El entrañable super héroe

Algunas veces en mis ratos libres -últimamente son pocos- me gusta ver algunas series muy antiguas que me hacen recordar algunas buenas y no tan buenas épocas de infancia. Entre mis series favoritas se encuentra The Twiligth Zone, Un paso al más allá, o el entrañable Ultra Siete, y otras series animadas de la época que me gustaban. Muchas son en blanco y negro -década del 70′-, pero para mí igual siguen siendo buenas. Gracias youtube!

Siempre recuerdo que cuando tenía 6 ó 7 años -hoy tengo 38-  veía Ultra Seven  -en nuestro país Ultra Siete-, lo transmitían por el canal del estado a eso de las 4 de la tarde, a pesar del tiempo la sigo considerando buena, recientemente me enteré que la serie cumplió cumplió 40 años y que cuenta con muchos seguidores en el mundo, me considero uno de ellos.

Hace algunas semanas descargué un episodio de la serie y se la mostré a mi hijo, él tiene 8 años y comencé a contarle de que trataba la historia, le conté algo de los personajes, la historia de Dan y como llega a convertirse en Ultra Siete, los poderes, el utra ojo, cómo se debilta y otras cosas más, la serie que descargué está en japonés y sin subtitulos. Me sorprendió recordar después de tanto tiempo los detalles de la serie y de aquel capítulo que estabamos viendo. Era como si lo hubiese visto hace unas semanas antes.

Luego de ver el episodio mi hijo me dice ¡Qué tonteria! los Power Ranger son mejores, y así empezó la discusión por defender al super héroe favorito ya que está bién que sea viejo -ultra siete, yo aún tengo 38- pero no podía quedar humillado ante tal comentario. Aquella tarde la pasamos bién, vimos algunos capítulos que descargué y le conté la trama, a él terminó por gustarle -no esperaba menos- y yo recordé algo de mi infancia, después de todo el escuadron Ultra sigue siendo mejor que los Power Ranger. ¿Alguna duda?.

Crear un VPN Road Warrior o bajo demanda

Siguiendo con los mini – howto explicaré como crear un VPN bajo demanda empleando para ello pptp. Es bastante simple, sin embargo a veces cuando lo instalo me olvido de algunos detalles y debo empezar a recordar cosas que espero no volver a recordar así que para eso redacto este artículo.

He instalado esto bajo RedHat, Slackware, Debian / Ubuntu y no recuerdo que otros más, en todos los casos los pasos a realizar son similares. Aquí explicaré mi última experiencia con Ubuntu, el proceso se resume a estos simples pasos:

1. Tener el sistema instalado, este tutorial no tocará los temas previos de instalación, configuración, puesta a punto y lo que sea que se requiera previamente, para más de estos detalles ve a google.

2.  Usaremos APT, sin embargo también puedes descargar los fuentes desde http://www.poptop.org, si usas otra distribución ve y descarga los fuentes y compilas. En este caso usaré.

apt-get install pptpd

3. Editaremos el archivo /etc/pptpd.conf, siendo el contenido principal lo que aquí aparece:

ppp /usr/sbin/pppd
option /etc/ppp/pptpd-options
debug
logwtmp
localip  192.168.0.90-92
remoteip 192.168.20.10-12

Los parámetros localip y remoteip indican la cantidad de conexiones que habilitaremos y las IP que se crearán -origen y destino- por cada conexión que generen los usuarios remotos. En mi caso son 3 conexiones.

4.  Editar el archivo /etc/ppp/pptpd-options, en mi caso lo principal es esto:

name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
nodefaultroute
debug
lock
nobsdcomp

Más detalles de cada opción y del por qué en google.

