Re: Duda con la lista
El 25-03-2010 8:59, Ricardo Munoz escribió: El 24 de marzo de 2010 23:48, Javier Garay javierzga...@gmail.comescribió: El 24 de marzo de 2010 22:10, Aldrin Martoq amar...@dcc.uchile.cl escribió: Yo creo de partida que las comunicaciones electrónicas han cambiado mucho. Es cierto, pero donde queda la evolucion de las listas de correo? ¿Quien no usa email en estos días? ¿No sera que el enfoque es el incorrecto? Lo otro que es notorio es la falta de preguntas de todo tipo, las newbies y las cabronas ya casi no hay... Aquí están todos los factores que dijeron. Tambien hay que pensar mucho en las vanidades de la red que se han tomado la vida de muchos, como las redes sociales. Cada vez se hacen más presentes las maneras de perder el tiempo. Al menos la gente de la lista no quiere perder tiempo, quiere conocer sobre Linux Hace un tiempo unas personas de cierta red social que comienza con f y termina con acebook, me decian que windows les permitio conocer la informatica y que esta misma no tiene mayor ciencia. Es el unico acierto de M$ (en realidad, gracias a sus practicas imperialistas,monopolicas eh). Pero software mal diseñado, inestable e inseguro por donde quieras probarlo ... Pienso sinceramente que la informática es una de las ciencias peor vistas, ya que hemos hecho puras estupideces que la gente común y corriente ve asi. Por ejemplo M$ se encargo de hacer la informática en algo fácil para muchos, somos pocos los que realmente sabemos que la informática no es un juego de niños ni un doble clic. No falta, por ejemplo el que se cree hacker por q sabe como instalar un key logger. ¿La informática segun tu debe estar a disposición de los supercerebritos, hipersalas computacionales con enfoques cientificos? La computación o todo sistema de información debe ser lo mas accesible al usuario común, nuestro gran reto como profesionales. Para eso están los usuarios, usuarios avanzados, en cambio siempre existirán los analistas y los ingenieros que solucionen los grandes problemas. A la informática le falta glamour, saltar de el cerebrito nerd microchip al cientifico experto en sistemas. creo que estas mezclando informatica con computacion... y si quieres glamour anda a trabajar a Silicon Valley... ;) Claramente (..) Lo que yo hecho de menos son las discusiones largas y buenas, mi conclusión es que a la mayoría de la gente no le gusta discutir pues lo ve como algo malo o un ataque personal. ¿Quien tiene la culpa, el sistema educativo? ¿La misma lista? ¿Los profesionales del área? Carreras y ciencias mil veces inferiores son mejor vistas que esta ciencia. mejor vistas por quien? creo que tienes un problema de auto-estima... porque te importa tanto lo que piense el resto? Creo que es cosa de actitud.
Re: Duda con la lista
El 25-03-2010 9:30, Javier Garay escribió: El 25 de marzo de 2010 09:59, Ricardo Munoz rmu...@tux.cl escribió: A la informática le falta glamour, saltar de el cerebrito nerd microchip al cientifico experto en sistemas. creo que estas mezclando informatica con computacion... y si quieres glamour anda a trabajar a Silicon Valley... ;) Si, no te equivocas en eso, me refiero a que glamour denota elegancia y sofistificación, no me refiero a que los informáticos andemos bien vestidos o algo por el estilo, sencillamente que en el ambito profesional no se le da la importancia que merece, como pasa con otro tipo de profesionales, a excepción de algunas cuantas empresas y personas que saben lo que hacemos, pero sobre todo acá en Chile no es tan así, porque en general el común de la gente no entiende lo que pasa detrás de las ventanas de un windows. A la gente le importa un comino que hay detrás de un Windows como dices tu. Le importa resultados y óptimos. Y ojalá que el sistema haga mágicamente de todo ... Carreras y ciencias mil veces inferiores son mejor vistas que esta ciencia. mejor vistas por quien? creo que tienes un problema de auto-estima... porque te importa tanto lo que piense el resto? No es un problema de auto-estima, ni que me importe lo que dice el resto, cada quien se gana el respeto con lo que hace y como lo hace, hablo de algo mucho más global, es un problema social, si alguna vez has trabajado en alguna empresa entonces deberías entenderlo, incluso en las empresas es así. Tengo grandes amigos psicologos y sociologos con los que hemos hablado de este tema y concuerdan mucho en ello. Muchas veces los informáticos son los ejectutores de los proyectos e ideas que se le ocurren a gente que no tiene idea de informática, y de no ser una empresa con personal capacitado y bien preparado a los informáticos se les mira como nerds o la típica frase, computines. Mal del informatico : creerse programados pros en ves de entender y dar soluciones adecuadas a las necesidades de la gente. Hace un tiempo leí un paper acerca de las costumbres sociales de los informáticos y por lo general ésta es un profesión muy aislante y antisocial, sobre todo si eres desarrollador. Los problemas te siguen incluso hasta cuando duermes y pasas tu vida tras un computador. El mismo paper decía que muchas veces la gente y los profesionales de otras áreas ven el resultado final y si no les gusta critican y dan tu trabajo por malo, ya que ellos no saben lo que hay detrás de las ventanitas ni todo el esfuerzo que se hace, lo cual me parece muy acertivo, sobre todo en un país como este que más de la mitad de la población no tiene una educación digna como para entender todos estos temas ¿o si? Eso es problema de un informatico. Debe ser capaz de dar soluciones integrales, entender que el mundo no se limita a hacer el codigo mas optimo ni hacer la interfaz mas pro.Los analistas o ingenieros muchas veces no hacen un buen diseño de un sistema (aunque el codigo sea espectacular!!). Tener olfato, entender los requerimientos, entender la necesidad y saber dar la mejor solución optima, es la clave.
Re: Duda con la lista
El 25-03-2010 9:51, Javier Garay escribió: El 25 de marzo de 2010 11:40, Sebastián Veloso Varas svel...@sevelv.clescribió: Eso es problema de un informatico. Debe ser capaz de dar soluciones integrales, entender que el mundo no se limita a hacer el codigo mas optimo ni hacer la interfaz mas pro.Los analistas o ingenieros muchas veces no hacen un buen diseño de un sistema (aunque el codigo sea espectacular!!). Tener olfato, entender los requerimientos, entender la necesidad y saber dar la mejor solución optima, es la clave. Eso es evidente, lógico y por cierto nuestra obligación, quien no lo haga no sirve y seguramente se queda sin trabajo. Todos hacemos nuestro mejor esfuerzo y si hay malos o buenos diseños no pasa por un tema de olfato. Conosco casos en los que grandes sistemas son hechos por una sola persona y eso es inaceptable y seguramente el resultado no será el mejor. Ah claro está. Empresas de bajo presupuesto, contratarán a programadores expertos y no ingenieros. O bien , sea cual sea su condición, el informático debe llevar la iniciativa y hacer entender en la medida posible que las empresas trabajan en funcion de tecnologias de la información. Tabmein es necesario entender que el ritmo tambien que estas tecnologías sin personas comprometidas no son posibles. En fin, da para largo esta profunda realidad ... Si has leido las prácticas de desarrollo de software RUP e incluso UML te habla de trabajo en equipo, en estos días y con la técnología de hoy el que mucho abarca poco aprieta. Claro, no queremos entrar a explicar detalles de SIA ni Ingenieria de Software y ramos de gestion no? ;) Está demás decirlo eso .. Saludos,
Re: Duda con la lista
El 25-03-2010 10:28, Javier Garay escribió: El 25 de marzo de 2010 11:15, Ricardo Munoz rmu...@tux.cl escribió: todos somos solo consumidores de bienes y servicios que enriquecen a unos pocos. piensa en eso en vez de andar preocupandote porque alguien te dijo computin... ;) Ricardo, creo que no has entendido el contexto de esta conversación ni a lo que me refiero nuevamente. Recuerdo cuando un profesor de economía me dijo: La carrera que ustedes estudian es como un gran oceano con 2 cm de profundidad, saben mucho de todo, pero no profundizan en los temas. Yo creo que es al revés. Yo escucho comentarios que técnicamente los informaticos son buenos, muy buenos ... pero nos falta ese feeling o afinidad para compatibilizar con otras areas; es por esto que nos tratan de bichos raros, apaticos, antisociales ... que personalmente no me cae ni por si acaso ... Eso es debido a que un informático esta constantemente aprendiendo nuevas cosas e involucrandose en otras ramas de estudio como contabilidad, administración e incluso medicina entre tantas otras, todo depende para quien trabajes o que hagas. A mi me encanta la informática como ciencia y profesión, desde que tenia 10 años. De todas maneras el tema era otro y nos fuimos por las ramas.
Re: Duda con la lista
El 25-03-2010 11:02, Alvaro Herrera escribió: Sebastián Veloso Varas escribió: Yo creo que es al revés. Yo escucho comentarios que técnicamente los informaticos son buenos, muy buenos ... pero nos falta ese feeling o afinidad para compatibilizar con otras areas; es por esto que nos tratan de bichos raros, apaticos, antisociales ... que personalmente no me cae ni por si acaso ... Tengo la sensación de que la causalidad en tu afirmación está invertida. No es que la gente sea informática y debido a eso pierda el feeling o afinidad con la gente, sino más bien que los apáticos o antisociales tienden a buscarse profesiones en las cuales (creen que) no tendrán que relacionarse tanto con otra gente. No por nada hay tantos computines con síndrome de Asperger u otros trastornos. Es un tema de personalidad (en algunos) o mas bien creen que con el computador solucionarán todos los problemas de la gente. Se enfrascan tanto en eso , en fin ... No es menor eso ultimo que mencionaste, pero también están los alter-egos de la informatica .. a esos les tengo mas temor la verdad ...
