="ipfw -q add skipto 50000 ip from any to %me%\n";
			richTextBox2.Text+="REM lo permitido ya ha saltado a 50000, denegamos establecidas\n";
			richTextBox2.Text+="ipfw -q add drop log tcp from any to any established\n";
			richTextBox2.Text+="REM saltamos a 65534 - drop all from any to any\n";
			richTextBox2.Text+="ipfw -q add skipto 65534 ip from any to any\n";
			//established
			richTextBox2.Text+="REM Established y si tcp out\n"+"ipfw -q add 50000 allow tcp from %me% to any established out\n";
			richTextBox2.Text+="ipfw -q add allow tcp from any to %me% established in\n";
			//sitcpout
			string vportsout="";
			if (checkBox11.Checked) {
				//leemos portsout.txt
				StreamReader fichero = new StreamReader("portsout.txt");
				int counter = 0;
				string line="#";
				while((line = fichero.ReadLine()) != null){
					if (!line.StartsWith("#")) {
						vportsout+=line+",";
						counter++;
					}

    				if (counter>4) {
    					vportsout=vportsout.TrimEnd(',');
    					if (vportsout!="") richTextBox2.Text+="ipfw -q add "+comboBox10.Text+"tcp from %me% to any "+vportsout+" setup keep-state\n";
    					counter=0;
    					vportsout="";
    				}
				}
				fichero.Close();
				vportsout=vportsout.TrimEnd(',');
				if (vportsout!="") richTextBox2.Text+="ipfw -q add "+comboBox10.Text+"tcp from %me% to any "+vportsout+" setup keep-state\n";
			}
			//proxy
			if (checkBox27.Checked) richTextBox2.Text+="if defined proxy if defined proxyport ipfw -q add "+comboBox24.Text+"tcp from %me% to %proxy% %proxyport% setup keep-state\n";
			//si tcp ports in
			String vsiportsin="";
			if (checkBox12.Checked) {
				richTextBox2.Text+="REM permitimos puertos tcp in - entrantes\n";
				//leemos portsin.txt
				StreamReader ficherospi = new StreamReader("portsin.txt");
				int counterspi = 0;
				string linespi="#";
				while((linespi = ficherospi.ReadLine()) != null){
					if (!linespi.StartsWith("#")) {
						vsiportsin+=linespi+",";
						counterspi++;
					}

    				if (counterspi>4) {
    					vsiportsin=vsiportsin.TrimEnd(',');
    					if (vsiportsin!="") richTextBox2.Text+="ipfw -q add "+comboBox11.Text+"tcp from any to %me% "+vsiportsin+" setup keep-state\n";
    					counterspi=0;
    					vsiportsin="";
    				}
				}
				ficherospi.Close();
				vsiportsin=vsiportsin.TrimEnd(',');
				if (vsiportsin!="") richTextBox2.Text+="ipfw -q add "+comboBox11.Text+"tcp from any to %me% "+vsiportsin+" setup keep-state\n";
			}
			//si udp in
			String vudpin="";
			if (checkBox31.Checked) {
				richTextBox2.Text+="REM denegamos puertos udp in\n";
				//leemos udpin.txt
				StreamReader ficherosui = new StreamReader("udpin.txt");
				int counterui = 0;
				string linenui="#";
				while((linenui = ficherosui.ReadLine()) != null){
					if (!linenui.StartsWith("#")) {
						vudpin+=linenui+",";
						counterui++;
					}

    				if (counterui>4) {
    					vudpin=vudpin.TrimEnd(',');
    					if (vudpin!="") richTextBox2.Text+="ipfw -q add "+comboBox18.Text+"udp from any to %me% "+vudpin+"\n";
    					counterui=0;
    					vudpin="";
    				}
				}
				ficherosui.Close();
				vudpin=vudpin.TrimEnd(',');
				if (vudpin!="") richTextBox2.Text+="ipfw -q add "+comboBox18.Text+"udp from any to %me% "+vudpin+"\n";
			}
			//si udp out
			String vudpout="";
			if (checkBox21.Checked) {
				richTextBox2.Text+="REM permitimos puertos udp out\n";
				//leemos udpout.txt
				StreamReader ficherosuo = new StreamReader("udpout.txt");
				int counteruo = 0;
				string linenuo="#";
				while((linenuo = ficherosuo.ReadLine()) != null){
					if (!linenuo.StartsWith("#")) {
						vudpout+=linenuo+",";
						counteruo++;
					}

    				if (counteruo>4) {
    					vudpout=vudpout.TrimEnd(',');
    					if (vudpout!="") richTextBox2.Text+="ipfw -q add "+comboBox19.Text+"udp from %me% to %any% "+vudpout+" keep-state\n";
    					counteruo=0;
    					vudpout="";
    				}
				}
				ficherosuo.Close();
				vudpout=vudpout.TrimEnd(',');
				if (vudpout!="") richTextBox2.Text+="ipfw -q add "+comboBox19.Text+"udp from %me% to any "+vudpout+" keep-state\n";
			}
			richTextBox2.Text+="ipfw -q add 65534 drop log all from any to any\n";
			richTextBox2.Text+="pause";

		}

		void Button15Click(object sender, EventArgs e)
		{
			Process.Start("https://secure.wikimedia.org/wikipedia/en/wiki/List_of_IP_protocol_numbers");
		}

		void Button14Click(object sender, EventArgs e)
		{
			//si no existe fichero lo creamos
			if (!File.Exists("noportsout.txt")) {
				StreamWriter Sw1 = new StreamWriter("noportsout.txt");
				Sw1.WriteLine("#No tcp Ports out");
				Sw1.WriteLine("#vnc tcp5800, tcp5900");
				Sw1.WriteLine("5800");
				Sw1.WriteLine("5900");
				Sw1.Close();
				}
			Process.Start("noportsout.txt");
		}

		void Button16Click(object sender, EventArgs e)
		{
			richTextBox2.SelectAll();
			richTextBox2.Copy();
		}

		void Button17Click(object sender, EventArgs e)
		{
			if (!File.Exists("noportsin.txt")) {
				StreamWriter Sw1 = new StreamWriter("noportsin.txt");
				Sw1.WriteLine("# No tcp Ports in - Puertos tuyos tcp a los que no se podran conectar");
				Sw1.WriteLine("21");
				Sw1.WriteLine("23");
				Sw1.WriteLine("25");
				Sw1.WriteLine("80");
				Sw1.WriteLine("443");
				Sw1.WriteLine("162");
				Sw1.WriteLine("169");
				Sw1.Close();
				}
			Process.Start("noportsin.txt");
		}

		void Button12Click(object sender, EventArgs e)
		{
			//ejecutar
			StreamWriter defaultScript = new StreamWriter("MyWipFWScript.cmd");
			defaultScript.Write(richTextBox2.Text);
			defaultScript.Close();
			//string pass = "";
			var pass = new System.Security.SecureString();
			foreach (Char c in maskedTextBox1.Text.ToCharArray()){
				pass.AppendChar(c);
			}
			try {
				Process.Start("MyWipFWScript.cmd",textBox1.Text, pass, "");
			}
			catch(Exception ex) {
				MessageBox.Show("error : " + ex.Message + "\n Revisa en la pestaña anterior, las credenciales de "+textBox1.Text);
			}
			/*
			var psi = new ProcessStartInfo
			{
    			FileName = "MyWipFWScript.cmd",
    			UserName = "administrador",
    			Domain = "",
    			Password = pass,
    			UseShellExecute = false,
    			RedirectStandardOutput = true,
    			RedirectStandardError = true
			};
			Process.Start(psi);
			*/
		}

		void Button13Click(object sender, EventArgs e)
		{
			//guardar MyWipFWScript
			string ahora = DateTime.Now.Day.ToString()+"-"+DateTime.Now.Month.ToString()+"-"+
				DateTime.Now.Year.ToString()+"-"+DateTime.Now.Hour.ToString()+"-"+DateTime.Now.Minute.ToString();
			string script = "MyWipFWScript"+"-"+ahora+".cmd";
			//creamos fichero
			StreamWriter myscript = new StreamWriter(script);
			myscript.Write(richTextBox2.Text);
			myscript.Close();
			MessageBox.Show("Se ha guardado "+script);

