co.mments.com cierra

Me toca volver a pasarme a cocomment.

Esto es justo lo que le pasa a mi servidor SSH, cuyos registros de acceso fallidos están rebosando de intentos:

[code]
Apr 23 02:20:52 teroknor sshd[31336]: Invalid user noah from 217.126.56.236
Apr 23 02:20:52 teroknor sshd[31336]: pam_unix(ssh:auth): check pass; user unknown
Apr 23 02:20:52 teroknor sshd[31336]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=236.red-217-126-56.staticip.rima-tde.net
Apr 23 02:20:54 teroknor sshd[31336]: Failed password for invalid user noah from 217.126.56.236 port 17228 ssh2
Apr 23 02:20:56 teroknor sshd[31339]: Invalid user joseph from 217.126.56.236
Apr 23 02:20:56 teroknor sshd[31339]: pam_unix(ssh:auth): check pass; user unknown
Apr 23 02:20:56 teroknor sshd[31339]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=236.red-217-126-56.staticip.rima-tde.net
[/code]

Una solución muy fácil de instalar en el equipo es un sistema de prevención de intrusión o HIPS basado en analizar periódicamente los registros de acceso con dos programas: denyhosts y fail2ban.

Estos dos programas buscan registros de fallos reiterativos de acceso y en caso de detectar demasiados errores de accesos desde una misma IP, automáticamente la bloquean.

Para sistemas con apt y sus poderes de supervaca, coro es el caso de mi Ubuntu 8.04, bastará con conjurarla con un:

[code]
sudo apt-get install denyhosts fail2ban
[/code]

Los instaladores traen una configuración por defecto que funciona sin problema con el servicio open-SSH que trae Ubuntu.

Fail2ban

En el caso de fail2ban se pueden añadir patrones de búsqueda personalizados para cada registro de actividad gracias a su configuración basada en los ficheros de filtros que se encuentran en /etc/fail2ban/filter.d/. Las acciones de bloqueo temporal de los atacantes se basan en insertar reglas en las iptables, el cortafuegos nativo de los sistemas linux.

Para verificar el correcto funcionamiento de las reglas se puede ejecutar el comando fail2ban-regex:

[code]fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf[/code]

Su ejecución devolverá algo parecido a lo siguiente:

[code]Running tests
=============

Use regex file : /etc/fail2ban/filter.d/sshd.conf
Use log file : /var/log/auth.log

Results
=======

Failregex
|- Regular expressions:
| [1] (?:error: PAM: )?Authentication failure for .* from \s*$
| [2] Failed [-/\w]+ for .* from (?: port \d*)?(?: ssh\d*)?\s*$
| [3] ROOT LOGIN REFUSED.* FROM \s*$
| [4] [iI](?:llegal|nvalid) user .* from \s*$
| [5] User .+ from not allowed because not listed in AllowUsers\s*$
| [6] User .+ from not allowed because none of user's groups are listed in AllowGroups\s*$
|
`- Number of matches:
[1] 0 match(es)
[2] 1338 match(es)
[3] 0 match(es)
[4] 932 match(es)
[5] 0 match(es)
[6] 0 match(es)

Ignoreregex
|- Regular expressions:
|
`- Number of matches:

Summary
=======

Addresses found:
[1]
[2]
60.28.167.66 (Mon Apr 21 16:04:29 2008)
200.41.1.220 (Mon Apr 21 20:24:09 2008)
200.41.1.220 (Mon Apr 21 20:24:17 2008)
[...]
217.126.56.236 (Wed Apr 23 02:21:24 2008)
217.126.56.236 (Wed Apr 23 02:21:27 2008)
217.126.56.236 (Wed Apr 23 02:21:31 2008)
217.126.56.236 (Wed Apr 23 02:21:34 2008)
[5]
[6]