Re: Ayuda monitoreo internet
El 16-03-2010 14:59, Carlos Thieme escribió: Amigos, tengo una duda Tengo Internet de telefonica, le pusieron un router para accesar a internet toda la empresa(app. 20 equipos). Este router entrega DHCP dinamico y esta protegido por la contraseña que puso el asesor externo de computacion. Con mi jefe queremos monitorear las conexiones a internet sin tener que pedir la contraseña, ya que eso alertaría al asesor y a su partner (jefe de seccion). Queremos hacer esto ya que tenemos el convencimiento que se esta haciendo mal uso con trafico de información sensible en grandes volumenes. Lamentablemente el gerente le cree a pie juntillas al jefe de seccion y al asesor computacional, a pesar que hemos demostrado en ocasiones anteriores que nos esta perjudicando al, por ejemplo, comprar equipos sobre valor de mercado. Nuestros equipos estan basados en ubuntu 9.10. Es factible saber que paginas se visitan y si se usa transferencia de archivos por http y/o ftp o de otra manera? Lo mas simple, como lei por ahi en algun mail, es usar un hub entre el router y el switch de tu red LAN, y ahi colocar un equipo con un sniffer o algun software que analice el comportamiento en tu red. Los mas comunes son Wireshark (http://www.wireshark.org), el todopoderoso sniffer de analisis crudo de trafico, y algo mas bonito y completo sería NTop (http://www.ntop.org/news.php). Algo mas pro sería Alienvault (ex- Ossim - www.alienvault.com). Todo esto, posible gracias a Linux. Saludos, Sebastián Veloso
Re: se agotan los IP
El 22-01-2010 1:15, Rolando Mota escribió: El 22 de enero de 2010 00:34, Gabrielgabrielteo...@gmail.com escribió: Es cierto que se agotan los IP a nivel mundial, que hay que pasar de IPv4 a IPv6? es cierto. Si bien tiene ninguna relación con Linux tu consulta, te dejo un sitio al respecto http://portalipv6.lacnic.net/ Saludos, Sebastian
Subtel y OpenSource
Hola a todos, Leyendo el diario electronico LUN, en donde encontre este articulo en que aparece el Subsecretario de Telecomunicaciones, mostrando sus juguetes y en donde menciona que ordeno migrar de Windows a Ubuntu toda la Subtel : http://www.lun.com/Pages/NewsDetail.aspx?dt=2009-10-25PaginaId=11SupplementId=2bodyid=0 ¿Alguien sabe de algun tipo de caso de exito referente a esto, en instituciones de gobierno? Hasta donde he visto, siempre hay hibridos (Win, Linux, Mac entre otros), pero plataformas 100% opensource, nada. Saludos, Sebastian Veloso
Re: Subtel y OpenSource
El 25 de octubre de 2009 18:37, Morenisco moreni...@cdsl.cl escribió: Sebastián Veloso Varas wrote: Hola a todos, Leyendo el diario electronico LUN, en donde encontre este articulo en que aparece el Subsecretario de Telecomunicaciones, mostrando sus juguetes y en donde menciona que ordeno migrar de Windows a Ubuntu toda la Subtel : http://www.lun.com/Pages/NewsDetail.aspx?dt=2009-10-25PaginaId=11SupplementId=2bodyid=0 Claro, ellos migraron alrededor de 300 estaciones de trabajo a gnu/linux :) Impresionante! ... Me asalta una duda ... ¿Como lo habran hecho con aquellos softs que corren solo en Windows, o acaso se restringio al uso de lo solo necesario? ¿Se habra dado el caso? ¿Alguien sabe de algun tipo de caso de exito referente a esto, en instituciones de gobierno? Hasta donde he visto, siempre hay hibridos (Win, Linux, Mac entre otros), pero plataformas 100% opensource, nada. Lo que mas destaca es que migraron los escritorios a software libre, eso si que es una apuesta fuerte e interesante. Y no conozco mas casos que ese en el estado. El estado en un inicio acunho el termino neutralidad tecnologica, el cual esta evolucionando sobre la marcha, y ahora esta en imparcialidad tecnologica informada. Lamentablemente, aun no es suficiente, ya que el estado asume que el usuari@ debe informarse acerca de las diferentes alternativas que hay, y de paso continua eludiendo su responsabilidad al respecto. Creo tambien en eso. El usuario de por si rara vez se pondra a indagar que es lo mas optimo, eficiente ... solamente se deja llevar por las tendencias que un mercado impone. En ese aspecto, los usuarios pecan de comodidad, pero tambien en directa responsabilidad de quienes deben encausar los temas tecnologicos. Estos dias no he revisado que paso finalmente con el documento de FLOSS del MOP, le dare una vuelta y luego les comento. Saludos! -- Morenisco. Centro de Difusión del Software Libre. http://www.cdsl.cl http://www.folasol.org http://trabajosfloss.cdsl.cl Blog: http://morenisco.noc-root.net
Re: IpTables o Squid.
El 3 de octubre de 2009 09:03, listali...@tecnocreativo.cl escribió: Estimados Señores. He usado y configurado squid en algunas ocasiones y es muy grato ver sus resultados. ahora bien. lo que si, siempre tuve que configurar los navegadores de los equipos clientes para que pasaran por el squid. tambien tenia que configurar el entorno de red en los equipos clientes windows, para asignarle el DNS, para que asi pudiera recibir emails el outlook. mi consulta es. si en una red, mas del 60% son notebooks, y seria una lata, cada vez que uno se conecta a la red del squid, tener que configurar el navegador, y cuando se conecta a otra red, desactivar el proxy en el navegador. ¿hay forma de hacer esto automaticamente? ¿se puede usar el squid, sin tener que decirle al navegador cual es su configuracion? o mejor aun. ¿se puede configurar IpTables, para que tenga iguales prestaciones que el squid, como por ejemplo, denegar el acceso a ciertos sitios web, limitar descargas segun tipo de archivo.? en fin, solo eso quiero conseguir con el IpTables. Me seran de mucha ayuda sus opiniones e ideas. desde ya, muchas gracias. Saludos. Orlando. Hola Orlando, Utiliza Proxy transparente en tu firewall + proxy. Tips : http://www.faqs.org/docs/Linux-mini/TransparentProxy.html http://www.cyberciti.biz/tips/linux-setup-transparent-proxy-squid-howto.html Con esto, todo lo que pase por el puerto 80, automaticamente es reenviado a Squid. Saludos, Sebastián Veloso
Re: Ayuda en Zimbra
El 28 de septiembre de 2009 20:42, Juan Pablo Armijo jpabloarm...@gmail.com escribió: Estimados Agradecería me ayudaran con el procedimiento para respaldar usuarios en Zimbra versión open Source. Atte. Juan Pablo Armijo Hemard Revisa esto, http://wiki.zimbra.com/index.php?title=Open_Source_Edition_Backup_Procedure Sugiero que estas consultas, las hagas directamente en la comunidad de Zimbra. Te podran ayudar mucho mas http://www.zimbra.com/community/ Saludos, Sebastian Veloso
Re: Ayuda con un puerto
El 14 de septiembre de 2009 16:34, Juan Andres Ramirez jandresa...@gmail.com escribió: Estimados : Tengo un firewall controlando la lan con iptables. Resulta que tengo la politica de drop, habriendo los puertos que necesito, y esto lo tengo funcionando hace unas semanas con unos poco usuarios, y funciona bien. Ahora bien el firewall esta dentro de la red 100.0/24, donde también estan los usuarios con la puerta 2, que seria la del firewall. Dentro de la red 100.0/24 hay una sub red 101/24, y el único problema que tengo es el acceso entre computadores desde la 100 a la subred 101. Destape puertos udp y tcp para 137,138, 139, 445 y funciona bien desde la red 101 a la 100, pero no al revez, es decir si trato de entrar a un computador en la subred 101 desde la red 100 no puedo. ¿Las reglas de FORWARD estan tanto de entrada/salida ? (INPUT/OUTPUT) SI dejo la politica FORWARD en ACCEPT por defecto puedo ver los pc desde la red 100 a la subred 101 sin problemas. Entonces debo tener algun puerto cerrado y no se cual es. DROP por defecto y si quieres ver redes compartidas, usas los puertos 137,138 UDP y 139,445 TCP. Adjunto archivo txt con las reglas, por si alguien se interesa en mirarlas. Pero como dije antes asi como esta funciona bien para lo que quiero, solo me falta ese pequeño detalle. El adjunto no llego a la listatrata de hacer copy paste si es posible. Muchas gracias. Saludos, Sebastian
Re: Seguridad en bancos (era Re: HA)
El 4 de septiembre de 2009 10:20, Alvaro Herrera alvhe...@alvh.no-ip.orgescribió: Marco González Luengo escribió: El 3 de septiembre de 2009 08:02, Sebastián Veloso Varassvel...@sevelv.cl escribió: Eso responde a que los sistemas bancarios son arcaicos. Fueron diseñados en Cobol, y actualmente siguen funcionando de la misma manera. En su tiempo, no fue pensada quizas una solución mas avanzada de seguridad. Imaginate migrar o modificar un sistema completo bancario (la red bancaria nacional en realidad) a un sistema moderno: hoy en dia especialistas en desarrollo en Cobol son los menos. Es por eso, que los cajeros a pesar de estar cada dia mas bonitos, le coloquen animaciones y todo eso, la aplicacion de giro de dinero sigue siendo lento y vejete..jejeje.Lo importante es que aun funcionan ... (no se por cuanto mas) Espera... ¿todavía usan COBOL? Y más encima tienen millones... y no son capaces de pagar lo que sea necesario para migrar los sistemas a algo más seguro. Con su permiso, pero mi Desert Eagle y yo tenemos una cita. XP El tema es que el banco no tiene ningún incentivo para cambiarlo. Yo no creo que los bancos hayan hecho el cambio en los mecanismos de seguridad porque quisieran hacerlo, sino más bien porque la superintendencia los obligó. ¿Para qué iban a gastar millones en reconstruir los sistemas desde cero? Exacto. El banco dice ¿Si funciona para que cambiarlo?. Es una plataforma estandar y cambiarla, seria un ataque convulsivo para un banco. Hasta me atreveria a decir que es mas vulnerable un sistema actual que uno arcaico que lleva mas de 25 años funcionando =), refiriendome no solo al acceso de informacion, sino estabilidad, funcionalidad. -- Alvaro Herrera http://www.amazon.com/gp/registry/DXLWNGRJD34J This is a foot just waiting to be shot(Andrew Dunstan)
Re: Seguridad en bancos (era Re: HA)
El 4 de septiembre de 2009 10:56, Ricardo Munoz rmu...@tux.cl escribió: El 3 de septiembre de 2009 23:58, Marco González Luengo noquierou...@gmail.com escribió: El 3 de septiembre de 2009 08:02, Sebastián Veloso Varassvel...@sevelv.cl escribió: [...] Eso responde a que los sistemas bancarios son arcaicos. Fueron diseñados en Cobol, y actualmente siguen funcionando de la misma manera. En su tiempo, no fue pensada quizas una solución mas avanzada de seguridad. Imaginate migrar o modificar un sistema completo bancario (la red bancaria nacional en realidad) a un sistema moderno: hoy en dia especialistas en desarrollo en Cobol son los menos. Es por eso, que los cajeros a pesar de estar cada dia mas bonitos, le coloquen animaciones y todo eso, la aplicacion de giro de dinero sigue siendo lento y vejete..jejeje.Lo importante es que aun funcionan ... (no se por cuanto mas) Espera... ¿todavía usan COBOL? Y más encima tienen millones... y no son capaces de pagar lo que sea necesario para migrar los sistemas a algo más seguro. estan confundidos. COBOL se sigue usando no porque sea dificil (o caro) de migrar sino porque cumple con su tarea, ademas de existir mucho codigo y conocimiento heredado. para que cambiar algo que funciona? Y sumale que Cobol no utiliza un metodo estandar de datos como SQL, usan sus archivos planos de informacion. Migrarlo debe ser complicadisimo, puesto que va amarrado al codigo y al modelamiento propio. Alguien me corrije si existe forma de conectorizar directamente Cobol sobre un DB actual. respecto a que COBOL sea seguro o no, simplemente no aplica ya que los programas COBOL corren en un Mainframe con el cual se puede comunicar una aplicacion en Linux/Unix que a su vez ofrece las funcionalidades y datos mediante Webservices (por ejemplo en Java), los cuales a su vez son llamados por la interfaz de usuario (JSP, ASP, PHP, etc.). Por eso pongo en duda que es mas seguro, si un sistema actual (que es conocido por muchos, accesible y cada dia vulnerable) o un sistema manejado por pocos, que lleva años funcionando. cada cosa en su lugar, y todos juntos pero no revueltos... ;) pd1. si manejas COBOL y sabes ingles tienes pega asegurada por muuucho tiempo. pd2. las animaciones en los cajeros es publicidad, esta ahi para que te endeudes mas, no para entretenerte! Sipues, le ponen cajeros bonitos, animaciones, flash, etc.. y hace la misma rutina de siempre : sacar y sacar dinero jejej -- Ricardo Mun~oz A. http://www.tux.cl