		}

		void Button18Click(object sender, EventArgs e)
		{
			//no udp out
			if (!File.Exists("noudpout.txt")) {
				StreamWriter Sw1 = new StreamWriter("noudpout.txt");
				Sw1.WriteLine("# No udp ports out");
				Sw1.WriteLine("161");
				Sw1.Close();
				}
			Process.Start("noudpout.txt");
		}

		void Button20Click(object sender, EventArgs e)
		{
			//si udp in
			if (!File.Exists("udpin.txt")) {
				StreamWriter Sw1 = new StreamWriter("udpin.txt");
				Sw1.WriteLine("# udp ports in");
				Sw1.WriteLine("# tftp69");
				Sw1.WriteLine("#69");
				Sw1.Close();
				}
			Process.Start("udpin.txt");
		}

		void Button19Click(object sender, EventArgs e)
		{
			//no udp in
			if (!File.Exists("noudpin.txt")) {
				StreamWriter Sw1 = new StreamWriter("noudpin.txt");
				Sw1.WriteLine("# no udp ports in");
				Sw1.WriteLine("69");
				Sw1.Close();
				}
			Process.Start("noudpin.txt");
		}

		void Button21Click(object sender, EventArgs e)
		{
			//FAQ
			Process.Start("http://www.javcasta.com/2011/11/29/wipfw-script-generator-v1-beta/");
		}
	}
}

Slik SVN – Subversion para win Y Sqlite3 como alternativa a MySQL en instalación de UMO en Windows

javcasta — Tue, 15 Nov 2011 17:28:08 +0000

Nuevo Post: Slik SVN - Subversion para win Y Sqlite3 como alternativa a MySQL en instalación de UMO en Windows http://t.co/t0UtgQJM

15/11/2011 17:31 via MobileLitteBird ReplyRetweetFavorite

@javcasta

Javier Castañón

Referencias:

Hay ciertas utilidades que no se pueden descargar sus scripts y/o paquetes directamente desde web.
Y hay que hacerlo vía un cliente de subversion.

El cliente svn es muy simple de instalar en linux.
Por ejemplo para Ubuntu, se instala con:

usuario@maquina$sudo apt-get install subversion
usuario@maquina$sudo apt-get install libapache2-svn

En la pagina http://subversion.apache.org/packages.html nos indican que para windows existen:

CollabNet (client only; supported and certified by CollabNet; requires registration)

SlikSVN (32- and 64-bit client MSI; maintained by Bert Huijben, SharpSvn project)

VisualSVN (client and server; supported and maintained by VisualSVN)

WANdisco (32- and 64-bit client and server; supported and certified by WANdisco)

Win32Svn (32-bit client, server and bindings, MSI and ZIPs; maintained by David Darj)

He elegido para probar Skil.

Se descarga y se instala como cualquier paquete msi de win.

Solo instalo el cliente svn (no el servidor)

Ahora instalo UMO via svn.
Y sigo (no al pie de la letra ya que es para un debian) la guía de:

http://www.securityartwork.es/2011/07/13/instalacion-de-umo-0-1b-beta-url-malware-owned/

Abro una shell e instalo umo vía svn:

svn checkout http://umo.googlecode.com/svn/ umo-read-only

Ahora, si lees el README de la carpeta C:\umo-read-only\trunk\safebrowsing

# In this directory safebrowsing python library
http://code.google.com/p/safebrowsing-python/
# Modificaciones sobre la versión
(
Cuando se importa la librería MySQLdb el script backend.py tiene un fallo y es que la D está en mayúsculas.
Hay que dejarlo así:
línea 55: import MySQLDb
línea 63: kwargs['db'] = self.db_name
línea 73: self.connection = MySQLdb.connect(**kwargs)
Con esto ya funciona.
El parche se ha sugerido en el proyecto (issue 11)

Instalo safebrowsing-python-read-only vía svn

svn checkout http://safebrowsing-python.googlecode.com/svn/trunk/ safebrowsing-python-read-only

Y copio el contenido de la carpeta C:\safebrowsing-python-read-only\safebrowsing a C:\umo-read-only\trunk\safebrowsing

copy C:\safebrowsing-python-read-only\safebrowsing\*.* C:\umo-read-only\trunk\safebrowsing\

Y hago las correcciones en C:\umo-read-only\trunk\safebrowsing\backend.py (lineas 55,63,73), pero me da error, asi que pruebo con:

http://code.google.com/p/safebrowsing-python/issues/attachmentText?id=11&aid=110000000&name=backend.py.patch&token=4ace29b27293ed1f22be86e1e156cea8

que proponen como solucion http://code.google.com/p/safebrowsing-python/issues/detail?id=11
Pero me sigue dando error … así que usaré Sqlite3 como bbdd

Ahora si lees el contenido del README en C:\umo-read-only\trunk\xgoogle, ves que hay que instalar xgoogle

Descargo xgoogle.zip de http://www.catonmat.net/blog/python-library-for-google-search/
Y descomprimo el contenido de la carperta xgoogle en C:\umo-read-only\trunk\xgoogle

Obviamente UMO necesita de python (.py) por lo que debes de instalarlo ( http://www.python.org/getit/), si no lo tuvieses.

He usado la version 2.6.6 de python
Es conveniente que definas la variable de entorno %PATH% con el camino a python.

Por ejemplo vía consola:

set path=%path%;C:\Python26

Ahora instalo vía svn pybing (necesario para UMO)

Instalo pybing vía el cliente SlikSvn

svn checkout http://pybing.googlecode.com/svn/trunk/ pybing

Y copio la carpeta C:\pybing\pybing en C:\umo-read-only\trunk\

Obtengo una API de Bing en http://www.bing.com/developers/
Algo parecido a:

674B8C83AB48A2ABEB1553FE313AE1F211DAF559

(ojo, que no es una API Key de Bing real, solo indica como es)

Si no tenes instalado MySQL en win, puedes decsargar el instalador en http://dev.mysql.com/downloads/mirror.php?id=404238

Aunque ya he comentado que usaré Sqlite3 como motor de bbdd

Una vez instalado MySQL, creamos la base de datos safebrowsing y su esquema en MySQL

El script sql para crear el esquema de la bbdd safebrowsing:

#creamos la bbdd safebrowsing
CREATE DATABASE safebrowsing;
#usamos la bbdd safebrowsing
use safebrowsing;
#creamos tablas y esquema - http://code.google.com/p/safebrowsing-python/wiki/SQLSchema
CREATE TABLE black_version(
        version_number varchar(20) not null primary key
);

CREATE TABLE malware_version(
        version_number varchar(20) not null primary key
);

CREATE TABLE url_hashes_table(
	badware_type varchar(1) not null,
	url_hash varchar(32) not null
);

CREATE INDEX url_hash_index on url_hashes_table (url_hash);

#usuario
CREATE USER 'umosb'@'localhost' IDENTIFIED BY 'Contraseña'; 123456
#permisos
GRANT ALL PRIVILEGES ON safebrowsing.* TO 'umosb'@'localhost';
flush privileges;

Como el error con MySQL, no lo he podido subsanar, he decidido usar Sqlite3 como bbdd, por lo que convierto la bbdd de MySQL a Sqlite
Lo hago con el siguiente shell script MySQL2Sqlite3.sh ( vía http://forums.mysql.com/read.php?145,68269,92627 )