5. Ahora ejecutamos el comando pptpd y observamos mediante netstat -l -n -v si el servicio está escuchando, en este caso debo observar que el port 1723 se encuentra escuchando.

tcp        0      0 0.0.0.0:1723            0.0.0.0:*               LISTEN

6. Ahora falta afinar algunas cosas en el firewall que como mínimo debe tener esto:

iptables -t nat -A PREROUTING -i ppp+ -j ACCEPT

iptables -I INPUT -p 47 -j ACCEPT
iptables -I OUTPUT -p 47 -j ACCEPT
iptables -I INPUT -p tcp –dport 1723 -j ACCEPT
iptables -I FORWARD -p tcp –dport 1723 -j ACCEPT

iptables -I FORWARD -p tcp –sport 1723 -j ACCEPT

iptables -A FORWARD -i ppp+ -j ACCEPT

Como puedes observar, debes tener el soporte para ip_gre -no necesitas instalar nada, por lo menos con las distros que mencioné antes el soporte viene en el kernel- ahora debes convocarlo mediante

modprobe ip_gre

Esto puedes convocarlo desde el inicio del sistema así te evitas de hacerlo manualmente.

7. para los casos que tengas un sólo IP y este se encuentre en el router deberás pasar la solicitud de conexión que llegue al router hacia el servidor GNU/Linux, algo de esto lo toqué en un artículo anterior sobre VPN basado en SSL. Si posees un enlace con IP pública dinámica, el artículo anterior aplica sin problema alguno.

8. Ahora en el cliente con MS Windows, debes configurar la conexión para conectarte al server que has instalado, si no sabes como aquí hay un artículo que se encuentra en el mismo poptop http://poptop.sourceforge.net/dox/pptp_winxp/VPN_Verbindungsaufbau_mittels_PPTP.pdf , está en alemán -yo no sé nada de alemán ni de las alemanas, pero con los grafiquitos es más que suficiente, si aún no entiendes tienes dos posibilidades: estudiar alemán o buscar otro artículo en google, wtf-

9. Ahora creas los usuarios que realizarán la conexión, edita /etc/ppp/chap-secrets

# client        server  secret                  IP addresses
usuario1           *       clave               192.168.20.10
usuario2         *       clave                192.168.20.11

Aquí indico que usuario y con que clave se permitirá la conexión, también indico que IP se asignará a dicha conexión, lee los archivos de configuración en la parte donde dice remoteip.

Yo además de esto meto algo de QoS para asegurar mínimos de ancho de banda y priorizar tráfico, de esta manera logro una mejor performance y evito saturaciones. Aquí no tocaré QoS.

11. Cuando realices la conexión desde un terminal remoto observarás que se crea una interfaz pppX por cada conexión vpn. Si tienes problemas mira en.

tail -f /var/log/messages

tail -f /var/log/syslog

12. Ya puedes pasar por caja, cobrar tu cheque y ser felíz. Si te sirvió el artículo, haz una donación para comprarme un Audi A6, ya me falta poco.

Retorno a Lima

Desde mi llegada a Trujillo las cosan se han desarrollado casi dentro de lo que esperaba, hoy en la noche regreso a Lima para retornar nuevamente el día lunes y reiniciar el trabajo. La semana se mantuvo movida pero además surgieron nuevas oportunidades de negocio en un banco y en otra importante entidad financiera. El trabajo se hará algo pesado pero así es como me gusta, cosas nuevas, retos nuevos, días sin dormir y sin tiempo para nada. Todo sea por el nuevo Audi A6 que está por llegar…

Conexión a celulares

Hoy mientras esperaba reunirme con una importante jefatura de la empresa donde me encuentro las posibilidades de matar el rato se acortaban, ya había paseado como cuy en tombola de un lado a otro, me había sentado a observar algunas cosas, mirar algunos puntos débiles que me parecieron pocos pero aún seguía esperando hasta que se me ocurrió sacar el cel y jugar un rato.

Luego de juguetear un rato con el cel y hacer una llamada para concretar una reunión de negocio en otra empresa se me ocurrió verificar algunas conexiones disponibles mediante el cel, grande fue mi sorpresa al ver que había algunas conexiones disponibles a las que teóricamente podría conectarme y una vez dentro ver contactos, agendas, fotos e información del dueño del cel. Siempre estoy en muchos lugares con bastante público -como hoy- algunos aeropuertos o estaciones de buses, pero nunca dentro del aburrimiento que implica esperar la hora de partir se me habia ocurrido ver que conexiones bluetooth había cerca mío, lo  máximo que hice en esos casos fue colgarme de alguna red que provee internet y empezar a chatear o lo que se me ocurra en ese momento.