Re: Seguridad en bancos (era Re: HA)
El 4 de septiembre de 2009 11:55, Alvaro Herrera alvhe...@alvh.no-ip.orgescribió: Sebastián Veloso Varas escribió: El 4 de septiembre de 2009 10:56, Ricardo Munoz rmu...@tux.cl escribió: estan confundidos. COBOL se sigue usando no porque sea dificil (o caro) de migrar sino porque cumple con su tarea, ademas de existir mucho codigo y conocimiento heredado. para que cambiar algo que funciona? Y sumale que Cobol no utiliza un metodo estandar de datos como SQL, usan sus archivos planos de informacion. Migrarlo debe ser complicadisimo, puesto que va amarrado al codigo y al modelamiento propio. Alguien me corrije si existe forma de conectorizar directamente Cobol sobre un DB actual. Yo he escuchado de gente que ha escrito capas de abstracción ISAM sobre PostgreSQL para poder migrar aplicaciones COBOL desde el uso de archivos planos a una base de datos de verdad. (¿Conectorizar? ¿estás suscrito al suplemento de la RAE de García Márquez, o eres un japonés tratando de hacernos creer que hablas castellano nativamente? Te cuento que en castellano decimos conectar) Mis disculpas publicas. Terminos mal usados que se pegan (se ocupa harto en Redes y Comunicaciones, mal dicho o no jeje) -- Alvaro Herrera http://planet.postgresql.org/ Renaming ReiserFS to NinaFS is such an amazingly stupid suggestion, in so many ways, that it ought to qualify for some kind of award. Or perhaps we should name an award after it: the NinaFS award for outstanding crassness. (edmundo, http://lwn.net/Articles/203846/)
Re: Seguridad en bancos (era Re: HA)
El 4 de septiembre de 2009 14:46, Aldrin Martoq amar...@dcc.uchile.clescribió: 2009/9/4 Alvaro Herrera alvhe...@alvh.no-ip.org: Sebastián Veloso Varas escribió: Y sumale que Cobol no utiliza un metodo estandar de datos como SQL, usan sus archivos planos de informacion. Migrarlo debe ser complicadisimo, puesto que va amarrado al codigo y al modelamiento propio. Alguien me corrije si existe forma de conectorizar directamente Cobol sobre un DB actual. Yo he escuchado de gente que ha escrito capas de abstracción ISAM sobre PostgreSQL para poder migrar aplicaciones COBOL desde el uso de archivos planos a una base de datos de verdad. Cuidado que por lo visto desconocen y/o nunca han programado en COBOL corriendo sobre un Mainframe con todos los servicios que este provee... La plataforma es mucho mas robusta que la lectura de archivos picante que la mayoría programamos! No, la verdad no tengo conocimiento del tema. Pero esa es la idea, conocer e interactuar con gente ideas y conceptos nuevos ;) A mi me deja mucho mas tranquilo el backend en COBOL que la página web de mi banco hecho con la última tecnología cayéndose a pedazos a cada rato; considerando lo complejo que son los sistemas modernos y que muy poca gente realmente entiende por qué son las cosas de tal o cual manera. Es cierto. Muy cierto!. -- Aldrin Martoq http://aldrin.martoq.cl/
Re: Seguridad en bancos (era Re: HA)
El 3 de septiembre de 2009 03:53, Marco González Luengo noquierou...@gmail.com escribió: El 03/09/09, Daniel Serpell dserp...@gmail.com escribió: Hola! El Wed, Sep 02, 2009 at 02:12:25PM -0400, Leonardo San Martin escribio: 2009/9/2 Rodrigo Gutiérrez Torres rodrigogutierreztor...@gmail.com Acabo de hacer esa prueba con mi aparatito del T-Banc: escribí el número y, en cuanto cambió, presioné Enter. No me aceptó la clave y tuve que reingresar por la actual. Al menos en mi caso, los relojes andan como reloj :). Con la tecnología de hoy día, un reloj electrónico no se atrasa/adelanta fácilmente. Deben pasar unos cuantos miles de años para obtener milésimas de segundos de desfase, ergo era de esperar el resultado de tu prueba. Mmm..., ¡ojalá fueran tan precisos! :-) Un reloj de cuarzo de precisión (calibrado de fábrica) puede llegar a variar unos 30 segundos al año (aprox. 1ppm). Más precisión que esa requiere compensar según la temperatura ambiente de manera continua, con lo que puedes llegar hasta 3 segundos al año (aprox. 0.1ppm). El problema es que al envejecer, la frecuencia varia de maneras que no son predecibles. Lo que hacen los aparatitos de claves es que el servidor aprende el desface del aparato cada vez que lo utilizas, y predice el estado del reloj interno al momento de verificar la clave. Y el aparatito se deshabilita luego de unos años para que debas cambiarlo por uno nuevo calibrado. En el servidor utilizas una fuente de reloj más precisa, por ejemplo un receptor de GPS o un reloj esclavo compensado por NTP. Daniel. Disculpen un poco mi salida de tópico, pero hay algo que me queda dando vueltas de toda esta discusión, y tiene que ver con el dilema de las passwords a veces forzadamente básicas e inseguras se solicitan o asignan para estos sitios web y cajeros automáticos. Para mí es horriblemente injusto, incómodo e inseguro que, en mi caso, sea forzado a usar claves de 4 dígitos para ATM y el sitio web del banco. El cartón de bingo es prácticamente subutilizado en algunos bancos. La verdad preguntaría a quién debo matar por tal aberración, pero sería irme del tema. Por eso planteo ¿qué hay del forzar los malditos 4 dígitos? Eso responde a que los sistemas bancarios son arcaicos. Fueron diseñados en Cobol, y actualmente siguen funcionando de la misma manera. En su tiempo, no fue pensada quizas una solución mas avanzada de seguridad. Imaginate migrar o modificar un sistema completo bancario (la red bancaria nacional en realidad) a un sistema moderno: hoy en dia especialistas en desarrollo en Cobol son los menos. Es por eso, que los cajeros a pesar de estar cada dia mas bonitos, le coloquen animaciones y todo eso, la aplicacion de giro de dinero sigue siendo lento y vejete..jejeje.Lo importante es que aun funcionan ... (no se por cuanto mas)
Re: Felicitaciones a Germán!
El 3 de septiembre de 2009 09:26, Carlos (casep) Sepulveda ca...@fedoraproject.org escribió: Estimados: Para los que aún no se han enterado, esta semana finalizaron las elecciones de la junta directiva para la Gnome Foundation. Los resultados acá http://foundation.gnome.org/vote/results.php?election_id=13 Desde acá mis felicitaciones a Germán Poo-Caamaño, uno de los nuevos directores de la Gnome Foundation. PD: aún espero mis libros Germán ;-) -- My name is Ozymandias, king of kings: Look on my works, ye Mighty, and despair! Percy Bysshe Shelley http://www.google.com/profiles/carlos.sepulveda Mis Felicitaciones a German! Exitos totales en tu nueva mision ;) Saludos, Sebastian
Re: Seguridad en bancos (era Re: HA)
El 2 de septiembre de 2009 12:32, Alvaro Herrera alvhe...@alvh.no-ip.orgescribió: Ivan Altamirano escribió: La tarjeta de coordenadas entregada por el Banco Santander y Banco Estado, no tiene mucho que envidiar a los Digipass de otros bancos. Esto es porque la calidad de los Digipass (Material de fabricación) es pésima, igual de pésima que las tarjetas de coordenadas, salvo que a estas últimas no dejan de funcionar por falta de batería ;) . ¿Y eso qué tiene que ver con la seguridad que otorga el aparatito? Si se trata de de tomar fotos al momento de la transacción, pasaría exactamente lo mismo que con los Digipass (Obvio, si fué capaz de ver la clave de la tarjeta de coordenadas, también debiera tener la clave de acceso al Banco). Además, ¿que es mas fácil?, ¿que se te pierda el llavero (lugar donde generalmente las personas almacenan el Digipass) o que se te pierda la billetera (lugar donde generalmente las personas almacenan las tarjetas de coordenadas)?... No, no. Estás confundiendo qué problema ataca cada parte del sistema de seguridad. Primero que nada está la clave común y corriente. La gente es idiota (como ya nos recordaron Alejandro Fuentes y Germán Poo) así que la clave se le olvida, o la mete en un sitio de phishing, o la mete en un PC con un keylogger en un ciber, o la deja anotada en un papel que alguien obtiene. Si este fuera el único mecanismo de seguridad, las cuentas pasarían vacías. Segundo está la clave que entrega el pinpass. Esta clave no permite ataques de replay, así que el keylogger no sirve. No se puede anotar en ninguna parte. No hay modo que un phisher obtenga la clave (a menos que el phisher haga de man-in-the-middle, pero esto es muchísimo más complicado que un phishing común y corriente). ¿Se te perdió el artefacto de números aleatorios? No es tan grave, porque aún existe la otra clave. En el intertanto es posible que te des cuenta que se perdió y pidas uno nuevo y que se anule el anterior, antes que el atacante pueda obtener tu otra clave. Si se te pierde el llavero, normalmente lo sabes de inmediato (sobre todo si tiene el pinpass). El atacante no puede atacarte hasta que no haya conseguido tu segunda clave; y tú lo invalidarás lo antes posible. Si te copian la tarjeta, y no te das cuenta, el atacante sólo tiene que esperar hasta poder conseguir la clave, pero tú no te has dado cuenta del hurto así que no te preocuparás de cambiarla. Que mejor explicacion que esa. Tecnicas de keylogger, phishing, no sirven mucho aca... Tecnicas avanzadas y complejas podrian hacer algo. Es mas, como dato, las llaves RSA no ha sido quebrado aun, imaginate alguien logra conseguirlo. Hace un tiempo, el Dr. Scolnik postulo que estuvo trabajando en esto, y que pronto sera capaz de quebrar estas llavecitas... http://www.criticadigital.com/impresa/index.php?secc=notanid=7572 Aca hay PDF con mas info respecto al funcionamiento de SecureID (para los tecnicistas!) http://eprint.iacr.org/2003/162.pdf Un emulador de SecureID simplecito... http://seclists.org/bugtraq/2000/Dec/0459.html -- Alvaro Herrera http://planet.postgresql.org/ Y dijo Dios: Que sea Satanás, para que la gente no me culpe de todo a mí. Y que hayan abogados, para que la gente no culpe de todo a Satanás
Re: Seguridad en bancos (era Re: HA)