./mysqldump.exe -u umosb --password=contraseña --compact --compatible=ansi --default-character-set=binary safebrowsing
 |
grep -v ' KEY "' |
grep -v ' UNIQUE KEY "' | 

perl -e 'local $/;$_=<>;s/,\n\)/\n\)/gs;
 print "begin;\n";print;print "commit;\n"' | 

perl -pe
 '
if (/^(INSERT.+?)\(/) {
$a=$1;
s/\\'\''/'\'\''/g;
s/\\n/\n/g;
s/\),\(/\);\n$a\(/g;
}
' |
 ./sqlite3 safebrowsing.db
# debes descargar el ejecutable de la shell de sqlite3: sqlite3.exe

Que ejecuto bajo MobaXterm con el plugin de perl

Si no deseas convertir la bbdd de MySQL a Sqlite3 y quieres recrear la bbdd safebrowsing visualmente, altamente recomendable la utilidad free Sqlite Browser. Hay versión para win. Sqlite3 no se instala, tan solo se debe de tener un fichero .db con el formato de Sqlite3 y un programa cliente que soporte conexión a ese tipo de fichero

Ahora Obtenemos una API Key safebrowsing de Google en

http://code.google.com/intl/es-ES/apis/safebrowsing/key_signup.html

algo parecido a:

ABQIBBACqCVqfJGA2Vf-CA0wTSsBbhTLLj6Gdx00Kuh7jyEJnQ82anOMNg

Editamos C:\umo-read-only\trunk\safebrowsing\conf.py y parametrizamos

# Inspired from Django’s settings.py
DATABASE_ENGINE = ‘sqlite3′ # Possible values being ‘postgresql’, ‘mysql’, ‘sqlite3′ or ‘memcached’
DATABASE_NAME = ‘c:\camino-a-bbdd-sqlite3\safebrowsing.db’ # Or path to database file if using sqlite3.
DATABASE_USER = ‘umosb’ # Not used with sqlite3.
DATABASE_PASSWORD = ‘Contraseña’ # Not used with sqlite3.
DATABASE_HOST = ‘localhost’ # Set to empty string for localhost. Not used with sqlite3.
DATABASE_PORT = ” # Set to empty string for default. Not used with sqlite3.
DATABASE_IN_MEMORY = True # Copy url_hashes_table to in-memory SQLite DB for Lookups
API_KEY = ‘ABQIBBACqCVqfJGA2Vf-CA0wTSsBbhTLLj6Gdx00Kuh7jyEJnQ82anOMNg’ # API Key provided by Google.

editamos C:\umo-read-only\trunk\umoconfig.py y parametrizamos (bingkey)

skippages = 0
pages = 10
results = 100
googlesleep = 5
user_agent = ‘code.google.com/umo’
bingresults = 400
bingkey = ’674B8C83AB48A2ABEB1553FE313AE1F211DAF559′ #’API Key Bing’
depth = ’1′
malware = ‘umomalware.log’
safebrowsing = ‘True’
updatesafebrowsing = ‘False’
maxtries = 5

Ahora instalo la libreria para python httplib2 ( http://code.google.com/p/httplib2/downloads/detail?name=httplib2-0.7.2.zip&can=2&q= )
Descomprimo httplib2-0.7.2 de httplib2-0.7.2.zip en c:\python266\lib\ e instalo:

c:\python266\lib\httplib2-0.7.2\python setup.py install

Ejecutando UMO:

* Actualizar la base de datos

C:\umo-read-only\trunk\python umo.py –update-safebrowsing

* Prueba de UMO con Crawling:

python umo.py –safebrowsing -H -u ‘http://javcasta.com’ -d 1

* Prueba de UMO vía google:

python umo.py -g -q ‘src=http://www.lizamoon.com/ur.php’

Ya tenemos UMO obtenido vía svn y casi operativo en Windows 7.

Digo casi, ya que ejecutando UMO me ha salido, a veces, un error de “Invalid URL” en query_lookup.py

Pero bueno, esto era solo una prueba de la utilidad, este tipo de problemas se lo dejo a los avezados chicos del python scripting

Y voila

Obtener elementos marcados de un checkedListBox en C#

javcasta — Fri, 11 Nov 2011 09:09:57 +0000

Nuevo Post: Obtener elementos marcados de un checkedListBox en C# http://t.co/Hq0FR1mu

11/11/2011 09:12 via MobileLitteBird ReplyRetweetFavorite

@javcasta

Javier Castañón

Referencia:

http://msdn.microsoft.com/en-us/library/system.windows.forms.checkedlistbox.checkeditems.aspx

Para recorrer u obtener los elementos (Items) marcados o chequeados (chedkedItems) de un CheckedListBox en C#

foreach(var item in checkedListBox1.CheckedItems){
	MessageBox.Show(item.ToString());
}

Por ejemplo, si los elementos de un checkedListBox contienen cadenas con formato de redes IPv4 ( p.e: 192.168.0.0/16 )
Una forma de obtener la primera IP de red de cada elemento del checkedListBox seria:

string poolnet1="";
foreach(var item in checkedListBox1.CheckedItems){
	Regex ip = new Regex(@"\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\/\d{1,2}\b");
	MatchCollection result = ip.Matches(item.ToString());
	poolnet1+=result[0]+",";
	}
poolnet1=poolnet1.TrimEnd(',');

Donde la variable de tipo cadena (string) poolnet1 seria su valor “192.168.0.0/16,192.0.0.0/24“

Y voila

Seguridad – Batch Scripting – Permitir protocolo gre en WipFW 0.5.5.b y Establecer VPN vía consola o vía batch script

javcasta — Sat, 05 Nov 2011 14:04:22 +0000

Seguridad - Batch Scripting - Permitir protocolo gre en WipFW 0.5.5.b y Establecer VPN vía consola o vía batch script http://t.co/h2aY9XEk

05/11/2011 14:05 via MobileLitteBird ReplyRetweetFavorite

@javcasta

Javier Castañón

Referencias:

Escenario: Windows 7 Ultimate SP1

Para establecer una conexión VPN vía consola o vía batch script, de una conexión de red VPN existente. Uso la utilidad rasdial.
El proceso es similar a como lo use para establecer una conexión ppp ( http://www.javcasta.com/2011/10/14/script-bat-cmd-conectar-modem-3g-via-consola-o-via-batch-script/ )

rasdial “Nombre-Conexión-de-red” usuario contraseña /PHONE:Servidor-VPN-o-su-Ip.com

si pones *, en lugar de la contraseña, te pedirá la contraseña por consola.

Lo practico del caso es que una vez tengas definida una conexión de red VPN en el panel conexiones de red, la puedes usar como modelo generico para mediante el modificador /PHONE:dominio-o-ip conectarte a un servidor de VPN a elección.
Al crear una conexión VPN en windows, se configura por defecto para que negocie y detecte automaticamente si va a establcer la VPN mediante:

PPTP
L2TP/IPsec
SSTP
IKEv2

O también puedes indicar que protocolo de tunel para establecer la vpn deseas:

conexion de red vpn > propiedades > seguridad > tipo de vpn

Hay que mencionar que, si usas PPTP debes de no capar en el firewall el puerto tcp1723 entre tu ip wan y la ip del servidor vpn.
A pesar de que este protocolo (PPTP) es inseguro ( http://es.wikipedia.org/wiki/PPTP#Vulnerabilidades_de_PPTP ), se sigue usando bastante …
L2tp, parece que es algo más seguro. Pero tampoco lo suficiente.

Una forma de dar mayor robustez a la seguridad de un tunel vpn mediante pptp o l2tp en un cliente windows, es usar sstp.
Que en definitiva es transportar el tráfico pptp o l2tp a través de SSL, con lo que el tráfico va encriptado de forma robusta y con chequeo de integridad.

Permitir protocolo gre en WipFW 0.5.5.b

Si usas PPTP, deberás permitir el protocolo gre:

GRE es un protocolo de capa 4 o de transporte: Generic Routing Encapsulation, que sirve para establecimiento de tuneles

Si usas IPsec deberá permitir el puerto udp500 en el firewall.