Siempre tomo la precaución de inhabilitar la conexión bluetooh e infrarojo del cel, pero hoy sin proponermelo voy descubriendo dos nuevas conexiones, curiosamente las conexiones provienen de equipos LG, no he intentado conectarme ya que por un lado no me interesa ver que encuentro, pero sin lugar a dudas es un aspecto que muchos no consideramos -me incluyo- aun cuando mi trabajo trata sobre seguridad de información, es un dia interesante que aún no termina.

Lo que algunas mujeres pueden ver y no decir

Hace unos dias conversaba con un amigo, el me comentaba que hace poco habia entrado a trabajar a una empresa y que desde que entró ninguna de las compañeras de trabajo le prestaba mucha atención, no es que él quisiera más atención, solo se daba cuenta que el trato era “limitado”.

El me cuenta que todo cambió desde que la secretaria digitó su contrato de trabajo, desde aquel día el notó un cambio total, las compañeras conversaban más con él, lo invitaban a reuniones y sentía que algo había cambiado. Según él, pensó que su cuerpo enano y regordete pasó a ser el del un hombre alto, que el abdomen pronunciado pasó a ser un abdomen plano y con cocos sobresalientes, el me cuenta que todo fue gracias a su contrato y así de la noche a la mañana se convirtió en un PMD “Partidazo de Moda Disponible”.

Yo me reí a más no poder, por la forma como lo contaba, era para reir a carcajadas, pero en el fondo y quizá sin quererlo expuso una realidad que le tocó vivir. Cómo algunas personas se le acercaban tan sólo porque veían en él a alguien que podía resolver algunos problemas económicos y claro el estaba gustoso de acceder más aún cuando había un par de salidas de por medio, al final decia: ella y yo resolvemos una necesidad o carencia. Punto de vista interesante si es que ambos estan de acuerdo y así se plantea. Creo que a todos nos pasa algo similar en algún momento de la vida pero queda en uno si acepta o no.

Ayer en la noche conversando con una persona a quién aprecio me dice luego de invitarla a salir para vernos y conversar, que no puede, en realidad no quiere, pero dice que no puede, yo le repregunto ¿No quieres o no puedes? Ella dice que no puede pero que por ahí se empieza ¿?. En aquel momento no sabía si reir por el juego de palabras o entender lo que realmente ella estaba diciendo y es que a veces uno no quiere darse cuenta de las cosas por más que estén en frente de uno. Al final entendí que si saliamos ella se sentiría mal, ella sentiría que no era lo correcto por la situación en la que vive y que yo sutil pecador -mejor sería decir: convicto y confeso pecador- le haría pecar, caer en tentación, le haría cambiar de idea en su actual momento de vida, pero peor aún, enralecería y contaminaría la atmósfera que ella intenta limpiar y descontaminar de pecado ya que desde hace un tiempo intenta acercarse a Dios.

A veces puede ser dificil decir las cosas por “n” motivos, yo hubiese esperado algo más directo como un “no quiero” sin dejar lugar a dudas, pero uno es como es y eso no se puede juzgar, sin embargo es mucho más dificil darse cuenta de la realidad -que es lo que mí me toca hacer- darme cuenta cuando es que uno debe dejar libre a una persona para que siga el camino que eligió, no por eso debo ni puedo molestarme, pero no pensaré que Dios quiere eso para mí, solo pensaré que Dios quiere dos cosas de mí: una que sea mejor persona, y la otra que tiene algo mejor para mí y lo interesante es que ya viene…

Plan de continuidad de negocio y un deseo por venir

La última actividad que vengo realizado trata sobre la implantación de un plan de gestión de continuidad de negocio, pero más que un plan lo que pretendo hacer es implantar un proceso de gestión de continuidad de negocio que permita a esta Organización elaborar nuevos planes, sin embargo escribirlo y pensarlo es bonito, la realidad es lo que cuenta asi que veamos lo que muestra la realidad.

