Sincronizar hora en Solaris

Sincronizar la hora de los servidores es una tarea que se le da poca importancia, pero es más relevante de lo que se cree, más aun si estamos utilizando servicios que dependen de la hora, por ejemplo, kerberos.

Para sincronizar el reloj de un servidor con algún servicio NTP, ya sea interno o externo, podemos utilizar el siguiente comando:

 

# ntpdate 172.20.6.2 (Donde 172.20.6.2 es la IP del servidor NTP)

Tambien se puede configurar para que se realice de forma automática al arranque

copiando el archivo /etc/inet/ntp.client a /etc/inet/ntp.conf. Alli por defecto, escucha todas las publicaciones TNP multicast.

Luego habilitar el servicio ntp:

#svcadm enable network/ntp

Si no funciona se puede hacer un script con el comando o un crontab.

Almacenamiento en la nube

Hace un tiempo venimos escuchando sobre un nuevo recurso informático llamado "la nube". Si bien hace mucho que estamos almacenando datos en Internet, una cuenta de correo en Gmail u otra empresa es muestra de ello, actualmente nos ofrecen la posibilidad de disponer de nuestros archivos sin necesidad de llevarlos almacenados en la memoria de algún dispositivo. Además se incluyen otros servicios como la edición online de archivos, acceso a través de app de los smartphone y capacidad de compartir ciertos archivos.

Analicemos las ofertas más importantes:

Dropbox

Dropbox es, posiblemente, el servicio más conocido de almacenamiento en 'la nube'.
Nos ofrece una interfaz web muy intuitiva y simple en forma de gestor de archivos con vista en árbol. Además incluye un pequeña aplicación que nos permite "ver" nuestro espacio en "la nube" como si fuera una carpeta más de nuestra computadora y la posibilidad de sincronización automática.

Dropbox ofrece 2GB gratis de almacenamiento, no obstante, también ofrece otras opciones de pago para grupos de trabajo o usuarios particulares que tengan unos requerimientos de almacenamiento superiores a la media. 

 SkyDrive

Skydrive es la propuesta en 'la nube' de Microsoft. La cuenta gratuita nos ofrece 7GB para nuestros archivos, aunque por 10$ al año tendremos 20GB adicionales, llegando a acumular un total de 27GB.

Además del almacenamiento, Skydrive incluye las herramientas Office Web Apps, la versión para Internet del paquete ofimático Office, lo cual nos permite trabajar con nuestros archivos de manera online
También posee una app nativa para los smartphones con Windows Phone, iPhone o Android.

Google Drive

Esta es la propuesta de Google. Nos ofrece el servicio ofimático online de Google Docs y  almacenamiento de archivos. Google Drive sincroniza automáticamente todos los archivos  almacenados para que podamos acceder desde cualquier dispositivo.
El servicio nos brinda aplicaciones para Windows y Mac, así como de apps para Chrome OS, el iOS de Apple (iPhone/iPad) y Android. Como Dropbox, también permite compartir nuestros archivos mediante un link.

La cuota de almacenamiento inicial es de 5GB, pero puede ampliarse.

Box

Box le permite almacenar todo su contenido online, de forma que pueda acceder a él, gestionarlo y compartirlo desde cualquier lugar. Integre Box con Google Apps y Salesforce y acceda a Box desde dispositivos móviles.

La versión gratuita de Box ofrece 5GB de espacio, y sincronización de archivos a través de PC con Windows o Mac, además de disponer de apps oficiales para acceder al contenido de nuestra cuenta desde dispositivos iOS y Android.

 Mega

Mega nos ofrece gratuitamente 50GB. Otro punto fuerte de Mega, es que si necesitamos 500GB adicionales, las podemos conseguir por sólo ¡10€ al mes!.

Pero tiene serias desventajas si lo comparamos con los servicios mencionados anteriormente, ya que  no existen apps oficiales para gestionar Mega desde iPhone o Android y además que no incluye herramientas de ofimática online.

Concluyendo, existen servicios de almacenamiento online para cubrir todo tipo de necesidades personales y empresariales. Solo debemos evaluar y elegir la propuesta que más convenga!! 

Configurar ipfilter en Solaris 10 - 11 - Avanzado

En la entrada anterior Configurar Ipfilter en Solaris vimos como activar y crear reglas simples de ipfilter para convertir nuestro servidor en un firewall. Ahora nos entraremos en las reglas avanzadas que nos ayudarán en el momento de aplicar un "ojo fino" en nuestra configuración. Veamos las opciones avanzadas.