Por ejemplo, para el firewall WipFW 0.5.5b, un batch script que haga lo indicado, seria:

@echo off
REM sstp / IPsec
set mi-ip-wan=80.59.69.239
set servidorVPN=1.2.3.4
set dns=8.8.8.8
REM DNS
ipfw -q add check-state
ipfw -q add allow udp from any to %dns% 53 keep-state
ipfw -q add allow udp from %dns% 53 to any keep-state
REM udp500 - ipsec
ipfw -q add allow udp from %mi-ip-wan% to %servidorVPN% 500
REM gre (P:47), wipfw 0.5.5b no admite usar gre como indicativo del protocolo gre (P:47)
REM las reglas para permitir gre en ipfw de FreeBSD seria:
REM ipfw -q add pass gre from %mi-ip-wan% to %servidorVPN%
REM ipfw -q add pass gre from %servidorVPN% to %mi-ip-wan%
REM Esto anterior,da error en WipFW 0.5.5b, por lo que una solución
REM es permitir todo el trafico entre tu host y el servidor vpn
REM suponiendo que sea un servidor vpn confiable (corporativo) ... : - )
ipfw -q add allow all from %mi-ip-wan% to %servidorVPN%
ipfw -q add allow all from %servidorVPN% to %mi-ip-wan%
REM pptp (tcp1723) tunel entre mi-ip-wan y servidorVPN (tras las reglas allow all, esto sobraria ...)
ipfw -q add allow tcp from %mi-ip-wan% to %servidorVPN% 1723
ipfw -q add allow tcp from %servidorVPN% 1723 to %mi-ip-wan%
REM established - navegación web vía tunel
ipfw -q add allow tcp from %mi-ip-vpn% to any established
REM tcp80,443 navegacion web solo para la vpn
ipfw -q add allow tcp from %mi-ip-vpn% to any 80,443 setup

Preparativos previos:

Vamos a centro de redes y recursos compartidos > Configurar una nueva conexión de red

Conectarse a un área de trabajo

Como no disponemos de una conexión existente, creamos una nueva conexión

Usaremos nuestra conexión a internet para conectarnos a la VPN

definimos la dirección del servidorVPN, ya sea su dominio o su ip

usuario, contraseña y si queremos que la recuerde

Vamos a conexiones de red y opciones en propiedades de la conexión de red VPN creada

desmarcamos mostrar progreso, pedir usuario:contraseña ya que lodefiniremos vía consola o script

Ejecutamos por consola:

rasdial “Nombre-Conexión-de-red” usuario * /PHONE:Servidor-VPN-o-su-Ip

Y comprobamos si nos ha asignado ip de una red privada virtual (VPN).

en mi caso observo que me asigna el servidor una IP privada de clase B ( 172.16.0.0/12 )

Un ejemplo de script:

conectaVPN.cmd

@echo off
set conexion=dial-VPN
set usuario=miusuario
set password=micontraseña
set servidorvpn=unservidorVPN.com
echo nos desconectamos de la vpn
rasdial "dial-VPN" /disconnect
echo Nos conectamos a la VPN
rasdial "%conexion%" %usuario% %password% /PHONE:%servidorvpn%
REM comprobamos parametros tcp/ip
@ipconfig /all
pause

Y voila

Bash shell Script – Instalación y configuración del Firewall IPFW3 (Dummynet) en Ubuntu 10.04 LTS

javcasta — Sun, 30 Oct 2011 16:20:12 +0000

Nuevo Post: Bash shell Script – Instalación y configuración del Firewall IPFW3 (Dummynet) en Ubuntu 10.04 LTS http://t.co/5PBf0KJO

30/10/2011 16:23 via MobileLitteBird ReplyRetweetFavorite

@javcasta

Javier Castañón

Referencias:

http://info.iet.unipi.it/~luigi/dummynet/

http://ubuntuforums.org/showthread.php?t=1337587

Un bash shell script que acabo de implementar para la instalación del firewall IPFW3 en Ubuntu server i386 10.04 LTS.

IPFW3toUbu1004.sh

#!/bin/bash
############################################################################
# Bash Script para Instalar Firewall IPFW3 en Ubuntu server 10.04.03 LTS   #
############################################################################
# Ref: guide I saw for implement this script in :       #
# http://ubuntuforums.org/showthread.php?t=1337587      #
# By JavCasta - 2011 - http://javcasta.com/             #
#########################################################
#       Script para ser ejecutado como root             #
#########################################################
#si no existe dir /ipfw3 lo creamos
if ! [ -d /ipfw3 ]; then
	mkdir /ipfw3
fi
# actualizamos
apt-get update
# Añadimos el paquete libncurses development -  ??? linux-source-2.6.17 kernel-package libncurses5-dev fakeroot
apt-get install libncurses5-dev
# añadimos el paquete make, en ubuntu server 10.04 lts ya esta instalado
apt-get install make
#añadimos linux-headers para el sistema especifico, necesario para crear ipfw_mod.ko
apt-get install linux-headers-$(uname -r)

#Dummynet Installation
#vamos a tmp
cd /tmp
#Descarga Source code and tools, 20100319 de Dummynet
wget http://info.iet.unipi.it/~luigi/dummynet/20100319-ipfw3.tgz
#descomprimismos ( destino /tmp/ipfw3 )
tar xvzf 20100319-ipfw3.tgz
cd ipfw3
#make
make
#copiamos ficheros a /ipfw3
cp /tmp/ipfw3/ipfw/ipfw /ipfw3
cp /tmp/ipfw3/dummynet2/ipfw_mod.ko /ipfw3
#copia a /usr/local/sbin
cp /ipfw3/ipfw /usr/local/sbin
#copia ipfw_mod.ko
cp /ipfw3/ipfw_mod.ko /lib/modules/`uname -r`
#ejecutamos depmod para actualizar modulos .dep
depmod
#instalamos el modulo del kernel
modprobe ipfw_mod
# mostrar la regla por defecto de ipfw, si sale: 65535 allow ip from any to any - es que esta correcto
ipfw list
# añadimos ipfw_mod como ultima entrada a /etc/modules
sh -c 'echo "ipfw_mod" >> /etc/modules'
# hay que reiniciar
echo "debes de reniciar > shutdown -r now"
# y eso es todo, ya puedes configurar ipfw con un script o desde shell

El script de configuración MyIpfw3.sh:
solo permite consultas dns a openDNS, icmp y ssh en la lan, y navegación web (tcp80, tcp443).
No olvidar dar permisos de ejecución ( chmod +x MyIpfw3.sh )

MyIpfw3.sh

#! /bin/sh
lan=192.168.42.0/24
dns1=208.67.222.222
dns2=208.67.220.220
trustedhost=192.168.42.1
meinlan=$(/sbin/ifconfig eth0 | grep "inet addr:" | cut -f2 -d:|cut -f1 -d' ')
ipfw -q -f flush
ipfw -q add check-state
ipfw -q add allow ip from any to any via lo*
ipfw -q add prob 0.05 drop ip from any to any in
ipfw -q add drop log ip from any to 127.0.0.0/8 in
ipfw -q add drop log ip from 127.0.0.0/8 to any in
ipfw -q add drop log all from any to any frag
ipfw -q add allow icmp from $lan to $lan
ipfw -q add pass udp from 0.0.0.0 68 to 255.255.255.255 67 out
ipfw -q add pass udp from any 67 to me 68 in
ipfw -q add pass udp from any 67 to 255.255.255.255 68 in
ipfw -q add drop log ip from any to 224.0.0.0/4 in
ipfw -q add drop log ip from 224.0.0.0/4 to any out
ipfw -q add drop log ip from any to 169.254.0.0/16 in
ipfw -q add drop log ip from 169.254.0.0/16 to any out
ipfw -q add drop log ip from any to 172.16.0.0/12
ipfw -q add drop log ip from 172.16.0.0/12 to any
ipfw -q add drop log ip from any to 10.0.0.0/8
ipfw -q add drop log ip from 10.0.0.0/8 to any
ipfw -q add drop log tcp from any to any 135
ipfw -q add drop log udp from any to any 135
ipfw -q add drop log tcp from any to any 137,138,139
ipfw -q add drop log udp from any to any 137,138,139
ipfw -q add allow log tcp from $trustedhost to $meinlan 22
ipfw -q add allow udp from $lan to $dns1,$dns2 53 keep-state
ipfw -q add allow udp from $dns1,$dns2 53 to $lan keep-state
ipfw -q add allow tcp from $lan to any established out
ipfw -q add allow tcp from any to $lan established in
ipfw -q add allow tcp from $meinlan to $lan 22 setup
ipfw -q add allow tcp from $lan to any 80,443 setup
ipfw -q add 65534 drop all from any to any