1. El plan requiere la identificación de riesgo existente en los activos de información y procesos. La Organización cuenta con la metodología apropiada para realizar esta tarea sin embargo quién se supone es el OSI no continuó con el proceso. Motivo: Le dieron otro tipo de trabajo y terminó haciendo aquello que no le corresponde como OSI.

2. Los procesos denominados “core business” que se ejecutan no se encuentran formalizados. El procedimiento se aprendió en el camino, sin embargo la empresa crece y ya no es tan fácil controlar lo que antes se podía controlar. Yo veo fácil aprobar y cumplir sin embargo aquí observo que una vez aprobado, el documento sirve para satisfacer auditorías.

3. Si bién el objetivo de negocio “dediquemonos a ganar más dinero” es válido, lo importante es que se tenga claro el objetivo, aún así este objetivo requiere comunicación entre las áreas y hasta formalizar lo que se permite y no para “ganar dinero más dinero” y establecer qué es lo mínimo aceptable.

Las cosas van bién aunque empezaron con algunos días de más, logré armar y mejorar el análisis de impacto del negocio -BIA-  y  quedó como lo esperaba. Hoy tengo entrevista con una jefatura importante en la empresa y hasta ahora las cosas se van dando bién y deben continuar así.

El tema que tomará más tiempo será organizar a la gente o inducirlos a que ellos mismos se organicen, formalicen sus roles, responsabilidades y ejecuten las actividades que les corresponde cuando ocurra algún evento, el día de las pruebas será interesante ya que veré como se desenvuelve todo.

Hoy, no hay mucho que contar aunque si estuve haciendo varias cosas, tengo varias cosas en la cabeza que debo ordenar, cosas personales, lo que corresponde al trabajo, lo tengo todo ordenado y listo para cuando se necesite.

Casi me olvido de comentarlo, hace unos días una amiga, me escribe y me dice: “Que todos tus deseos se hagan realidad”, yo me puse a pensar si realmente ella quiere eso, lo digo porque uno de mis “deseos” es justo ella, asi que la pregunta es ¿Y si se me cumple, no se molestará?…

Desde Trujillo día 2

Ya está terminando el día, estoy en Trujillo y es martes, desde mi último registro han pasado varias cosas interesantes en mi existencia, nuevas experiencias en la parte personal, laboral y hasta espiritual. En esta última parte no es que me sienta como  la oveja que regresa al rebaño pero si han ocurrido pequeños sucesos que me indican que algo como “ahí, eso cambialo”,  mi entedimento sobre algunos temas llámese espirituales / religiosos se facilitan mientras que mi estado de ánimo mejoró radicalmente; lo sé porque mi forma de pensar y hasta las cosas que usualmente me molestan ya no molestan tanto o pasan desapercibidas, aún aquellas dificultades que se han presentado he notado que se resolvieron sin mucho esfuerzo o preocupación de mi parte.

Ha sido un buen fin de semana en todo aspecto -desde el último jueves a hoy martes-, ahora debo continuar trabajando…

Próxima visita a Trujillo

Durante la semana he estado revisando algunos documentos, traduciendo otros y organizando lo que será mi próxima visita a la Ciudad de Trujillo. La estadía requiere de mucha atención, tengo el tiempo justo para elaborar e implantar un BCP -Business Continuity Plan-.

En esta oportunidad mi trabajo no será elaborar el mejor BCP del mundo, ni redactar el BestSeller de los BCP. La mayoria de las empresas donde alguna vez estuve -por experiencia propia- piensa que has trabajado muy bién cuando entregas un manual más grande que la guía telefónica. Usualmente ese tipo de manuales quedan para adornar algún estante o escritorio, para satisfacer alguna auditoría -creo que nunca les preguntan si además de tener el manual este fué revisado, monitoreado en cumplimiento, actualizado, si existe un responsable-. El manual no saldrá corriendo cuando ocurra un incidente, tampoco se convertirá cual transformer en el paladín que viene a rescatarte.