El 2 de septiembre de 2009 16:05, Ricardo Munoz rmu...@tux.cl escribió: El 2 de septiembre de 2009 15:28, Alvaro Herrera alvhe...@alvh.no-ip.orgescribió: Ricardo Munoz escribió: con tu clave comun y corriente (obtenida mediante un keylogger en un ciber) yo podria saber la cantidad de dinero que manejas, donde/cuando/como lo gastas, donde trabajas, si tienes hijos y donde los llevas a pasear el fin de semana, etc. luego (si manejas mucho dinero) con esa informacion (podria hacer mucho mas dan~o que una simple transaccion bancaria... por ejemplo, robar las cosas de tu departamento o casa, robar tu auto, secuestrar a alguien de tu familia, etc. BTW solo con el RUT y un poco de plata puedes pedirle muchos datos sobre una persona a Dicom. exacto. por lo mismo dije que lo del Digipass, Multipass, etc. es solo una ilusion para hacerte sentir mas seguro... ;) lo mismo que una alarma o cerradura de seguridad. por mas alarmas, cerraduras, guardias, etc. que tengas si quieren robarte algo te van a robar igual. Discrepo en esto. Los tokens de seguridad efectivamente nos dan una seguridad adicional en nuestras transacciones bancarias. De hecho, no puedes ni ver tu cartola sin la famosa token, ni mucho menos generar un pago. Estas amarrado a una 2° validacion robusta. Y siendo honestos, para el comun es complicadisimo quebrar este mecanismo, a no ser que se destape un agujero de seguridad de la aplicacion bancaria. Obviamente, si obtengo el RUT del cliente, puedo hacer muuuchas cosas, con los contactos o movidas correspondientes (Dicom, SII, Registro Civil) como ejemplo. Eso nos remonta a tecnicas de espionaje, ingenieria social y otras morbosidades mas, que no irian al caso. -- Ricardo Mun~oz A. http://www.tux.cl
Re: Seguridad en bancos (era Re: HA)
El 2 de septiembre de 2009 17:34, Ricardo Munoz rmu...@tux.cl escribió: El 2 de septiembre de 2009 16:41, Sebastián Veloso Varas svel...@sevelv.clescribió: El 2 de septiembre de 2009 16:05, Ricardo Munoz rmu...@tux.cl escribió: El 2 de septiembre de 2009 15:28, Alvaro Herrera alvhe...@alvh.no-ip.orgescribió: Ricardo Munoz escribió: con tu clave comun y corriente (obtenida mediante un keylogger en un ciber) yo podria saber la cantidad de dinero que manejas, donde/cuando/como lo gastas, donde trabajas, si tienes hijos y donde los llevas a pasear el fin de semana, etc. luego (si manejas mucho dinero) con esa informacion (podria hacer mucho mas dan~o que una simple transaccion bancaria... por ejemplo, robar las cosas de tu departamento o casa, robar tu auto, secuestrar a alguien de tu familia, etc. BTW solo con el RUT y un poco de plata puedes pedirle muchos datos sobre una persona a Dicom. exacto. por lo mismo dije que lo del Digipass, Multipass, etc. es solo una ilusion para hacerte sentir mas seguro... ;) lo mismo que una alarma o cerradura de seguridad. por mas alarmas, cerraduras, guardias, etc. que tengas si quieren robarte algo te van a robar igual. Discrepo en esto. Los tokens de seguridad efectivamente nos dan una seguridad adicional en nuestras transacciones bancarias. De hecho, no puedes ni ver tu cartola sin la famosa token, por lo que entiendo, solo el BCI funciona asi. ni mucho menos generar un pago. Estas amarrado a una 2° validacion robusta. Y siendo honestos, para el comun es complicadisimo quebrar este mecanismo, a no ser que se destape un agujero de seguridad de la aplicacion bancaria. el comun no va andar robando dinero ajeno por internet (estas diciendo que todos somos delincuentes? jajaja)... El comun en expertise del tema..jajaja a eso me refiero... el punto no es que sea mas dificil o no romper el mecanismo para un comun. en el link de Wikipedia que entregaron [1] bajo Theoretical vulnerabilities dice Hard tokens on the other hand can be physically stolen (or acquired via social engineering) from end users. The small form factor makes hard token theft much more viable than laptop/desktop scanning. A user will typically wait more than one day before reporting the device as missing, giving the attacker plenty of time to breach the protected system. Obviamente, si obtengo el RUT del cliente, puedo hacer muuuchas cosas, con los contactos o movidas correspondientes (Dicom, SII, Registro Civil) como ejemplo. Eso nos remonta a tecnicas de espionaje, ingenieria social y otras morbosidades mas, que no irian al caso. porque no irian al caso? de que te sirve tener el famoso digipass si por otro lado te pueden robar igual? conoces de algun caso de transacciones realizadas por tereceros (via web) *antes* de implementado lo del digipass? conoces de casos despues de implementado el digipass? han bajado los casos? sin estadisticas a mano es dificil saber acerca de la utilidad del aparatito. Nada es exacto. Simplemente, el hecho de poseer autenticacion de doble factor interpretariamos que existe un mecanismo adicional o una segunda valla a pasar. Tambien no tenemos referencias de como se comporta el diseño de seguridad del sistema bancario. Tampoco sabemos si el cifrado duro del sistema es tan asi, o si el cifrado de mi conexion es 100% segura. Para hacer ese análisis, debiesemos considerar demasiadas variantes sin responder por el momento. Otra duda ¿Existe un metodo mas pro que una autenticacion de doble factor? Lo digo por que se que los sistemas bancarios /y muchos mas/ se ven muuyy robustos, pero por detras, en bambalinas, se arman como palitos de fosforos... [1] http://en.wikipedia.org/wiki/SecurID -- Ricardo Mun~oz A. http://www.tux.cl
Re: Seguridad en bancos (era Re: HA)
El 2 de septiembre de 2009 17:34, Ricardo Munoz rmu...@tux.cl escribió: El 2 de septiembre de 2009 16:41, Sebastián Veloso Varas svel...@sevelv.clescribió: El 2 de septiembre de 2009 16:05, Ricardo Munoz rmu...@tux.cl escribió: El 2 de septiembre de 2009 15:28, Alvaro Herrera alvhe...@alvh.no-ip.orgescribió: Ricardo Munoz escribió: con tu clave comun y corriente (obtenida mediante un keylogger en un ciber) yo podria saber la cantidad de dinero que manejas, donde/cuando/como lo gastas, donde trabajas, si tienes hijos y donde los llevas a pasear el fin de semana, etc. luego (si manejas mucho dinero) con esa informacion (podria hacer mucho mas dan~o que una simple transaccion bancaria... por ejemplo, robar las cosas de tu departamento o casa, robar tu auto, secuestrar a alguien de tu familia, etc. BTW solo con el RUT y un poco de plata puedes pedirle muchos datos sobre una persona a Dicom. exacto. por lo mismo dije que lo del Digipass, Multipass, etc. es solo una ilusion para hacerte sentir mas seguro... ;) lo mismo que una alarma o cerradura de seguridad. por mas alarmas, cerraduras, guardias, etc. que tengas si quieren robarte algo te van a robar igual. Discrepo en esto. Los tokens de seguridad efectivamente nos dan una seguridad adicional en nuestras transacciones bancarias. De hecho, no puedes ni ver tu cartola sin la famosa token, por lo que entiendo, solo el BCI funciona asi. ni mucho menos generar un pago. Estas amarrado a una 2° validacion robusta. Y siendo honestos, para el comun es complicadisimo quebrar este mecanismo, a no ser que se destape un agujero de seguridad de la aplicacion bancaria. el comun no va andar robando dinero ajeno por internet (estas diciendo que todos somos delincuentes? jajaja)... el punto no es que sea mas dificil o no romper el mecanismo para un comun. en el link de Wikipedia que entregaron [1] bajo Theoretical vulnerabilities dice Hard tokens on the other hand can be physically stolen (or acquired via social engineering) from end users. The small form factor makes hard token theft much more viable than laptop/desktop scanning. A user will typically wait more than one day before reporting the device as missing, giving the attacker plenty of time to breach the protected system. Ingenieria social, astucia, mas que conocimientos, son metodos mmm rebuscados, o sea mas bien, robos dirigidos..muy dirigidos creo yo (p.ej le quieres robar plata a tu compañero de trabajo y debes averiguar ciertas cosas antes de...) Obviamente, si obtengo el RUT del cliente, puedo hacer muuuchas cosas, con los contactos o movidas correspondientes (Dicom, SII, Registro Civil) como ejemplo. Eso nos remonta a tecnicas de espionaje, ingenieria social y otras morbosidades mas, que no irian al caso. porque no irian al caso? de que te sirve tener el famoso digipass si por otro lado te pueden robar igual? conoces de algun caso de transacciones realizadas por tereceros (via web) *antes* de implementado lo del digipass? conoces de casos despues de implementado el digipass? han bajado los casos? sin estadisticas a mano es dificil saber acerca de la utilidad del aparatito. [1] http://en.wikipedia.org/wiki/SecurID -- Ricardo Mun~oz A. http://www.tux.cl
Re: HA
El 1 de septiembre de 2009 09:53, Claudio Hormazábal Ocampo chormaza...@ucentral.cl escribió: Sebastián, no he utilizado Piranha sólo Hearbeat + Ldirector, pero la consulta del millón: Si tienes 2 servidores web detrás y uno se cae, Piranha detecta la caída de servicio para sólo enviar las nuevas conexiones al apache que está arriba? Y Lo otro es capaz de balancear la carga? SLDS Atte., Claudio Hormazábal Ocampo Administrador de Sistemas Universidad Central de Chile Fono: (56) (2) 582 6059 Skype: claudio.hormazabal http://claudio.hormazabal.cl -Mensaje original- De: linux-boun...@listas.inf.utfsm.cl [mailto:linux- boun...@listas.inf.utfsm.cl] En nombre de Sebastián Veloso Varas Enviado el: Lunes, 31 de Agosto de 2009 20:19 Para: Discusion de Linux en Castellano Asunto: Re: HA El 31 de agosto de 2009 16:28, Claudio Hormazábal Ocampo chormaza...@ucentral.cl escribió: Estimados, he estado jugando con Hearbeat levanté dos nodos y realicé pruebas de disponibilidad y funciona perfecto. Detrás de estos tengo 2 servidores web. Al bajar apache en un server, Heartbeat no es capaz de reconocer la baja de servicio(corríjanme su me equivoco) por lo que siguen entrando conexiones a ambos apaches, siendo la idea que sólo entren al que tiene apache arriba. La consulta es la siguiente: Para solucionar esto, cual es la experiencia de ustedes en algún sistema como LVS o algo parecido/mejor enfocado a web que me dé solución a lo planteado? Gracias. Atte., Claudio Hormazábal Ocampo Administrador de Sistemas Universidad Central de Chile Fono: (56) (2) 582 6059 Skype: claudio.hormazabal http://claudio.hormazabal.cl Hola Claudio, ¿Has utilizado Piranha? A mi me va muy bien. Esta diseñado para HA de plataformas web y FTP. Saludos, Sebastian Veloso. Claro, la teoria es que funciones de 1 a N equipos detrás del servidor, y que si se cae uno, pase el trafico directamente a o los equipos disponibles (depende de la configuracion claramente). Un problema que noté (sinceramente, no recuerdo como solucione eso) era que cuando realizabas balanceo dinamico con una aplicacion web que ejecutaba sesiones, no funcionaba, puesto que al entrar una peticion por un servidor y atenderla por otra la sesion expiraba. Una alternativa es failover, es decir, si se cae el servidor 1, que responda el 2 o viceversa. Tienes bastante para probar ahi. Saludos, Sebastian
Re: HA