Y voila

Instalar vía consola IPv6 en Windows XP SP3

javcasta — Sat, 29 Oct 2011 18:58:03 +0000

Nuevo Post: Instalar via consola IPv6 en Windows XP SP3 http://t.co/VHskKAEI

29/10/2011 18:59 via MobileLitteBird ReplyRetweetFavorite

@javcasta

Javier Castañón

Referencias:

Un apunte rápido de como instalar el protocolo IPv6 en Windows XP SP3.

IPv6 se puede instalar vía gui o de forma gráfica añadiendo este protocolo desde las propiedades de una conexión de red.

El procedimiento vía gui se describe en:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_ip_v6_pro_inst.mspx?mfr=true

Pero para batch scripting vía consola es el camino.

Iniciamos una shell cmd como administrador del sistema:

WIN + R > abrir: runas /u:administrador cmd

Instalamos el protocolo IPv6 con la utilidad netsh

netsh interface ipv6 install

tambien se se podria con la utilidad ipv6.exe

ipv6 install

Mostramos las interfaces y sus direccionamiento IPv6

con ipv6.exe

ipv6 -v if [IfIndex]

con netsh

netsh interface ipv6 show address

Y comprobamos si la dirección de loopback de IPv6 ( ::1 ) responde a ping6 (ping para ipv6)

ping6 ::1

Me llama la atención que la versión de ping para IPv6 traiga la opción -s para indicar la dirección de origen desde donde se efectua el ping.
es decir se puede definir desde que dirección IPv6 se envian los paquetes ICMPv6 echo request
Segun pone Microsoft en su doc :

http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_ip_v6_add_utils.mspx?mfr=true

-s specifies the source address in the Echo Request messages. This is required for link-local destination addresses.

Esta opción, -s, (especificar dirección de origen) es un requisito necesario para direcciones de destino de enlace local

Otra opción que difiere del ping para IPv4 es la -r, que hace:

-r “usar encabezado de rutina para comprobar la ruta contraria”

Que segun Microsoft es:

-r specifies that the IPv6 Routing extension header be used to send an Echo Request message to the local host, using the destination as an intermediate destination

Que viene a decir que se use el encabezado de extension del enrutamiento IPv6 para enviar un mensaje Echo request al host local, usando el destino como un destino intermedio (intermediario)

Y por último indicar que tambien existe tracert para IPv6: tracert6, para mostrar el camino o los saltos o routers o nodos entre el origen y el destino

Y voila

Configurar interfaz PPP con modem usb 3G en firewall pfSense 2 release (amd64) bajo VMware

javcasta — Tue, 25 Oct 2011 16:12:09 +0000

Nuevo Post: Configurar interfaz ppp con modem usb 3G en firewall pfSense 2 release (amd64) bajo VMware http://t.co/TNEheXNu

25/10/2011 16:15 via MobileLitteBird ReplyRetweetFavorite

@javcasta

Javier Castañón

Escenario:

- VMware® Player 4.0.0 build-471780 en anfitrion Windows 7 Ultimate SP1
- Maquina virtual corriendo pfSense 2.0 release (amd64) con 3 nics
- - WAN: NIC 1 en modo bridge a interfaz WAN del anfitrion
- - LAN: NIC 2 en modo NAT para LAN virtual entre anfitrion y huesped
- - OPT1: NIC 3 en modo NAT para asignar al interfaz ppp del modem usb 3G

Preparativos previos:

- Añadir si no se tenia ya, la interfaz OPT1 o nic en modo NAT a la maquina virtual en VMware
- Añadir si no lo tenia a la maquina virtual un USB Controller.

- Una vez iniciada la maquina, conectar el modem usb 3G desde VMware Player

- Asignamos interfaces en pfSense y direccionamientos (esto es trivial y no lo explico en este post)
- Desde la GUI via browser de pfSense vamos a la interfaz OPT1: interfaces > OPT1

Habilitamos la interfaz y la definimos tipo PPP. Y en PPP configuration parametrizamos PPP segun sea nuestro ISP.
Habilitamos bloquear redes bogon, pero no redes privadas, ya que, por ejemplo mi isp usa direccionamiento privado para el Gateway de la conexion ppp ( 10.x.x.x )
Y elegimos el puerto del modem (Modem port /dev/cuaU0.x )

En Advanced PPP ( Click here to edit PPP configuration. ) podemos configurar a fondo la conexion PPP, como por ejemplo el PIN de la SIM del modem usb 3G.
Otra opcion interesante es habilitar dial-on-demand si quieres que cada vez que haya trafico se active la conexión PPP .. al gusto

Como se supone que el firewall/Router pfSense ya tiene salida a Inet por el interfaz WAN, y estamos añadiendo otra ruta con salida a Inet (por lo tanto otro Gateway, con lo que estamosen un escenario Multi-WAN), deberemos configurar en System > Routing > Groups, un grupo de gateways tal que se definan las prioridades de los Gateways ante eventos de conectividad (perdida de paquetes, latencia alta, etc)

Es importante definir en la reglas del firewall, en Advanced features, que el Gateway sea el grupo creado y no un Gateway determinado, si queremos que el firewall/router haga balanceo de carga entre las interfaces WAN y OPT1 ante perdidas de conectividad o latencia alta en uno de los interfaces

Si no usas en la configuracion ppp la opción Dial-on-demand (marcado por demanda o petición) puedes conectar/desconectar el interfaz OPT1 manualmente:

Satus > Interfaces > Opt1 > connect / disconnect

Otra opcion que he marcado es, en System: Advanced: Miscellaneous > Load Balancing > Allow default gateway switching

“If the link where the default gateway resides fails switch the default gateway to another available one.”

Es decir que se supone que si el enlace del Gateway por defecto falla, se conmuta (cambia) a otro Gateway disponible.

Hay muchos más detalles, pero son de orden menor y se resuelven según cada escenario.