Filtrando por protocolo:

Es posible especificar el fitrado para un tipo de protocolo. 

Ej:
# bloquea todos los paquetes entrantes de tipo ICMP
block in on net1 proto icmp all

El nombre del protocolo puede ser un nombre válido de /etc/protocols o directamente el número.

# permite todos los paquetes IP en los cuales está el protocolo 4
pass in on net1 proto 4 all

En algunos casos, como puede ser NFS, utiliza tanto TCP como UPD así que debemos especificar en la regla  "tcp/udp". Ej:

# previene el tráfico NFS entrante en la interfaz net1
block in on net1 proto tcp/udp from any to any port = 2049


Filtrando fragmentos IP:

Los fragmentos IP es algo que siempre se quiere evitar porque pueden ser una gran amenaza. La fragmentación IP se produce cuando la información a trasmitir no entra en el MTU. Por defecto ipV6 ya no permite la fragmentación, sino que comunica al emisor que baje el tamaño del paquete.

#
# bloquea todos los fragmentos IP
#
block in all with frag

Pero no siempre la fragmentación IP tiene como objetivo un fin malicioso. Se puede decir que los fragmentos más "dañinos" son los cortos. Así lo evitamos:
#
# bloquear los fragmentos demasiados cortos
#
block in proto tcp all with short


Filtrando por puerto:

Los  números de puertos están divididos en dos zonas. Los puertos bien conocidos, llamados también puertos reservados y puertos para la conexión. Cada aplicación tiene un puerto conocido que va desde el puerto 1 hasta el 1023.
Cuando una máquina quiere hacer una conexión a un host remoto, escoge un puerto mayor al puerto 1023 para él mismo y el puerto destino viene unido a la aplicación que esta ejecutando, llamado puerto bien conocido
Cuando el destino recibe información, este mira el campo puerto, y d esta manera sabe la aplicación a la cual debe reenviar la información.

Operando    Alias    Parametros    Resultado
      <               lt       port#              menor que
      >               gt      port#              mayor que
      =               eq     port#              igual que
     !=               ne     port#             distinto que
     <=              le      port#             menor e igual que
     =>              ge     port#             mayor o igual que

Ej:
#
# permite todos los paquetes TCP proveniente de la red 192.168.1.0/24 con destino 10.0.0.1/32 al puerto 53
#
pass in proto tcp from 192.168.1.0/24 to 10.0.0.1/32 port = 53
#
# Permite paquetes UDP que no son dirigidos al puerto 53 del localhost
#
pass in proto udp from 192.168.1.0/24 port != 53 to localhost

TCP Flags

En algunos casos vamos a querer filtrar paquetes de acuerdo al estado de las banderas del paquete TCP. Cuando una conexión se inicia hay un intercambio de paquetes con banderas SYN y ACK. Veamos el diagrama:

 

Comunicación TCP de tres via

De acuerdo a esto, podemos utilizar estas banderas para realizar el filtrado.
Ej:
#
# Permite los paquetes que llevan un ACK de la red 10.1.0.0/16 puerto 23
#
pass in proto tcp 10.1.0.0/16 port = 23 10.2.0.0/16 flags A/A
pass out proto tcp 10.1.0.0/16 port = 23 10.2.0.0/16 flags A/A

Pero seía más util utilizar las FLAGS para bloquear. Para esto la bandera SYN es más útil.
#
# Bloquea todas los inicio de conexiones desde cualquier origen a la red 192.168.1.0/24
#
block in on net1 proto tcp from any to 192.168.1.0/24 flags S/SA

Para bloquear las respuestas
#
# Bloquea las respuestas SYN-ACK
#
block out on net1 proto tcp from 192.168.1.0 to any flags SA/SA

Es muy importante que antes de crear este tipo de reglas comprendamos bien como funcionan las conexiones TCP.

Paquetes ICMP

Puede ser que querramos bloquear el tráfico ICMP en algún punto de nuestra red.

# bloquea todos los paquetes ICMP.
#
block in proto icmp all
#
# Permite el echo ICMP y el echo-reply (PING)
#
pass in on net1 proto icmp from any to any icmp-type echo
pass in on net1 proto icmp from any to any icmp-type echorep