El 1 de septiembre de 2009 11:12, Alvaro Herrera alvhe...@alvh.no-ip.orgescribió: Sebastián Veloso Varas escribió: Claro, la teoria es que funciones de 1 a N equipos detrás del servidor, y que si se cae uno, pase el trafico directamente a o los equipos disponibles (depende de la configuracion claramente). Un problema que noté (sinceramente, no recuerdo como solucione eso) era que cuando realizabas balanceo dinamico con una aplicacion web que ejecutaba sesiones, no funcionaba, puesto que al entrar una peticion por un servidor y atenderla por otra la sesion expiraba. A este problema le dan poca importancia los sysadmins por lo que he visto, pero es MUY molesto para los usuarios. Anoche estuve viendo a mi suegra tratando de hacer una transferencia electrónica en el sitio del Banco Santander ... en el rato en que se demoraba en escribir los datos del destinatario, le expiraba la sesión y tenía que empezar de nuevo. Tuvo que hacerlo como 4 veces. Puede que sea un problema puntual con el banco. Ya sea por exceso de consultas, o la aplicacion del Santander (hace un tiempo atras, se cayo 1 dia entero y mucha gente quedo sin hacer nada online!). En mi caso personal,con BCI, si dejo de trabajar o consultar sobre mi cuenta, automaticamente me expira la sesion. Creo que este es un mecanismo de seguridad de la aplicacion, mas que un problema de balanceo o sesiones. Y de que es molesto a veces? Si! y bastante... (y ni hablar, tener que meter la clave de pinpass, llave segura, etc..etc..) Algún tarado pensará que esto mejora la seguridad del sitio, pero es para tirarle manual de usabilidad (uno bien gordo, empastado en tapas duras) por la cabeza. Pero, por supuesto, ellos tienen alta disponibilidad ... -- Alvaro Herrera Valdivia, Chile Geotag: -39,815 -73,257 Un poeta es un mundo encerrado en un hombre (Victor Hugo)
Re: HA
El 1 de septiembre de 2009 12:32, Ricardo Munoz rmu...@tux.cl escribió: El 1 de septiembre de 2009 11:12, Alvaro Herrera alvhe...@alvh.no-ip.orgescribió: Sebastián Veloso Varas escribió: Claro, la teoria es que funciones de 1 a N equipos detrás del servidor, y que si se cae uno, pase el trafico directamente a o los equipos disponibles (depende de la configuracion claramente). Un problema que noté (sinceramente, no recuerdo como solucione eso) era que cuando realizabas balanceo dinamico con una aplicacion web que ejecutaba sesiones, no funcionaba, puesto que al entrar una peticion por un servidor y atenderla por otra la sesion expiraba. A este problema le dan poca importancia los sysadmins por lo que he visto, pero es MUY molesto para los usuarios. Anoche estuve viendo a mi suegra tratando de hacer una transferencia electrónica en el sitio del Banco Santander ... en el rato en que se demoraba en escribir los datos del destinatario, le expiraba la sesión y tenía que empezar de nuevo. Tuvo que hacerlo como 4 veces. creo que el problema que menciona Sebastian tiene que ver con que la informacion de la sesion se guarda dentro del servidor y no de manera compartida (por ejemplo dentro de una base de datos). entonces al balancearse la carga entre uno y otro servidor se pierde la informacion de la sesion, esto se soluciona a nivel de aplicacion o activando sticky sessions en el balanceador de carga. Exacto. Algún tarado pensará que esto mejora la seguridad del sitio, pero es para tirarle manual de usabilidad (uno bien gordo, empastado en tapas duras) por la cabeza. respecto al problema de tu suegra, encontre esto en el sitio de MSDN [1] (quizas off-topic citar algo relacionado con M$, pero el sitio del Santander esta hecho con ASP) Detalles, La idea es donde sea, hacer lo mejor posible o acaso tambien no has visto portales en JSP, PHP que dejan bastante que desear jejeje Most Web administrators set this property to 8 minutes. It should not be set higher than 20 minutes (except in special cases) because every open session is holding onto memory. It should also not be set lower than 4 minutes because clients rarely respond within that time resulting in a loss of session state. probablemente los del Santander no leen las recomendaciones de M$ o no tienen dinero para ponerle mas memoria a sus servidores... ;) Pero, por supuesto, ellos tienen alta disponibilidad ... hasta por ahi nomas porque los fines de mes es imposible realizar algun tipo de transaccion... muchisima gente se mete (al mismo tiempo) a revisar si les han pagado su sueldo o no... Creo lo mismo. Mala suerte del momento no mas!! [1] http://msdn.microsoft.com/en-us/library/ms525473.aspx -- Ricardo Mun~oz A. http://www.tux.cl
Re: Seguridad en bancos (era Re: HA)
El 1 de septiembre de 2009 18:13, Alvaro Herrera alvhe...@alvh.no-ip.orgescribió: Sebastián Veloso Varas escribió: Puede que sea un problema puntual con el banco. Ya sea por exceso de consultas, o la aplicacion del Santander (hace un tiempo atras, se cayo 1 dia entero y mucha gente quedo sin hacer nada online!). En mi caso personal,con BCI, si dejo de trabajar o consultar sobre mi cuenta, automaticamente me expira la sesion. Creo que este es un mecanismo de seguridad de la aplicacion, mas que un problema de balanceo o sesiones. Y de que es molesto a veces? Si! y bastante... (y ni hablar, tener que meter la clave de pinpass, llave segura, etc..etc..) A propósito, vi el pinpass que le entregaron a mi suegra. Un chiste. En mi anterior banco, el Chile, y en el actual el Scotia, me entregaron un aparatito electrónico con un botón. Al apretarlo me da un número seguro para transacciones electrónicas. Hasta aquí todo bien, y todo el mundo debe estar pensando ah, igual que yo. Mi suegra ayer estaba haciendo las transacciones con una cuestión que parecía un calendario de bolsillo. WTF? Le eché una mirada: una tarjeta de cartón con una tabla cuadrada de números, con coordenadas. El sitio web entrega tres pares de coordenadas (por ej. A1 D3 F8) y uno mira la tarjeta e ingresa los números que ahí dicen. Inmediatamente viene a la mente un ... WTF!?!?!? Yo francamente no puedo imaginarme una idea más estúpida. Imaginen que alguien saca esa tarjeta en un ciber para hacer una transacción. El de al lado tiene la oportunidad perfecta para tomarle una foto ... y listo, perdiste la seguridad, aunque conservas la tarjeta. El sistema en si es bien seguro, pero tal como dices tu, es mucho mas vulnerable que la pinpass o mejor dejemoslo como Token de Seguridad, Sistema de Autenticacion Robusta, Doble factor...etc. Normalmente, son soluciones RSA basadas en su linea de productos SecureID, la empresa de seguridad de informacion mas importante del mundo. Si te roban el aparato electrónico por último te das cuenta que no lo tienes. Y definitivamente no hay forma de saber qué número va a generar en un instante dado. Banco Santander, acompañándote en los períodos de escasez de cerebro. Simplemente, se ahorran lucas con la tarjetita (sin desmerecerla, obvio) -- Alvaro Herrera http://www.amazon.com/gp/registry/3BP7BYG9PUGI8 Aprende a avergonzarte más ante ti que ante los demás (Demócrito)
Re: Seguridad en bancos (era Re: HA)
El 1 de septiembre de 2009 19:00, Ivan Altamirano ivangelio...@gmail.comescribió: La tarjeta de coordenadas entregada por el Banco Santander y Banco Estado, no tiene mucho que envidiar a los Digipass de otros bancos. Esto es porque la calidad de los Digipass (Material de fabricación) es pésima, igual de pésima que las tarjetas de coordenadas, salvo que a estas últimas no dejan de funcionar por falta de batería ;) . Conozco gente que tiene estos tokens de seguridad hace mas de 3 años y nada de nada...Es mas, ellos detectan (si alguno sabe como!) si tu lo echas a perder o no directamente y te lo renuevan sin costo ante tal caso. Si se trata de de tomar fotos al momento de la transacción, pasaría exactamente lo mismo que con los Digipass (Obvio, si fué capaz de ver la clave de la tarjeta de coordenadas, también debiera tener la clave de acceso al Banco). Además, ¿que es mas fácil?, ¿que se te pierda el llavero (lugar donde generalmente las personas almacenan el Digipass) o que se te pierda la billetera (lugar donde generalmente las personas almacenan las tarjetas de coordenadas)?... Eso ya es seguridad capa 8. La mas peligrosa por cierto. Ahi estamos apelando a probabilidades mas que realidades. En definitiva, puede haber una seguridad increíble, pero siempre habrá un usuario poco hábil, por decir lo menos, que viole esa seguridad ... Saludos El 1 de septiembre de 2009 18:13, Alvaro Herrera alvhe...@alvh.no-ip.orgescribió: Sebastián Veloso Varas escribió: Puede que sea un problema puntual con el banco. Ya sea por exceso de consultas, o la aplicacion del Santander (hace un tiempo atras, se cayo 1 dia entero y mucha gente quedo sin hacer nada online!). En mi caso personal,con BCI, si dejo de trabajar o consultar sobre mi cuenta, automaticamente me expira la sesion. Creo que este es un mecanismo de seguridad de la aplicacion, mas que un problema de balanceo o sesiones. Y de que es molesto a veces? Si! y bastante... (y ni hablar, tener que meter la clave de pinpass, llave segura, etc..etc..) A propósito, vi el pinpass que le entregaron a mi suegra. Un chiste. En mi anterior banco, el Chile, y en el actual el Scotia, me entregaron un aparatito electrónico con un botón. Al apretarlo me da un número seguro para transacciones electrónicas. Hasta aquí todo bien, y todo el mundo debe estar pensando ah, igual que yo. Mi suegra ayer estaba haciendo las transacciones con una cuestión que parecía un calendario de bolsillo. WTF? Le eché una mirada: una tarjeta de cartón con una tabla cuadrada de números, con coordenadas. El sitio web entrega tres pares de coordenadas (por ej. A1 D3 F8) y uno mira la tarjeta e ingresa los números que ahí dicen. Inmediatamente viene a la mente un ... WTF!?!?!? Yo francamente no puedo imaginarme una idea más estúpida. Imaginen que alguien saca esa tarjeta en un ciber para hacer una transacción. El de al lado tiene la oportunidad perfecta para tomarle una foto ... y listo, perdiste la seguridad, aunque conservas la tarjeta. Si te roban el aparato electrónico por último te das cuenta que no lo tienes. Y definitivamente no hay forma de saber qué número va a generar en un instante dado. Banco Santander, acompañándote en los períodos de escasez de cerebro. -- Alvaro Herrera http://www.amazon.com/gp/registry/3BP7BYG9PUGI8 Aprende a avergonzarte más ante ti que ante los demás (Demócrito) -- Ivan Altamirano Tecnico Universitario en Informática UTFSM - Sede JMC
Re: Seguridad en bancos (era Re: HA)
El 1 de septiembre de 2009 19:11, Alvaro Herrera alvhe...@alvh.no-ip.orgescribió: Ricardo Munoz escribió: El 1 de septiembre de 2009 18:13, Alvaro Herrera alvhe...@alvh.no-ip.orgescribió: Yo francamente no puedo imaginarme una idea más estúpida. Imaginen que alguien saca esa tarjeta en un ciber para hacer una transacción. El de al lado tiene la oportunidad perfecta para tomarle una foto ... y listo, perdiste la seguridad, aunque conservas la tarjeta. hmm... hacer una transaccion en un ciber no es buena idea, me preocuparia mas por un keylogger que por alguien sacando una foto la tarjetita... Ya, puede ser, pero lo malo es que la tarjeta tiene los números a la vista en forma permanente, y quien la copie va a poder generar el número en cualquier momento porque el componente aleatorio viene del banco, no está en el cliente. En el caso del token electrónico, el aparatito mismo tiene incorporado el componente aleatorio; no puedes llegar y copiarlo. Banco Santander, acompañándote en los períodos de escasez de cerebro. ultimamente me ha pasado en el Santander que se em han perdido transacciones (se van al cielo de las transacciones...jajjaja) simplemente quedan Sin Informacion aunque no se me descuenta el monto transferido. otra pifia es que al ver el historial de las transacciones realizadas a una persona aparecen las transacciones pero todas con el mismo monto... Ya. O sea varias pifias serias. aun asi, creo que el sitio del Santander es el mejorcito en comparacion al resto aca en Chile. Huh! Cuando yo tenía en el Chile el sitio era bastante bueno (excepto el sitio de la sucursal New York que era horriblemente primitivo). El sitio del BCI es bastante malo. No me queda claro el concepto (el que se usa aca al menos) de sitio malo, buen sitioEstética? Funcionalidades? Mecanismos de Seguridad?? Por que si el sitio es bonito, pero se cae a cada rato, me genera duplicidad de transacciones, no usa SSL, para eso prefiero un sitio ultrafeo pero seguro. Y el del Scotiabank a mi me parece muy bueno; hasta el momento la única queja seria que tengo es que la página inicial donde piden el login no es https. Buen detalle. Ni idea de eso...¿Reclamos a tu banco?? -- Alvaro Herrera Valdivia, Chile Geotag: -39,815 -73,257 If you have nothing to say, maybe you need just the right tool to help you not say it. (New York Times, about Microsoft PowerPoint)