Y voila

Script bat, cmd – Conectar modem 3G vía consola o vía batch script

javcasta — Fri, 14 Oct 2011 09:53:05 +0000

Nuevo Post: Script bat, cmd – Conectar modem 3G vía consola o vía batch script http://t.co/MlQ1NjK3

14/10/2011 09:58 via MobileLitteBird ReplyRetweetFavorite

@javcasta

Javier Castañón

Referencias:

Un script cmd para establecer conexión del modem 3g y obtener su ip dinámica mediante rasdial, que proporciona marcado desatendido.:

@echo off
REM desconectamos
rasdial "ICON225" /disconnect
REM conectamos
echo iniciamos el marcador de la conexion del modem 3G
rasdial "ICON225"
REM sabiendo el rango de IPs que nuestro ISP nos asigna, p.e: 80.59.0.0/16
REM obtenemos la IP dinamica que nos han asignado
@ipconfig | findstr 80.59 > %tmp%\mewan3g.txt
for /F "tokens=4,5,6,7 delims=. " %%i in (%tmp%\mewan3g.txt) do set mewan3g=%%i.%%j.%%k.%%l
ECHO ip OBTENIDA VIA 3G: %mewan3g%
pause

Preperativos previos:

Escenario:

Windows = Windows Ultimate SP1
Modem 3g = GlobeTrotter HSxPA
ISP = Orange España (Usuario: CLIENTE, contraseña: AMENA, nºtelefono: *99#, IMPORTANTE: desactivar PIM de la sim del modem (esto se hace trivialmente con cualquier movil))

* Lo primero es instalar el driver del modem 3g (esto es obvio y no es el objeto de este post ).
Una vez se tenga instalado el driver:

Si no tienes configurado el “dialer” o marcador de acceso telefónico para el modem 3G:
- Lo primero es conectar el modem a tu PC.
Abrimos desde el Panel de control el centro de redes y recursos compartidos y clikar en:

Configurar una nueva conexión de red

Configurar una conexión de acceso telefónico

Se define el Nº de teléfono a marcar, el USUARIO y la CONTRASEÑA. Y el nombre de la conexión: ICON225

Se establecerá la conexión

Si todo ha ido bien, se verá algo así:

Y te pedirán que ubiques la nueva red (hogar, trabajo, pública. Donde pública es la que windows dota de mayor seguridad)

Ahora en Panel de control\Redes e Internet\Conexiones de red, deberá aparecer el icono del “dialer” o marcador del modem, al que he llamado ICON225.
Selecciono ICON225, Botón derecho y clicko en propiedades

En opciones desmarcamos: Mostrar el progreso al conectar, Pedir el nombre y contraseña, pedir el nº de telefono.
Este paso es importate si deseamos poder establecer marcados desde consola o batch script (bat, cmd)

Ahora ya podemos establecer las conexiones del modem 3G ya sea por consola o por batch script (bat, cmd).

* De forma interactiva con el usuario:

Desde consola, ejecutar rasphone, y podremos elegir el marcador que deseemos

c:\> rasphone

para un batch script , conviene usar

start /WAIT rasphone

De esta manera, el script detendrá el flujo de ejecución (opción /wait del start) hasta que la conexión se haya establecido

* De forma desatendida:

Desde consola, ejecutar

Nos aseguramos que el modem este desconectado

c:\> rasdial “ICON225″ /disconnect

Establecemos la conexión

c:\> rasdial “ICON225″

Y voila

Tip WipFW – Permitir DHCP

javcasta — Thu, 13 Oct 2011 10:42:10 +0000

Nuevo Post: Tip WipFW – Permitir DHCP http://t.co/LJvHo08a

13/10/2011 10:46 via MobileLitteBird ReplyRetweetFavorite

@javcasta

Javier Castañón

Referencias:

Un post rápido, para recordar las reglas que permiten a un host con cliente dhcp, que pueda obtener la ip y sus parámetros tcp/ip de un servidor dhcp.

ipfw -q add pass udp from 0.0.0.0 68 to 255.255.255.255 67 out
ipfw -q add pass udp from any 67 to me 68 in
ipfw -q add pass udp from any 67 to 255.255.255.255 68 in

Estas reglas, se pueden incluir en un batch scrip (bat, cmd) e irian casi al principio de todas las demás y posteriores a las referentes a localhost (127.0.0.1). Ver referencias

Y voila

Batch Scripting – Dig for Win Y solución al error “configuración en paralelo no es correcta”

javcasta — Thu, 06 Oct 2011 13:22:31 +0000

Nuevo Post: Batch Scripting - Dig for Win Y solución al error "configuración en paralelo no es correcta" http://t.co/oRArimSx

06/10/2011 13:23 via MobileLitteBird ReplyRetweetFavorite

@javcasta

Javier Castañón

Referencias:

BIND, el servidor de DNS , tiene su versión para Windows, y por lo tanto trae, entre otras, su estupenda utilidad Dig en su versión win.
BIND ya va por la versión 9.8.1. lanzada el 31/08/2011.

Para bajarse BIND 9.8.1 para Win :

Una vez lo hayas bajado, descomprimes y extraes el contenido a la carpeta que desees: por ejemplo x:\BIND\BIND9.8.1

Pruebo dig.exe en un W7 Ultimate de 32bits, desde linea de comandos. Y me sale el mensaje de error:

X:\BIND\BIND9.8.1> dig
No se pudo iniciar la aplicación; la configuración en paralelo no es correcta. Consulte el registro de eventos de la aplicación o use la herramienta sxstrace.exe de la línea de comandos para obtener más detalles.

Si consultas el registro de eventos, sale algo tal que:

Error al generar el contexto de activación para “X:\BIND\BIND9.8.1\rndc.exe”.
No se encontró el ensamblado dependiente Microsoft.VC80.CRT,processorArchitecture=”x86″,publicKeyToken=”1fc8b3b9a1e18e3b”,type=”win32″,version=”8.0.50727.6195″.
Use sxstrace.exe para obtener un diagnóstico detallado.

Según nos cuenta Microsoft http://support.microsoft.com/kb/948619/es :
Una posible solución es bajarte e instalar o reinstalar, Microsoft Visual C++ 2005 SP1 Redistributable Package (x86):

vcredist_x86.exe: Microsoft Visual C++ 2005 SP1 Redistributable Package (x86)
http://www.microsoft.com/downloads/es-es/details.aspx?familyid=200B2FD9-AE1A-4A14-984D-389C36F85647&displaylang=es

Pero el error persiste. …

Y al final tras probar otros caminos, como siempre la solución la trae el propio instalador de BIND9:

Solución:
Ejecutar el instalador de BIN9 BINDInstall.exe como Tools Only (solo herramientas se instalarán). Tan simpe como eso

En la instalación que realice, el path a las utilidades (entre ellas dig), es %systemroot%\system32\dns\bin\

Ahora ya puedo hablar de dig en Windows:

Dig es las siglas de Domain Information Groper, una utilidad de linea de comando que sirve como cliente para efectuar “DNS queries” o peticiones de resolución de nombres de dominio para cualquier registro DNS deseado.
Es similar al nslookup, pero para mi gusto más versatil y más potente para Batch scripting.

Según la wikipedia: http://en.wikipedia.org/wiki/Domain_Information_Groper

Domain Information Groper (dig) is a network administration command-line tool for querying Domain Name System (DNS) name servers for any desired DNS records.

¿Que se puede hacer con Dig?, por ejemplo un script que consulte a http://www.team-cymru.org/Services/Bogons/dns.html si una ip pertenece a una red bogon:

consultaBogon.cmd

@echo off
set camino=%systemroot%\System32\dns\bin
echo introduce IP a consultar:
set /p ipori=
set ip=%ipori%
%camino%\arpaname.exe %ip% | findstr ARPA > %TMP%\arpaIP.tmp
for /F "tokens=1,2,3,4 delims=. " %%i in (%TMP%\arpaIP.tmp) do set ip=%%i.%%j.%%k.%%l.bogons.cymru.com
%camino%\dig +short %ip% > %TMP%\resultadoDIG.tmp
for /F "tokens=1,2,3,4 delims=. " %%i in (%TMP%\resultadoDIG.tmp) do set ip=%%i.%%j.%%k.%%l
if "%ip%"=="127.0.0.2" echo %ipori% SI pertenece a una red Bogon
if NOT "%ip%"=="127.0.0.2" echo %ipori% NO es de una red Bogon
pause

Y voila

IPConfig con C# – Get TCP/IP config with C# – Obtener configuración TCP/IP con C#

javcasta — Wed, 05 Oct 2011 16:40:10 +0000

Nuevo Post: IPConfig con C# - Get TCP/IP config with C# - Obtener configuración TCP/IP con C# http://t.co/WBE31v4E

05/10/2011 16:40 via MobileLitteBird ReplyRetweetFavorite

@javcasta

Javier Castañón

Referencias: WMI & C#

Un divertimento en C# creado con Sharpdevelop, para obtener las NICs y sus parámetros TCP/IP de la maquina local.