Date template hits:
2270 hit(s): Month Day Hour:Minute:Second
0 hit(s): Weekday Month Day Hour:Minute:Second Year
0 hit(s): Weekday Month Day Hour:Minute:Second
0 hit(s): Year/Month/Day Hour:Minute:Second
0 hit(s): Day/Month/Year:Hour:Minute:Second
0 hit(s): Year-Month-Day Hour:Minute:Second
0 hit(s): Day-Month-Year Hour:Minute:Second[.Millisecond]
0 hit(s): TAI64N
0 hit(s): Epoch

Success, the total number of match is 2270
[/code]

Cuando se está ejecutando en segundo plano podemos ver el registro de actividad que va dejando en /var/log/fail2ban.log. Por defecto las reglas de rechazo de una determinada duran diez minutos, tiempo más que suficiente para que los molestos zombies desistan.

Más información en su sitio web oficial.

DenyHosts

DenyHosts es un HIPS exclusivo para SSH y se basa por un lado en el análisis de los registros de acceso del servidor SSH y por otro de listas de IPs conocidas que se descargan y sincronizan desde el servidor principal de DenyHosts. Cuenta con más de 27000 sincronizaciones y es un bastante eficiente para protegerse de máquinas que ya se conocen como atacantes, frente a fail2ban, que realiza únicamente análisis de los registros.

El funcionamiento de DenyHosts se basa en ir añadiendo o eliminando direcciones IP al fichero /etc/hosts.deny que luego el servicio de SSH tiene en cuenta a la hora de rechazar intentos de conexión.

La configuración por defecto del paquete de las distribuciones de Debian/Ubuntu dejan en el fichero /etc/denyhosts.conf la configuración de este demonio. Si queremos que se sincronice con el servidor de DenyHosts de forma periódica, es necesario descomentar una línea del fichero de configuración por defecto, SYNC_SERVER=… y si además queremos que cada vez que actúe se registre en los registros del sistema, deberemos poner SYSLOG_REPORT a Yes.

[code]SYSLOG_REPORT=YES
SYNC_SERVER = http://xmlrpc.denyhosts.net:9911[/code]

Si observamos los registros de actividad del sistema, veremos cosas como esta:

[code]theefrit@teroknor:~$ cat /var/log/syslog | grep deny
May 1 14:21:56 teroknor denyhosts: Added the following hosts to /etc/hosts.deny - 203.212.65.20 (unknown)[/code]

En el fichero de registro de actividad específico de DenyHosts, /var/log/denyhosts, podemos ver con detalle toda su actividad de sincronización remota.

Más información en la página del programa.

Veamos, si Terra lo único que es, bueno, era, un revendedor de ADSL de Telefónica y usa su infraestructura. Yo, como cliente de Terra voy a comprobar si tiran esas páginas. Aparentemente, el DNS falla. ¿Censura? Nada más lejos de la realidad. Lo que está pasando es que algún servidor DNS está caído. O bien los de Telefónica o bien alguno a los que se sincroniza. Si nos ponemos a mirar un poco más damos enseguida con el problema.

El asunto radica en que el Registrar de los dominios “censurados”, eNom inc. ha debido de tener un problema o bien en la sincronización o peticiones entre los DNS de Telefónica y los suyos algo ha ido mal y por eso para Telefónica esos nombres de dominio no se resuelven.

Vamos a usar un poco la maravillosa herramienta dig para arrojar algo de luz. Antes de nada, el escenario: mi casa. Como diría E.T. Tengo configurados los DNS de Telefónica 194.179.1.100 y 194.179.1.101. Si hacemos una petición a uno de los dominios afectados, como gamestorrents.com, vemos lo siguiente:

[code]theefrit@teroknor:/tmp$ dig @194.179.1.100 gamestorrents.com

; <<>> DiG 9.3.4 <<>> @194.179.1.100 gamestorrents.com
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 26509
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;gamestorrents.com. IN A