Re: Seguridad en bancos (era Re: HA)
El 1 de septiembre de 2009 20:42, Germán Póo-Caamaño g...@calcifer.orgescribió: On Tue, 2009-09-01 at 19:39 -0400, Sebastián Veloso Varas wrote: El 1 de septiembre de 2009 19:00, Ivan Altamirano ivangelio...@gmail.comescribió: La tarjeta de coordenadas entregada por el Banco Santander y Banco Estado, no tiene mucho que envidiar a los Digipass de otros bancos. Esto es porque la calidad de los Digipass (Material de fabricación) es pésima, igual de pésima que las tarjetas de coordenadas, salvo que a estas últimas no dejan de funcionar por falta de batería ;) . Conozco gente que tiene estos tokens de seguridad hace mas de 3 años y nada de nada...Es mas, ellos detectan (si alguno sabe como!) si tu lo echas a perder o no directamente y te lo renuevan sin costo ante tal caso. Si se trata de de tomar fotos al momento de la transacción, pasaría exactamente lo mismo que con los Digipass (Obvio, si fué capaz de ver la clave de la tarjeta de coordenadas, también debiera tener la clave de acceso al Banco). Además, ¿que es mas fácil?, ¿que se te pierda el llavero (lugar donde generalmente las personas almacenan el Digipass) o que se te pierda la billetera (lugar donde generalmente las personas almacenan las tarjetas de coordenadas)?... Eso ya es seguridad capa 8. La mas peligrosa por cierto. Ahi estamos apelando a probabilidades mas que realidades. No, no, no. La seguridad se debe evaluar en la parte más débil de la cadena, no simplemente en la parte técnica. (No obstante, ¿La capa 8 de quién? ¿del banco o de los usuarios? :-) Me refería al usuario. Es quien determina el factor de exito de un sistema (de cualquier tipo). Pero bueno...eso da tema para rato =) Lo hacia referencia a que si el usuario pierde las digipass, pinpass, etc...jeje -- Germán Póo-Caamaño Concepción - Chile http://www.calcifer.org/
Re: HA
El 31 de agosto de 2009 16:28, Claudio Hormazábal Ocampo chormaza...@ucentral.cl escribió: Estimados, he estado jugando con Hearbeat levanté dos nodos y realicé pruebas de disponibilidad y funciona perfecto. Detrás de estos tengo 2 servidores web. Al bajar apache en un server, Heartbeat no es capaz de reconocer la baja de servicio(corríjanme su me equivoco) por lo que siguen entrando conexiones a ambos apaches, siendo la idea que sólo entren al que tiene apache arriba. La consulta es la siguiente: Para solucionar esto, cual es la experiencia de ustedes en algún sistema como LVS o algo parecido/mejor enfocado a web que me dé solución a lo planteado? Gracias. Atte., Claudio Hormazábal Ocampo Administrador de Sistemas Universidad Central de Chile Fono: (56) (2) 582 6059 Skype: claudio.hormazabal http://claudio.hormazabal.cl Hola Claudio, ¿Has utilizado Piranha? A mi me va muy bien. Esta diseñado para HA de plataformas web y FTP. Saludos, Sebastian Veloso.
Re: tracking de actividades para un sysadmin
2009/8/21 César Sepúlveda B kropotki...@gmail.com Hola Lista. En estos momentos estoy administrando alrededor una decenas de servidores, y algunos de esos con maquinas virtuales, lo cual suman otros más. Desde hace un tiempo a la fecha vengo registrando en una carpeta con un archivo por cada servidor las cosas que realizado, más que nada para tener un respaldo en caso de algo, saber quien solicito algún cambio, para que cliente, y que fue lo que exactamente se realizo, etc. Esto como comprenderán despues de unos meses se desordeno bastante, si que ahora estoy buscando algún sistema, algo así como un php+mysql que me ayude con esta tarea, y así despues buscar por tags, por fecha, por cliente, por el encargado que pidió el cambio, etc. ¿Alguien conoce algo sencillo para esto?, estuve viendo algunos groupware como netoffice, pero estos quedan un poco grande para esta tarea. ¿Alguna sugerencia? Saludos! Hola, Sugiero que te bases primero que todo, en las recomendaciones de ITIL para solucionar un sin fin de cuestiones relacionadas a la gestion IT de tu empresa/organizacion. En base a esto, puedes encontrar respuestas y mejores prácticas para incrementar productividad, agilidad y eficacia para la resolucion de problemas. Curso en Linea ITIL http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/vision_general_gestion_servicios_TI/vision_general_gestion_servicios_TI.php Respecto a tu problema puntual, puedes utilizar : DrProject (mejora a Trac) https://www.drproject.org/ Trac (tracking!) http://trac.edgewall.org/ SVN (repo) http://subversion.tigris.org/ OTRS (ticket-tracking) http://otrs.org/ El tema debes pensarlo a nivel macro, es decir, tener una linea de gestion que tenga alcance en continuidad de negocios, productivdad, seguridad, soporte y gestión de los servicios. Debes pensar que muchas implementaciones son transversales y afectan o atacan directamente la gestion de la organizacion. Saludos, Sebastian Veloso
Re: OT: Sistema de Información Geográfica, GIS o S IG
Hola, Puedes usar : MapServer, como servidor GIS PostGIS, como base de datos Si te complica mucho, puedes usar la API de Google, y consumir servicios de este. Saludos, Sebastian El 3 de agosto de 2009 16:01, wladi...@mpudahuel.cl escribió: Hace un tiempo en mi trabajo se está desarrollando un muy buen proyecto que permite mostrar digitalmente datos, vincula planos georeferenciados y sus respectivos polígonos directamente a las bases de datos. Quisiera saber si existe una experiencia similar en linux. Gracias
Re: Pfsense+Bridge
Buena pregunta, pero creo que discusiones de BSD y otras derivas no van en esta lista. Saludos, Sebastian El 4 de agosto de 2009 13:19, Carlos Martinez carlos.martinez...@gmail.comescribió: Hola listeros. Necesito referencias de Pfsense para montar un Firewall, viene en una iso he instala freebsd. ¿Alguie lo ha usado? Espero sus comentarios. Saludos. Carlos Martínez.
Re: Pfsense+Bridge
El 4 de agosto de 2009 21:11, Pedro GM saxeu...@gmail.com escribió: On Tue, Aug 04, 2009 at 02:19:23PM -0400, Carlos Martinez wrote: GRACIAS POR SUS COMENTARIOS. ...A PROBAR ENTONCES. SALUDOS El 4 de agosto de 2009 13:43, Sebastián Veloso Varas svel...@sevelv.clescribió: Buena pregunta, pero creo que discusiones de BSD y otras derivas no van en esta lista. Saludos, Sebastian Creo que tiene cierto sentido decir que BSD no cabe aca, pero creo que tambien sirve de puente para mencionar a linux. Hay algunas alternativas similares en linux, como IPCOP y smoothwall, pfsense es basado en freebsd pero su administracion es via web por lo que no hay mucha curva de aprendizae involucrada. IPCOP ha funcionado bien donde lo he visto implementado, tal vez te serviria hechar una mirada , lamentablemente en su pagina principal no veo actualizacion de este año... http://www.ipcop.org/ http://www.smoothwall.org/ Tambien es mencionable Untangle. Un excelente appliance para propositos SOHO, pymes. http://www.untangle.com/home No he visto muchas alternativas en linux al respecto mas alla de ipcop y smoothwall. Este tema me es de interes pues veo que pf de bsd es bastante eficiente en combinacion con otras herramientas como 'AltQ' y otras especies de bsd. Tengo mis dudas si se puede obtener lo mismo con iptables+tc y similares, ese es unt ema que use para mi tesis tieeempo atras... pero no he profundizado como se debe... ¿Alquien tiene mayor info? En Linux, el tándem Iptables + TC /y lo único/ es lo mejor. El 4 de agosto de 2009 13:19, Carlos Martinez carlos.martinez...@gmail.comescribió: Hola listeros. Necesito referencias de Pfsense para montar un Firewall, viene en una iso he instala freebsd. ¿Alguie lo ha usado? Espero sus comentarios. Saludos. Carlos Martínez. -- -- ::Pedro::GM:: Linux User #397462 http://counter.li.org --
Re: Rastrear origen de correos electronicos enviados !!!
Estimado, Gmail dentro de sus politicas no registra en los encabezados la ip de origen del envio de correo. Ver : http://mail.google.com/mail/help/intl/es/privacy.html http://mail.google.com/privacypolicy.html Hotmail si lo hace, y basta con ver el encabezado o header de un correo Saludos, Sebastian El 24 de julio de 2009 19:17, Angelo Astorga angeloasto...@gmail.comescribió: Hola lista, alguien sabe o conoce de algun programita o procedimiento que me permita encontrar el origen real de algun correo electronico recibido... por ejemplo, si tengo una cuenta de hotmail o gmail y envio desde mi trabajo un correo, podria llegar a encontrar o saber la IP publica de mi trabajo ¿¿?? gracias...
Re: ZIMBRA Relay Access Deny
Wladimir, Hay 2 posibilidades : - Que no este activo el SMTP_Auth en tu Outlook - El acceso al protocolo SMTP y POP3 requiera SSL forzado. Para usar el tradicional, deberias usar configurarlo mixto o bien sin SSL. Saludos, Sebastian El 14 de junio de 2009 23:34, Wladimir A. Jimenez B. wjime...@kasbeel.clescribió: Buenas a todos. Es posible evitar que cuando configuro un outlook desde fuera de la red, zimbra conteste al momento de enviar Relay Access Deny? -- Wladimir A. Jiménez B. http://www.kasbeel.cl Linux User # 444661 Ubuntu User # 19201
Re: ZIMBRA Relay Access Deny
Disculpa, lei mal el enunciado. Asegurate del primer 1 item de mi respuesta, es decir el SMTP_Auth en Outlook. Revisa en tu Zimbra que no tengas restricciones de acceso por IP , la idea es que el SMTP Auth sea tu validador de seguridad. El segundo caso no aplica, puesto que si tienes configuracion valida al parecer y el problema es relay y no acceso. Saludos, El 15 de junio de 2009 8:46, Sebastián Veloso Varas svel...@sevelv.clescribió: Wladimir, Hay 2 posibilidades : - Que no este activo el SMTP_Auth en tu Outlook - El acceso al protocolo SMTP y POP3 requiera SSL forzado. Para usar el tradicional, deberias usar configurarlo mixto o bien sin SSL. Saludos, Sebastian El 14 de junio de 2009 23:34, Wladimir A. Jimenez B. wjime...@kasbeel.clescribió: Buenas a todos. Es posible evitar que cuando configuro un outlook desde fuera de la red, zimbra conteste al momento de enviar Relay Access Deny? -- Wladimir A. Jiménez B. http://www.kasbeel.cl Linux User # 444661 Ubuntu User # 19201
Re: Debian o Ubuntu Server para Servidor?