Un buen ejercicio para practicar C# y la clase System.Management.

El código: MainForm.cs

/*
 * Created by SharpDevelop.
 * User: JavCasta - 2.011 - http://javcasta.com
 * Date: 05/10/2011
 * Time: 17:18
 *
 * To change this template use Tools | Options | Coding | Edit Standard Headers.
 */
using System;
using System.Collections.Generic;
using System.Drawing;
using System.Windows.Forms;
using System.Management;

namespace IPConfigCSharp
{
	/// 
	/// Description of MainForm.
	/// 
	public partial class MainForm : Form
	{
		public MainForm()
		{
			//
			// The InitializeComponent() call is required for Windows Forms designer support.
			//
			InitializeComponent();

			// begin
			ManagementClass objMC;
			ManagementObjectCollection objMOC;
			string[] ipaddresses;
			string[] subnets;
			string[] gateways;
			string[] dns;
			string hostname;
			int i = 0;
			objMC = new ManagementClass("Win32_NetworkAdapterConfiguration");
 			objMOC = objMC.GetInstances();
			foreach(ManagementObject objMO in objMOC)
			{
          		if(!(bool)objMO["ipEnabled"])
                	 continue;
       			i=i+1; // i = nº de NICs
          		//comboBox6.Items.Add(objMO["Caption"]);
          		ipaddresses = (string[]) objMO["IPAddress"];
          		subnets = (string[]) objMO["IPSubnet"];
          		gateways = (string[]) objMO["DefaultIPGateway"];
          		dns = (string[]) objMO["DNSServerSearchOrder"];
          		hostname = (String) objMO["DNSHostName"];
          		groupBox1.Text = "Info TCP/IPv4: " + hostname;
          		comboBox6.Items.Add(objMO["Caption"]);
			}
			//end

		}

		void ComboBox6SelectedIndexChanged(object sender, EventArgs e)
		{
			//elegir nic
			textBox1.Text = "";
			comboBox2.Items.Clear();
			comboBox3.Items.Clear();
			comboBox4.Items.Clear();
			comboBox5.Items.Clear();
			comboBox2.Text = "";
			comboBox3.Text = "";
			comboBox4.Text = "";
			comboBox5.Text = "";

			string consulta="SELECT * FROM Win32_NetworkAdapterConfiguration WHERE IPEnabled = 'TRUE' And Caption = '"+
				comboBox6.SelectedItem.ToString()+"' And (SettingID != NULL)";

			ManagementObjectSearcher query = new ManagementObjectSearcher(consulta);
        	ManagementObjectCollection queryCollection = query.Get();
        	try
        	{
        	foreach( ManagementObject mo in queryCollection )
        	{

        		string mac = (string)mo["MACAddress"];
        		textBox1.Text = mac;

        		string[] direcciones = (string[])mo["IPAddress"];
        		if (direcciones != null) {
					foreach(string strIP in direcciones) {
        				comboBox2.Items.Add(strIP);
        				if (comboBox2.Text == "") comboBox2.Text = strIP;
					}
        		}
        		string[] mascaras = (string[])mo["IPSubnet"];
        		if (mascaras != null) {
					foreach(string strMascara in mascaras) {
        				comboBox3.Items.Add(strMascara);
        				if (comboBox3.Text == "") comboBox3.Text = strMascara;
					}
        		}
        		string[] puertaDeEnlace = (string[])mo["DefaultIPGateway"];
        		if (puertaDeEnlace != null) {
					foreach(string strGW in puertaDeEnlace) {
        				comboBox4.Items.Add(strGW);
        				if (comboBox4.Text == "") comboBox4.Text = strGW;
					}
        		}
        		string[] sdns = (string[])mo["DNSServerSearchOrder"];
        		if (sdns != null) {
					foreach(string strdns in sdns) {
        				comboBox5.Items.Add(strdns);
        				if (comboBox5.Text == "") comboBox5.Text=strdns;
					}
        		}
			}
        	}//try
        	catch(Exception ex)
        	{
            	MessageBox.Show("error : " + ex.Message);
        	}
		}
	}
}

Y voila

Virtualización: Compartir red entre VirtualBOX y VMware – Bridging a virtual VMware NIC in VirtualBOX

javcasta — Wed, 05 Oct 2011 10:46:32 +0000

Nuevo Post: Virtualización: Compartir red entre VirtualBOX y VMware – Bridging a virtual VMware NIC in VirtualBOX http://t.co/mulGU3Iq

05/10/2011 10:50 via MobileLitteBird ReplyRetweetFavorite

@javcasta

Javier Castañón

Referencias:

Necesitaba que una maquina virtual que corre bajo VirtualBOX estuviera en el mismo segmento de red que otra maquina virtual que corre bajo VMware.

Una primera cosa que probé fue implementar en my router/firewall pfSense un Proxy ARP mediante IP virtual (VIP) del tipo Proxy ARP, que presenta las siguientes características:

http://doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses%3F

1 Can not be used by the firewall itself but can be forwarded

2 Generates Layer2 traffic for the VIP

3 The VIP can be in a different subnet than the real interface’s IP

4 Will not respond to ICMP ping.

1 No las puede usar el firewall por si mismo, pero las puede reenviar
2 Genera trafico de capa 2 para la IP virtual
3 la IP virtual puede estar en una diferente subred que la IP real del interfaz
4 No responden a ping (no hacen ICMP echo reply)

Las caracteríticas 1 y 4, son para mis propositos desventajas y la 2 y 3 claras ventajas.

Un Proxy ARP es según la Wikipedia: http://en.wikipedia.org/wiki/Proxy_ARP

Proxy ARP (Address Resolution Protocol) is a technique by which a device on a given network answers the ARP queries for a network address that is not on that network. The ARP Proxy is aware of the location of the traffic’s destination, and offers its own MAC address in reply, effectively saying, “send it to me, and I’ll get it to where it needs to go.” Serving as an ARP Proxy for another host effectively directs LAN traffic to the Proxy. The “captured” traffic is then typically routed by the Proxy to the intended destination via another interface or via a tunnel.

Un proxy ARP es una técnica por la que un dispositivo de una red responde a las peticiones ARP para una dirección de red que no esta en esa red. Resumiendo, que es un proxy de capa 2 (para el protocolo ARP o de resolución de direcciones de enlace o mac).

En la siguiente página de Cisco, explican muy bien el mecanismo del Proxy ARP:
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094adb.shtml

Como curiosidad, los dispositivos Cisco tienen el Proxy ARP habilitado por defecto, para dehabilitarlo en un interfaz seria con:

Router(config-if)#no ip proxy-arp

Con el Proxy ARP podria conseguir el objetivo de que dos NICs en distintos segmentos de red se comportaran como si estuviesen en el mismo medio conmutado …

Pero al final, tras varias pruebas, la solución más eficaz fue la más simple:

Conseguí Compartir la red entre VirtualBOX y VMware conectando la maquina de VirtualBOX con NIC como adaptador puente a una NIC de VMware.
Y es tan facil como muestra la imagen: donde en las settings de la maquina virtual bajo VirtualBOX configuro una NIC conectada como adaptador puente (bridging) a una nic virtual de VMware

Tras esto la maquina virtual de VirtualBOX pudo usar la red y los recursos de la de la maquina virtual de VMware
Y es que a veces el camino más corto sigue siendo la linea recta …

Y voila

Seguridad: pfSense – Firewall Rules Schedules or time based rules – Reglas basadas en tiempo

javcasta — Tue, 04 Oct 2011 10:24:16 +0000

Nuevo Post: Seguridad: pfSense - Firewall Rules Schedules or time based rules - Reglas basadas en tiempo http://t.co/znFGqAZR

04/10/2011 10:25 via MobileLitteBird ReplyRetweetFavorite

@javcasta

Javier Castañón

Referencias:

En el firewall pfSense, se pueden definir reglas de filtrado basadas en tiempo.
Es decir, que se pueden definir un rango de tiempo (schedules) y aplicar ese rango en una (o varias) regla del firewall.