;; Query time: 90 msec
;; SERVER: 194.179.1.100#53(194.179.1.100)
;; WHEN: Tue Mar 27 18:12:41 2007
;; MSG SIZE rcvd: 35
[/code]

Parece que hay un fallo con los DNS, devuelve un SERVFAIL. Probemos ahora con otro, newpct.com:

[code]
theefrit@teroknor:/tmp$ dig @194.179.1.100 newpct.com

; <<>> DiG 9.3.4 <<>> @194.179.1.100 newpct.com
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 687
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;newpct.com. IN A

;; Query time: 50 msec
;; SERVER: 194.179.1.100#53(194.179.1.100)
;; WHEN: Tue Mar 27 18:16:33 2007
;; MSG SIZE rcvd: 28
[/code]

Mismo error. Aún no sabemos si Telefónica censura o qué está pasando. Veamos otros servidores, como los de OpenDNS:

[code]theefrit@teroknor:/tmp$ dig @208.67.222.222 newpct.com

; <<>> DiG 9.3.4 <<>> @208.67.222.222 newpct.com
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30966
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;newpct.com. IN A

;; ANSWER SECTION:
newpct.com. 1800 IN A 85.17.17.50

;; Query time: 220 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Tue Mar 27 18:18:39 2007
;; MSG SIZE rcvd: 44
[/code]

La opción @IP permite fijar un servidor de DNS distinto. NOERROR, esta ha ido bien. Vale, aparentemente no tira bien la cosa con los DNS de Telefónica. ¿Qué tienen en común estos sitios que fallan? Los WHOIS dan la clave:

[code]theefrit@teroknor:/tmp$ whois newpct.com

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

Domain Name: NEWPCT.COM
Registrar: ENOM, INC.
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
[/code]
[code]theefrit@teroknor:/tmp$ whois gamestorrents.com

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

Domain Name: GAMESTORRENTS.COM
Registrar: ENOM, INC.
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: DNS1.NAME-SERVICES.COM
[/code]

Aquí vamos viendo que los dos dominios están en el mismo Registrar de DNS, ENOM, INC. Vamos a ver si Enom tira:

[code]theefrit@teroknor:/tmp$ dig @194.179.1.100 enom.com

; <<>> DiG 9.3.4 <<>> @194.179.1.100 enom.com
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 6375
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;enom.com. IN A

;; Query time: 56 msec
;; SERVER: 194.179.1.100#53(194.179.1.100)
;; WHEN: Tue Mar 27 18:22:20 2007
;; MSG SIZE rcvd: 26
[/code]

También falla. Ups. Parece que algo no tira con los DNS de Telefónica y Enom. No creo que Telefónica se cargue así por las buenas ni aunque se lo pidan los reyes de la fritanga o el clan Bardem al unísono. Más bien va a ser una caída en el servicio. Llegados a este punto, las soluciones:

1. La sencilla y rápida: cambiar de DNS, los de OpenDNS nos pueden valer, tal como sugerían en el artículo original, 208.67.222.222 y 208.67.220.220. Cuando Telefónica resuelva la incidencia, podemos volver a los del ISP, que seguramente estarán menos cargados. Digo seguramente, nunca se sabe.
2. La del buen samaritano: llamar al servicio técnico y dar parte, armándote de paciencia para explicar al primer operador del 902 que no es un problema con tu Outlook ni tienes virus ni te interesa comprar una casa con ADSL. Luego puedes cambiar de DNS o echarle más paciencia hasta que se resuelva el asunto.

Y como conclusión, ¿hay que saber todo esto para determinar si Telefónica censura? La respuesta es NO. Lo que hay que hacer es no precipitarse, comprobar primero que no somos nosotros los que fallamos y llamar al servicio técnico. Si sabemos un poco de por dónde van los tiros, probar un DNS distinto y si no, nos tocará cagarnos un poquito en alguien, pero no llegar al extremo de lanzar a los cuatro vientos que Telefónica está censurando páginas de p2p. No adelantemos acontecimientos, por favor.