On Tue, 14 Apr 2009 13:08:39 -0700 (PDT) moreni...@cdsl.cl wrote: Reinaldo Orrego wrote: [...] Ubuntu 8.04 LTS HARDY HERON -- server ; soporte hasta 2013 Ubuntu 8.04 LTS HARDY HERON -- desktop; soporte hasta 2011 Pero eso no es una ventaja por sobre debian Una consulta, es posible pasar de una version de Ubuntu server a una mas nueva sin dolor? Me refiero a sin tener que reinstalar. Pregunto porque en Ubuntu desktop, el par de veces que intente actualizar de sde una version a otra no funciono, y tuve que reinstalar. Muy cierto ;) . Quizàs sea por esto que Ubuntu mantiene disponibilidad de actualizacion por mas años que Debian entre versiones liberadas. En Debian, en cambio, he pasado muchisimas veces de una version a otra sin tener problemas (una vez por jugar fui de estable a inestable directamente, y me devolvi pasando por testing, y el estable final quedo bien, juas! sorprendente!). Notable... eso no lo haria ni por si acaso en una maquina productiva ;) jejeje Saludos. -- Morenisco. Centro de Difusión de Software Libre. http://www.cdsl.cl http://santiago.flisol.cl http://trabajosfloss.noc-root.net Blog: http://morenisco.noc-root.net Sebastián Veloso Varas
Re: Como detectar broadcast
Vida Luz Arista escribió: Hola a todos, Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un problema porque distribuimos el tráfico hacia varias recintos de una universidad, sin embargo en determinado momento se dispara el trafico entrante y se vuelve lento todo, configuramos uno de los puertos del switch como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP no hemos encontrado la manera de saber que IP generan ese broadcast, asi mismo el NTOP consume mucha memoria y a cada momento se detiene. Agradecería cualquier sugerencia. Saludos, “La Vida” Hola Vida, Utiliza primero que todo un buen sniffer para analizar el trafico saliente de tu red (un port mirror solamente) y directamente el sniffer .. ¿Cual? Sniffer Pro de Network Associates, Wiresharklos utilizo bastante. Puede darte alguna pista de donde se esta originando ese trafico innecesario. Si ves trafico del tipo 255.255.255.255 ó p.ej 10.20.0.255 no te asustes, también verás un origen y la cantidad de trafico que genera ;). Debe existir algun equipo infectado o un problema hasta de red (bucles, ataques, spoofing) que debes detectar a la brevedad. Mira, como efecto preventivo puedes limitar el rate de trafico de difusion, con storm-control de Cisco. Ahi puedes especificar que haga un logueo, notifique, descarte el trafico excesivo de difusion o simplemente baje la interfaz. En la interfaz de tu enlace, aplicas el control y podras evitar excesivos traficos. Mas info acá. Hay tips utiles de seguridad en capa 2 para equipamiento Cisco : http://www.ccietalk.com/2008/05/27/port-based-traffic-control#more-14 Esto si bien calmará el problema, la raíz de tu problema esta en tu red. Saludos, Sebastián
Re: Como detectar broadcast
Pedro GM escribió: El sáb, 21-03-2009 a las 10:04 -0600, Vida Luz Arista escribió: Hola a todos, Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un problema porque distribuimos el tráfico hacia varias recintos de una universidad, sin embargo en determinado momento se dispara el trafico entrante y se vuelve lento todo, configuramos uno de los puertos del switch como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP no hemos encontrado la manera de saber que IP generan ese broadcast, asi mismo el NTOP consume mucha memoria y a cada momento se detiene. Agradecería cualquier sugerencia. Saludos, “La Vida” Ntop tiene una opcion -l con esta lo que va capturando se guarda en un archivo con el formato .pcap, entonces lo puedes analizar posteriormente con algun analizador de protocolos compatible con libpcap como tcpdump o wireshark (este ulimo tiene interfaz grafica). Sip, pero es mucho más detallista Wireshark para sus cosas. De esta forma puedes analizar mas en calma los datos de la encapsulacion de los paquetes de broadcast para poder llegar a observar una ip de origen o una mac de origen (que te podria llevar al switch que esta propagando el broadcast, observando con los comandos show del 3550 a que puerto esta asociado esa mac de origen). también notaras si hay algun servicio de aplicación involucrado en esto y te pueda dar mas pistas. Estoy seguro que el problema es un equipo generando trafico en la red con algún virus/troyano (que podría ocasionar ataques DoS, spoofing ARP entre otros) o sino ya un loop de red ... algo que debiese ser controlado por switching. Yo he tenido varios dolores de cabeza por estas causas. La idea es hacer un levantamiento desde lo fisico hasta la aplicacion, distinguir las capas de acceso, distribuicion y core en tu red (si es que las posees claramente identificadas) para solucionar tu problema. Eso es lo que se me ocurre a primera instancia para ayudar a detectar el origen del broadcast. La solución del storm control es buena pero es muy util que encuentres desde donde vienen esos broadcast. Claramente esta es una solución del tipo aspirina para el dolor de cabeza .Son utiles para entender la naturaleza y solucion de la problemática y calmar el momento. suerte.
Re: Como detectar broadcast
Pedro GM escribió: El sáb, 21-03-2009 a las 17:42 -0400, Sebastián Veloso Varas escribió: Pedro GM escribió: El sáb, 21-03-2009 a las 10:04 -0600, Vida Luz Arista escribió: Hola a todos, Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un problema porque distribuimos el tráfico hacia varias recintos de una universidad, sin embargo en determinado momento se dispara el trafico entrante y se vuelve lento todo, configuramos uno de los puertos del switch como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP no hemos encontrado la manera de saber que IP generan ese broadcast, asi mismo el NTOP consume mucha memoria y a cada momento se detiene. Agradecería cualquier sugerencia. Saludos, “La Vida” Ntop tiene una opcion -l con esta lo que va capturando se guarda en un archivo con el formato .pcap, entonces lo puedes analizar posteriormente con algun analizador de protocolos compatible con libpcap como tcpdump o wireshark (este ulimo tiene interfaz grafica). Sip, pero es mucho más detallista Wireshark para sus cosas. Cierto estoy de acuerdo con esa afirmacion, pero ella esta usando Ntop por un tema de estadisticas y graficas del trafico, puede usar ambos(ntop para las graficas y wireshark para analisis) ya que wireshark es muy util para analizar en profundidad. Exacto. Graficamente es mucho mas practico un Ntop. Es por esto que tambien uso /en algunos casos/ el Sniffer Pro de la Network Associates para a veces mostrar graficas a clientes o informes. Tambien es valido lo que dices respecto a Ntop De esta forma puedes analizar mas en calma los datos de la encapsulacion de los paquetes de broadcast para poder llegar a observar una ip de origen o una mac de origen (que te podria llevar al switch que esta propagando el broadcast, observando con los comandos show del 3550 a que puerto esta asociado esa mac de origen). también notaras si hay algun servicio de aplicación involucrado en esto y te pueda dar mas pistas. Estoy seguro que el problema es un equipo generando trafico en la red con algún virus/troyano (que podría ocasionar ataques DoS, spoofing ARP entre otros) o sino ya un loop de red ... algo que debiese ser controlado por switching. Yo he tenido varios dolores de cabeza por estas causas. La idea es hacer un levantamiento desde lo fisico hasta la aplicacion, distinguir las capas de acceso, distribuicion y core en tu red (si es que las posees claramente identificadas) para solucionar tu problema. En mi experiencia es lo mas probable, hace poco tube un caso similar en mi trabajo y eran unas estaciones(infectadas) que inundaban con trafico a toda la lan y se generaban muchas solicitudes arp, una vez localizadas las estaciones un simple netstat mostro mchos sockets abiertos. Por otro lado si fuese una tormenta de broadcast entre switches, el spanning-tree del 3550 lo habria detenido ya. Claro, respecto a tu comentario del 3550 pero estas tormentas en su mayoria a veces no pueden ser controladas por STP automaticamente ni por CLI (o sea entrar al Sw remotamente y verificar que esta pasando). Tampoco no tenemos claridad que este conectado directamente al Switch 3550 (quizas haya un enjambre de hubs o switches en cascada, que se yo .. jejeje). A veces estos equipos simplemente se bloquean y hay que reiniciarlos y desconectar cables!! Eso es lo que se me ocurre a primera instancia para ayudar a detectar el origen del broadcast. La solución del storm control es buena pero es muy util que encuentres desde donde vienen esos broadcast. Claramente esta es una solución del tipo aspirina para el dolor de cabeza .Son utiles para entender la naturaleza y solucion de la problemática y calmar el momento. suerte.
Re: Monitoreo de Routers
Andrés Ovalle Gahona escribió: El 31 de enero de 2009 17:28, CELB maverick@gmail.com escribió: Hola listeros , mi consulta es la siguiente resulta que necesito monitorear el trafico y ancho en el caso de los routers y switch (30 en total) , lo mismo con los servidores y equipos de la red pero un poco mas especifico (recursos utilizados, cantidad de conexiones , etc) Googleando un poco encontré varias soluciones ,, pero no se cual implementar ya que no las conozco mucho . Me podrían aconsejar cual de estas es la mas aventajada para realizar este tipo de monitoreo. nagios munin ntop cacti zabbix openNMS pandorafms Gracias PD: y por favor no me manden a googlear :P Nagios, a pesar que es engorroso y bueno te demoraras en configurarlo. Zabbix es muy bueno y tiene la ventaja de trabajar via plantillas, asi que te ahorra bastante tiempo a la hora de configurarlo. Igualmetne tienes que tener en cuenta que tus router y switch tiene que tener soporte snmp, si no de nada te servira tener un sistema de monitoreo, por que no podras rescatar la info que dan estos aparatos. Si, respecto a lo de Nagios es muy cierto ... ¿Alguien ha tenido experiencia con Centreon? Lo he visto por ahi utilizar y anda segun criticas bien simplificaria el trabajo de Nagios, Otro tambien sería Groundwork, tambien basado sobre Nagios y SNMP (entenderlo por sobre todo, mas que configurar la comunidad y todo eso) es vital para obtener la mayor cantidad de provecho en un sistema de monitoreo. -- CLB Linux User 446689 El hecho de que tengas un trabajo es algo normal; el hecho de que seas bueno en tu trabajo es algo destacable De alguien por alli .