En su doc ( http://doc.pfsense.org/index.php/Firewall_Rule_Schedules ) nos cuentan sobre este tema:

Firewall rules can be scheduled so that they are only active at certain times of day or on certain specific days or days of the week.
Before you can apply a schedule to the rule, you must create a schedule under Firewall > Schedules. Then, when creating a rule,
pick the defined schedule from the list.
Keep in mind that when the rule is inactive, the rules is not skipped — the opposite action is applied.
If you schedule a block, a pass is assumed at all other times. If you schedule a pass, a block is assumed.
In 2.0 this behavior has been changed, and the schedules rules will instead act as though they do not exist when the scheduled time is not active.

Antes de la versión 2.0, cuando se crea una regla sometida a un rango de tiempo, fuera de ese rango la acción opuesta a esa regla se aplica.
Es decir que si creo una regla que permita el acceso a una red vía el socket tcp22 de 08:00 a 18:00, entonces de 18:01 a 07:59 se aplicaría su contraria, que seria no permitir (block) el acceso a esa red vía tcp22

A partir de la versión 2.0 de pfSense, esto ha cambiado, y cuando se esta fuera del rango de tiempo aplicado a la regla, el firewall se comportará como si esa regla no existiera.

Por lo que a partir de la versión 2.0, si creo una regla que permita el acceso a una red vía tcp22 en el rango de tiempo de 08:00 a 18:00.
Para asegurarme que no se permita fuera de ese rango de tiempo, deberé crear otra regla que deniegue o bloquee el acceso a la red vía tcp22
desde las 18:01 hasta las 07:59.
Aunque esto es relativo, ya que puedo configurar el firewall como un deny o drop por defecto, es decir que aquello que no este permitido esta denegado.
Pero nunca viene mal la redundancia en seguridad

Para crear un schedule o rango de tiempo, voy al menú firewall > schedules, y defino el nombre y el rango de tiempo.

En este ejemplo, uso el rango de 08:00 a 18:00 de lunes a viernes

Ahora podría aplicar ese rango a una regla del firewall, editando la en su apartado advanced features y eligiendo en schedule el rango anteriormente definido

Y voila

Seguridad: pfSense – Reglas de filtrado de Capa de aplicación – deep packet inspection

javcasta — Mon, 03 Oct 2011 17:19:37 +0000

Nuevo Post: Seguridad: pfSense – Reglas de filtrado de Capa de aplicación – deep packet inspection http://t.co/yfa8Jhgi

03/10/2011 17:21 via MobileLitteBird ReplyRetweetFavorite

@javcasta

Javier Castañón

Referencias:

En el firewall pfSense 2.0-Release, se pueden definir reglas de filtrado de capa de aplicación o capa 7.

Según nos cuentan en su doc: http://doc.pfsense.org/index.php/Traffic_Shaping_Guide

Layer 7 filtering or shaping is identifying traffic at layer 7 (Application Layer) of the OSI model.
Instead of shaping/filtering based on the port and source/destination, you are identifying a stream
based on its contents. This is also sometimes called deep packet inspection since it works by looking
into the contents of the packets not just the headers.

pfSense identifica tráfico de capa 7 (capa de aplicación) del modelo OSI.
En lugar de determinar el filtrado basandose en el puerto de origen y destino, se identifica un “stream” (flujo de datos) basandose en su contenido (también llamado inspección profunda de paquete – deep packet inspection).

Este método trabaja observando el contenido de los paquetes y no solo los encabezados (headers)

¿Y si quiero deshabilitar tráfico del tipo citrix, cisco-vpn, ares, bittorrent, vnc, etc, en una red corporativa?. Seria muy ingenuo suponer que alguien que instale un Software, llamemosle no corporativo o no permitido, usara los puertos estandars.

Es decir que si alguien instalara un cliente/servidor VNC no usaria el tcp5800/5900, con lo que mediante una regla de filtrado a esos puertos no bastaria para impedir el uso de un reverse VNC vía tcp80,tcp443.

Y es aqui donde entran en juego las capacidades de deep packet inspection de pfSense.

Vamos al menú Firewall > Traffic Shaper > Layer 7 >Create new l7 rules group (Crer un grupo de reglas de capa 7).

Habilitamos Layer 7 Container, le damos un nombre y descripción y añadimos las reglas, en definitiva los protocolos que deseamos bloquear, en este ejemplo: vnc, ares, bittorrent, ciscovpn y citrix .Con la acción block.
Salvamos (save) y aplicamos cambios.

Ahora creamos una regla del firewall ( menú Firewall > Rules ) para un interfaz determinado (Wan, lan, DMZ, etc)

Donde se define si se permite (pass) o se deniega, el origen ( ip o red – rango de puertos) y el destino (ip o red – rango de puertos) y si se activa el log. Más abajo podemos definir el OS (sistema operativo) de origen del paquete a filtrar que esta permitido

También se puede definir el mecanismo de seguimiento de estado del flujo de datos, normalmente keep-state (para una regla a ciertos proxies conviene synproxy-state)

Y entre otras opciones, al final aparece el apartado Layer 7 (capa 7), donde decidimos si a esta regla le aplicamos el deep packet inspection según el grupo de reglas de capa 7 que elijamos, previamente ya definido (en este ejmplo el grupo de capa 7: My7Rules, anteriormente creado)

Salvamos, aplicamos cambios …

Y voila

Seguridad: pfSense – Bloqueo de sitios web anulando entradas de DNS – Blocking websites with override DNS entries

javcasta — Thu, 29 Sep 2011 20:13:47 +0000

Post: Seguridad: pfSense – Bloqueo de sitios web anulando entradas de DNS – Blocking websites with override DNS entries http://t.co/VHevpqpl

29/09/2011 20:15 via MobileLitteBird ReplyRetweetFavorite

@javcasta

Javier Castañón

Referencia:

http://doc.pfsense.org/index.php/Blocking_websites

En la web de documentación de pfSense , te indican que para bloquear el acceso a una web se puede hacer por distintos métodos:

Usando DNS

Usando reglas del Firewall

Usando el proxy con filtro de contenido Squidguard

Previniendo saltarse el bloqueo por proxy “Prevent Bypassing of Blocking”: con servicios como OpenDNS

La que más me ha gustado, por su sencillez y eficacia ( make it easy ) es la 1: Usando DNS.

Para ello debes tener activo el servicio DNS Forward en pfSense
El servicio DNS Forward hace las funciones de proxy cache para las consultas y resoluciones DNS, por lo que en tus clientes de la LAN deben de apuntar como único servidor de DNS la ip LAN del firewall pfSense
Y por supuesto debes tener configurado uno o dos servidores DNS en tu pfSense.

Para bloquear la web www.google.com:

En la gui de administración de pfSense > Services > DNS Forward

Añades un registro al final (Domain – IP ) que haga que www.google.com apunte a una ip no valida (como por ejemplo 169.254.x.x o 127.0.0.1 o 127.4.5.6)

Aplicas cambios

Y comprobamos si se resuelve www.google.com desde un host de la LAN, por ejemplo desde un win, haciendo un nslookup a www.google.com

Y efectivamente, no resuelve.

Esta tecnica se podria usar en un windows añadiendo entradas incorrectas en el fichero:

%SystemRoot%\System32\drivers\etc\hosts

Por defecto un windows resuelve un dominio o nombre de hosts consultando antes este fichero que haciendo una consulta al servidor dns.
Y de hecho los “bad boys” usan esta sencilla técnica de modificar el fichero hosts para hacer un spoofing de dns y redirigir el trafico del pc de la victima desde una web aparentemente legitima a una falsa …

Y voila