Sosiego y calma.

Actualización 20:56: a raíz del comentario de Nukeador, sobre si afecta a todos los dominios registrados en Enom, he estado indagando más. El problema exacto es un fallo de conectividad entre los DNS de NAME-SERVICES.COM y los de Telefónica. Sus servidores de nombres, nsX.name-services.com parecen estar caídos y no responden a ping ni a ninguna solicitud desde mi conexión, que sale al mundo vía Telefónica. Si al hacer el WHOIS del dominio registrado en Enom se obtiene que los servidores de nombres son de name-services.com, como pasa con los dominios perdidos, entonces no funcionará la resolución de nombres. En el caso de Nukeador, su dominio nukeador.com tiene otros servidores de nombres, accesibles desde la red de Telefónica y por tanto, la resolución del nombre funcionará.

El comando de linux dig permite además hacer trazas para ver hasta dónde llegas directamente desde tu equipo al resolver nombres:

[code]dig @SERVIDOR_NOMBRES nombre.tld +trace[/code]

Así, podemos ver:

[code]theefrit@teroknor:~$ dig @194.179.1.100 nukeador.com +trace

; <<>> DiG 9.3.4 <<>> @194.179.1.100 nukeador.com +trace
; (1 server found)
;; global options: printcmd
. 95296 IN NS a.root-servers.net.
. 95296 IN NS b.root-servers.net.
. 95296 IN NS c.root-servers.net.
. 95296 IN NS d.root-servers.net.
. 95296 IN NS e.root-servers.net.
. 95296 IN NS f.root-servers.net.
. 95296 IN NS g.root-servers.net.
. 95296 IN NS h.root-servers.net.
. 95296 IN NS i.root-servers.net.
. 95296 IN NS j.root-servers.net.
. 95296 IN NS k.root-servers.net.
. 95296 IN NS l.root-servers.net.
. 95296 IN NS m.root-servers.net.
;; Received 436 bytes from 194.179.1.100#53(194.179.1.100) in 657 ms

com. 172800 IN NS F.GTLD-SERVERS.NET.
com. 172800 IN NS G.GTLD-SERVERS.NET.
com. 172800 IN NS H.GTLD-SERVERS.NET.
com. 172800 IN NS I.GTLD-SERVERS.NET.
com. 172800 IN NS J.GTLD-SERVERS.NET.
com. 172800 IN NS K.GTLD-SERVERS.NET.
com. 172800 IN NS L.GTLD-SERVERS.NET.
com. 172800 IN NS M.GTLD-SERVERS.NET.
com. 172800 IN NS A.GTLD-SERVERS.NET.
com. 172800 IN NS B.GTLD-SERVERS.NET.
com. 172800 IN NS C.GTLD-SERVERS.NET.
com. 172800 IN NS D.GTLD-SERVERS.NET.
com. 172800 IN NS E.GTLD-SERVERS.NET.
;; Received 502 bytes from 198.41.0.4#53(a.root-servers.net) in 1070 ms

nukeador.com. 172800 IN NS ns1.dnspropio.com.
nukeador.com. 172800 IN NS ns2.dnspropio.com.
;; Received 108 bytes from 192.35.51.30#53(F.GTLD-SERVERS.NET) in 2673 ms

nukeador.com. 14400 IN A 195.140.142.122
nukeador.com. 14400 IN NS ns2.dnspropio.com.
nukeador.com. 14400 IN NS ns1.dnspropio.com.
;; Received 92 bytes from 195.140.142.122#53(ns1.dnspropio.com) in 1461 ms
[/code]

Mientras que si intentamos lo mismo con uno de los fallidos:

[code]theefrit@teroknor:~$ dig @194.179.1.100 newpct.com +trace

; <<>> DiG 9.3.4 <<>> @194.179.1.100 newpct.com +trace
; (1 server found)
;; global options: printcmd
. 95480 IN NS a.root-servers.net.
. 95480 IN NS b.root-servers.net.
. 95480 IN NS c.root-servers.net.
. 95480 IN NS d.root-servers.net.
. 95480 IN NS e.root-servers.net.
. 95480 IN NS f.root-servers.net.
. 95480 IN NS g.root-servers.net.
. 95480 IN NS h.root-servers.net.
. 95480 IN NS i.root-servers.net.
. 95480 IN NS j.root-servers.net.
. 95480 IN NS k.root-servers.net.
. 95480 IN NS l.root-servers.net.
. 95480 IN NS m.root-servers.net.
;; Received 436 bytes from 194.179.1.100#53(194.179.1.100) in 690 ms

com. 172800 IN NS B.GTLD-SERVERS.NET.
com. 172800 IN NS C.GTLD-SERVERS.NET.
com. 172800 IN NS D.GTLD-SERVERS.NET.
com. 172800 IN NS E.GTLD-SERVERS.NET.
com. 172800 IN NS F.GTLD-SERVERS.NET.
com. 172800 IN NS G.GTLD-SERVERS.NET.
com. 172800 IN NS H.GTLD-SERVERS.NET.
com. 172800 IN NS I.GTLD-SERVERS.NET.
com. 172800 IN NS J.GTLD-SERVERS.NET.
com. 172800 IN NS K.GTLD-SERVERS.NET.
com. 172800 IN NS L.GTLD-SERVERS.NET.
com. 172800 IN NS M.GTLD-SERVERS.NET.
com. 172800 IN NS A.GTLD-SERVERS.NET.
;; Received 500 bytes from 198.41.0.4#53(a.root-servers.net) in 794 ms

newpct.com. 172800 IN NS dns1.name-services.com.
newpct.com. 172800 IN NS dns2.name-services.com.
newpct.com. 172800 IN NS dns3.name-services.com.
newpct.com. 172800 IN NS dns4.name-services.com.
newpct.com. 172800 IN NS dns5.name-services.com.
;; Received 217 bytes from 192.33.14.30#53(B.GTLD-SERVERS.NET) in 2700 ms

;; reply from unexpected source: 127.0.0.1#53, expected 216.52.184.230#53
;; Warning: ID mismatch: expected ID 21051, got 53005
;; reply from unexpected source: 127.0.0.1#53, expected 63.251.92.193#53
;; Warning: ID mismatch: expected ID 21051, got 65011
;; reply from unexpected source: 127.0.0.1#53, expected 216.52.184.230#53
;; Warning: ID mismatch: expected ID 21051, got 53005
;; reply from unexpected source: 127.0.0.1#53, expected 63.251.92.193#53
;; Warning: ID mismatch: expected ID 21051, got 65011
;; reply from unexpected source: 127.0.0.1#53, expected 64.74.96.242#53
;; Warning: ID mismatch: expected ID 21051, got 26660
;; reply from unexpected source: 127.0.0.1#53, expected 64.74.96.242#53
;; Warning: ID mismatch: expected ID 21051, got 26660
;; connection timed out; no servers could be reached
[/code]

En este caso dig se va conectando a los servidores de nombres uno detrás de otro, en vez de dejar que el primero -194.179.1.100 en este caso- resuelva conectándose a quien considere oportuno. Como se puede ver, no hay forma de llegar a los servidores de nombres de name-services.com desde la red de Telefónica.

Para colmo, tanto cable y alargador pone a mi madre de los nervios, así que tocaba buscar una solución para eliminar cables. Recordando las enseñanzas de la carrera, en una optativa de segundo ciclo comentaban todas las distintas tecnologías para conectividad local y una de ellas es el Power Over Ethernet, una solución para llevar alimentación eléctrica por el mismo cable de datos de las redes de área local ethernet. Por desgracia aún no hay mucho producto en el mercado, pero Linksys, fabricante de mi punto de acceso tiene un pequeño kit para precisamente hacer lo que quería hacer: eliminar el cable eléctrico y poder volver a tener todos los cacharros detrás de la protección del SAI.