Re: con port mirroring mueren las tarjetas de red
Arturo, ¿Por que mejor no colocas en una misma VLAN los extremos LAN? (Sonicwall y el Linux) Seria mucho menos invasivo y pasaría inadvertido ... El port-mirror normalmente se utiliza para supervisar trafico (p.ej IDS, Proxys, Sniffers) Arturo Mardones escribió: Hola Danilo, el switch es de 24 bocas, un srw2024. las implicadas estan a 100 megas. Un mirror pq en realidad aun estoy peleando poner un fw con linux al frente para hacer toda la pega -tenemos un sonicwall- y para demostrar lo potente del cuento sin realizar nada invasivo es que quiero hacer el mirror. Saludos! Arturo. -- Sebastián Veloso V. Móvil : 9-4968717 Mail: svel...@sevelv.cl Web : www.sevelv.cl
Re: con port mirroring mueren las tarjetas de red
Hola Arturo, Entendí mal pensando que querias colocar un firewall Linux paralelo al existente (Sonicwall). Efectivamente, si necesitas sniffear debes usar port-mirroring o sino un hub de antaño jejeje (util para aquellos switches que no soporte PM) Para que una interfaz este sensando, no debe tener asignada una direccion y trabajar en modo promiscuo (modo sniffing). Quizás haya sido aquello tu problema, pero aun asi es extraño. Pero por lo pronto, ya te está funcionando el asunto Éxito, Saludos, Arturo Mardones escribió: On Mon, Jan 26, 2009 at 9:27 AM, Sebastián Veloso Varas svel...@sevelv.cl wrote: Arturo, ¿Por que mejor no colocas en una misma VLAN los extremos LAN? (Sonicwall y el Linux) Seria mucho menos invasivo y pasaría inadvertido ... El port-mirror normalmente se utiliza para supervisar trafico (p.ej IDS, Proxys, Sniffers) Arturo Mardones escribió: Hola Sebastian, Lo que quiero es pasar justamente todo por ntop, porque tengo las sospecha que tengo mas de algun pc infectado con algun zombie, algunos pc con torrent y mulas, y mas de alguna otra cosa extraña... Ya hice funcionar el tema, el cuento es que la tarjeta de red no debe tener una direccion asignada y con eso funciona inmediatamente... plop! Saludos y gracias a todos por sus respuestas. Arturo. -- Sebastián Veloso V. Móvil : 9-4968717 Mail: svel...@sevelv.cl Web : www.sevelv.cl
Consulta/Discusion : El mejor software opensource/comercial de Virtualizacion
Estimados, He estado probando varios software de virtualización completa, y estoy tratando de encontrar el mejor en cuestiones de rendimiento y administracion. Entre ellos, KVM, OpenVZ y VirtualBox. Dentro de lo comercial, Citrix Xen y VMware (Server, ESX). Estoy corriendo servidores W2K3, W2K8, Linux y BSD. Es por esto que me gustaría saber de acuerdo a la experiencia de ustedes, cual es su preferida, con cuales obtienen mejores rendimiento y algunas acotaciones al respecto. Saludos, Sebastián Veloso Varas.
Re: Consulta/Discusion : El mejor software opensource/comercial de Virtualizacion
Horst H. von Brand escribió: Sebastián Veloso Varas svel...@sevelv.cl wrote: He estado probando varios software de virtualización completa, y estoy tratando de encontrar el mejor en cuestiones de rendimiento y administracion. Entre ellos, KVM, OpenVZ y VirtualBox. Dentro de lo comercial, Citrix Xen y VMware (Server, ESX). Estoy corriendo servidores W2K3, W2K8, Linux y BSD. Lo que se es que Red Hat (y la gente del nucleo Linux) estan dejando caer Xen (por arquitectura, por lios de licencia y por hacerse propietario), y estan migrando en direccion a KVM. Hay Xen (en RHEL y CentOS) para rato (unos 5 an~os...), pero igual entraria a considerar otras alternativas. KVM se comporta bastante bien, he practicado laboratorios y he visto algunos servidores en produccion con RHEL en otros lados y funciona bastante bien. El unico pero en contra podría ser la escabilidad y la administracion de estas VM. Tambien el tema de supervision lo encuentro algo carente (no se si me equivoque o alguien diga lo contrario) Es por esto que me gustarÃa saber de acuerdo a la experiencia de ustedes, cual es su preferida, con cuales obtienen mejores rendimiento y algunas acotaciones al respecto. Estas seguro que el rendimiento a secas es importante? Con el calibre de los cacharros que se venden hoy, y los requerimientos _reales_ de aplicaciones cuerdas (no Win Vista!), en mi lista de criterios estaria mas bien al fondo... Rendimiento en el sentido de como puede manejar el software de virtualizacion los recursos en si, como se comportará en conjunto con la capacidad de hardware y los OS que correran sobre estas VM. Claramente (y ahi el lio) es que tengo varios servers de W2K3/8 que si me consumen por sobre la media de mis VM con Linux y BSD, es por ende que ahi veo el tema de rendimiento. Otro factor que se me escapo fue el tema de las plataformas de hw soportadas, la compatibilidad en si con arquitecturas, la interfaz de administracion (para muchos , este obviable o no). Es ahi donde se disputan las tecnologias con otras En lo personal, he visto buenos resultados con KVM y VirtualBox y en el mundo comercial...lejos con VMware. Saludos, Sebastian
Re: ONG LinuxChillan
Rodrigo Ramirez Norambuena escribió: Estimados, Queremos compartir con todos ustedes la noticia que nos tiene muy contentos http://www.linuxchillan.org/2008/12/03/ya-somos-ong/ Creemos que es un paso importante como también una labor dura. Esperamos poder seguir apoyando el Software Libre y Código Abierto en Chile. Es el inicio de una nueva etapa que esperanzamos generar nuevos emprendimientos en torno al FLOSS. Saludos cordiales, Desde ya, felicitaciones. Espero que se siga trabajando intensivamente por abrir oportunidades y fomentar el uso de Linux. Saludos, Sebastian Veloso.
Re: Problemas con phpMailer y servidor MSExchange
José Palacio escribió: Hola a todos, Mi problema es el siguiente: Debo desarrollar una página en php que envie una serie de correos a diferentes usuarios registrados en una base de datos de mysql, con información única para cada usuario (dicha información está en la base de datos), el problema es que el servidor de correo no se encuentra en la misma máquina, es más es un servidor de correo en Windows con Microsoft Exchange 2007, para hacerlo utilizo la clase phpMailer, con el siguiente código de prueba: ?php include_once('class.phpmailer.php'); $mail = new PHPMailer(); $mail-IsSMTP(); $mail-Host = miservidorExchange; $mail-SMTPAuth = true; $mail-Username = [EMAIL PROTECTED]; $mail-Password = mipassword; $mail-From = [EMAIL PROTECTED]; $mail-FromName = Mi Nombre; $mail-Body = Mensaje $mail-Subject = PHPMailer Test Subject; $mail-AltBody = To view the message, please use an HTML compatible $mail-MsgHTML($body); $mail-AddAddress([EMAIL PROTECTED], Nombre Destino); if(!$mail-Send()) { echo 'Falla enviando mail ' . $mail-ErrorInfo; } else { echo 'Mail enviado'; } ? Al probar el script para verificar el envio de prueba me muestra el siguiente mensaje de error SMTP Error: Could not connect to SMTP host. Que obviamente es un problema de conexión con el servidor Exchange, ahora mi pregunta es si el error será en el phpMailer o en El Exchange, la verdad es la primera vez que hago esto. Gracias de antemano Hola José, Lo primero, revisa que tu equipo Linux pueda realizar telnet hacia el Exchange Server. De ser asi, verifica el tema de relay. Yo he probado el tema de autenticación SMTP en Exchange con aplicaciones web, pero la verdad siempre da lios. Exchange usa otros mecanismos de autenticacion, como NTLM, Kerberos y hasta sobre IPSEC. Sugiero que habilites relay al servidor desde donde estas generando el envio de correo. Para hacerlo : Abres la consola de Exchange - Configuracion de Servidores - Transporte de Concentradores - Selecciona en Conectores de Recepcion el Default. Ábrelo, y selecciona el tab Red y agrega la IP a cual necesitas aplicar el relay. Entonces puedes generar envíos con el propio MTA del Linux y reenviarlo a tu Exchange. Saludos Cordiales, Sebastian Veloso Varas.
Re: 2 dominios enu nservidor
Horst H. von Brand escribió: Andrés Ovalle Gahona [EMAIL PROTECTED] wrote: 2008/12/2 Eduardo Silva [EMAIL PROTECTED]: Hola, te recomendaria no usar sendmail, podrias optar por qmail u postfix: http://www.postfix.org/VIRTUAL_README.html http://www.lifewithqmail.org/lwq.html sendmail tambien puede hacerlo, y bien. postfix con soporte sea pop3 virtual o imap postfix desde cuando maneja pop3?! Don Horst, para hacerlo rapido, bonito y simple (aunque por su doctrina de enseñar lo correcto o lo posiblemente justo me dirá lo contrario ;) ) es muy util Postfix. Para muchos (inclusive) entender Sendmail aun es un problema (en el sentido de configurarlo como corresponde, un hardening del MTA) Saludos, Sebastian Veloso V.
Re: 2 dominios enu nservidor
Andres Ovalle G. (kill-9) escribió: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Sebastián Veloso Varas escribió: Andrés Ovalle Gahona escribió: 2008/12/2 Eduardo Silva [EMAIL PROTECTED]: Hola, te recomendaria no usar sendmail, podrias optar por qmail u postfix: http://www.postfix.org/VIRTUAL_README.html http://www.lifewithqmail.org/lwq.html postfix con soporte sea pop3 virtual o imap No! Ejemplos : Postfix, Sendmail = MTA Cyrus, Courier = IMAP pop3d = POP3 no se entendio la palabra soporte ? Si, es que quizas no se trate de Postfix, Sendmail soporten POP3. Este ultimo, es un protocolo que se utiliza para descargar o listar informacion de cuentas, nada mas. Otro ejemplo a citar puede ser el caso de IMAP. El MTA en si es el agente de transporte de correo, solo procesa envios/recepcion de correos. POP3, IMAP, etc...tienen otra finalidad y corren independientemente al MTA. Saludos, Sebastian
Re: crear servidor Email,FTP y Web basado en terminales
Sebastián Como explicar paso a paso daria para mucho, sugiero que te instruyas con los howto's para lo que tu necesites implementar. http://www.howtoforge.com/howtos/apache http://www.howtoforge.com/howtos/email http://www.howtoforge.com/howtos/ftp Saludos , Sebastián Veloso Varas. Sebastian Vega escribió: bueno mi duda es la siguiente si alguien me puede orientar y cuando digo orientar es casi paso a paso ya que no soy un experto en Linux(como me gustaria) pero cada dia voy a aprendiendo mas.Tengo algunos conocimientos e metido mano a Ubuntu,Fedora y actualmente a Red Hat Enterprise Edition 5.0 y es en este ultimo donde tengo que levantar el servidor de Email,FTP y Web si alguien por favor me pudiera ayudar y orientar con ayuda de manuales y cosas por el estilo oviamente tengo un poco de info (tampoco tan flojo) pero un poco de ayuda de algunos que saben mas que yo nunca es malo.Cualquier respuesta es bien recibidia con tal de que me ayude desde ya muhas gracias y Viva Linux
Re: bloquear ssh
Prueba esto : iptables -A INPUT -p tcp –dport 22 –syn -m limit –limit 1/m –limit-burst 3 -j ACCEPT iptables -A INPUT -p tcp –dport 22 –syn -j DROP Limita en un minuto el intento de 3 conexiones, para evitar scaneos o accesos indebidos a SSH. En todo caso, aca tenes mas informacion : http://www.security-hacks.com/2007/05/23/protecting-against-ssh-brute-force-attacks Saludos , Sebastian Veloso Juan Manuel Doren escribió: Estimados ¿que sw podria usar para bloquear una IP despues de x intentos fallidos de conectarse al sshd? no quiero bloquearlo pero hay momentos en que 3 o 4 crackers al mismo tiempo me llenan los logs de intentos burdos con usuarios que ni loco crearia ni les daria acceso sshd.. apreciaria un poco de ayuda con eso