Así que manos a la obra, encargado y recibido el juguete, WAPPOE12, por unos 40€, tenemos los siguientes elementos:

• Inyector de potencia al cable de red, el elemento PSE
• Separador de datos y alimentación, que esl el Power Device o PD en este caso, ya que el AP no soporta POE.
• Transformador para alimentar al inyector.
• Cable eléctrico para conectar el transformador a la red eléctrica.
• Cable de red UTP de categoría 5 para unir el inyector con el separador en caso de que no tengamos.

El esquema de conexión es bien sencillo:



Este kit cumple con la especificación del IEEE 802.3, 802.3u y 802.3af para Power Over Ethernet, inyectando 48V de continúa por el cable de red y permitiendo una separación máxima de 100 metros, así que no hay problema con las distancias a alcanzar, antes deja de funcionar la ethernet. La potencia máxima que permite este estándar es de 15.4 watios con una corriente máxima de 400 mA. Al final, a la “salida” del conector de alimentación del separador le entrega al punto de acceso 12 bonitos voltios con los que alimentar las antenas y sus circuitos. Eso sí, aunque indica que cumple la especificación 802.3af, que es capaz de trabajar con cables de categoría inferior a la 5, en las especificaciones indican que se precisa de un CAT5 o superior para que funcione correctamente todo y no se produzcan pérdidas de datos.

Una vez alimentado el inyector, éste no se pondrá a meter chicha al cable de datos hasta que no conectemos también el cable de red que comunica el inyector con el switch o el cacharro que tengamos en la infraestructura de red local que dote de conectividad al punto de acceso con el resto de la red. Además, tanto el inyector como el separador incorporan un diodo LED indicador de si reciben o no alimentación.

En definitiva, con estos dos dispositivos de escaso tamaño (80 mm x 22 mm x 56 mm) nos ahorramos tener que llevar un cable más de alimentación hasta elementos de red. De acuerdo que la solución es bastante más cara que hacerlo a mano, pero paso de volar equipamiento que cuesta más porque se me olvide respetar la polaridad o bien degradar el cable tanto que tenga más pérdidas de datos que otra cosa.

]]> http://www.theefrit.com/blog/2007/01/07/ahorrando-cables-con-power-over-ethernet/feed/ 0 http://www.theefrit.com/blog/2006/06/07/paso-el-fin-de-los-dias/ http://www.theefrit.com/blog/2006/06/07/paso-el-fin-de-los-dias/#comments Wed, 07 Jun 2006 08:02:56 +0000 TheEfrit http://www.theefrit.com/blog/2006/06/07/paso-el-fin-de-los-dias/ Y contra todo pronóstico, el mundo parece que no acabó ayer.

Lo que sí que acabó ayer fue 6Bone e IPv6 pasa oficialmente a producción y en IPv6Day, una wiki montada para el evento nos lo contaban. Es una página interesante ya que cuenta con documentación y enlaces a sitios y servicios IPv6 y merece la pena perder un poco de tiempo viendo las posibilidades del v6 -y no hablamos coches.

Para el común de los mortales que tenga conexión a Internet en casa v4, se puede solicitar a un tunnel broker de forma totalmente gratuita la asignación de un rango de direcciones v6 y la creación de un túnel 6to4 para poder acceder a sitios versión 6. Telefónica I+D tiene montado un portal, que aunque no actualiza muy a menudo, tiene un broker gratuito y con instrucciones de instalación para los sistemas operativos más comunes, que incluye a los de Redmond y distribuciones Linux.

]]> http://www.theefrit.com/blog/2006/06/07/paso-el-fin-de-los-dias/feed/ 0