Un manual en realidad describe las actividades que la empresa ejecuta cuando ocurre algún incidente o eventualidad, identifica grupos de respuesta, roles, responsabilidades, qué se hará, cuáles son los impactos resultantes por la interrupción / transtornos de los escenarios de desastre, las técnicas a usar para cuantificar o calificar el impacto y otras cosas más. Sin embargo esto no sirve de nada si el BCP no se prueba / testea de manera frecuente, registrando los éxitos u observaciones presentadas, considero que es la única forma de tener un plan funcional. En otras palabras el mismo plan conteniendo las actividades por realizar frente algun indicente, las políticas aceptadas y demás se plasman en el manual, no a la inversa. Sin embargo sigue siendo un manual, por ello aquí el trabajo será implantar un modelo de gestión de BCP.

Esta será una nueva experiencia, cada lugar donde voy lo es, por eso antes de viajar debo tener muy claro lo que haré y proyectarme sobre las posibles dificultades que pudieran presentarse. Todo saldrá bién, además debo mantener mi Audi A8, colabora pé varón.

Instalar un VPN basado en SSL

Hoy contaré mi experiencia instalando VPN basados en SSL. Aquí explicaré algunos casos comunes que espero ayuden a quién requiera interconectar dos o más oficinas. No hablaré de cómo funciona SSL ni los aspectos detrás de cámara, sólo explicaré lo básico y funcional. Si alguien toma esto como guía lo mas probable es que logre su objetivo, sin embargo podrían presentarse algunos casos que requieren de otros aspectos que escaparán a este artículo. Si es tu caso, pide y reza a san google…

Requerimiento en la oficina principal

1. PC corriendo Debian, Slackware, Centos, White Box, Ubuntu, lo que sea. He probado y en todas ellas lograrás lo mismo. El PC tendrá 2 o 3 tarjetas de red dependiendo si deseas una zona Lan o una zona Lan + zona DMZ (la 1era tarjeta mira hacia Internet, la 2da tarjeta mira a la Lan y la 3ra mira a la DMZ). Mediante el comando mii-tool deberás identificar que tarjeta mira o conecta hacia donde. El artículo trata el caso de un servidor con 2 tarjetas de red, se desea interconectar dos oficinas.

2. Openvpn –> www.openvpn.org

3. Lzo —> http://www.oberhumer.com/opensource/lzo/

4. Se requiere OpenSSH.

Proceso de instalación y configuración en la oficina principal

1. La instalación de GNU/Linux no será tratado en este artículo. Usa aquella distribución con la que te sientas mejor. Si tienes duda sobre la instalación de GNU/Linux entonces es hora de leer algo y luego podrás continuar aquí. Yo recomiendo instalar servidores sin entorno gráfico, personalmente estoy acostumbrado a usar consola y no uso herramientas gráficas para configurar ni personalizar, solo edito archivos. Esto no tiene que ser una regla, es mi elección.

2. Dependiendo de la distribución que estes usando es probable que puedas descargar los paquetes openvpn y lzo mediante apt u otro gestor. Sin embargo aquí explicaré la forma “tradicional”

3. Todos los pasos indicados de aquí en adelante deberán hacerse bajo el usuario root o equivalente a root.

4. Instalando LZO.

root@armaged0n:/tool# wget -c http://www.oberhumer.com/opensource/lzo/download/lzo-2.03.tar.gz

root@armaged0n:/tool# tar -zxvf lzo-2.03.tar.gz

root@armaged0n:/tool# cd lzo-2.03.tar.gz

root@armaged0n:/tool/lzo-2.03# ./configure && make && make check && make test && make install

Aquí habrá que esperar un momento mientras se compila e instala. En caso se muestre algún mensaje de error deberá observar el mensaje, es seguro que no se instaló una libreria o paquete de soporte como por ejemplo make u otro. Resuelva esto y corra nuevamente el comando ./configure && ……

El proceso indicado anteriormente se resume en lo siguiente: descargo el paquete a una carpeta, desempaqueto, ingreso a la carpeta y finalmente compilo e instalo.

5. Instalando Openvpn

root@armaged0n:/tool# wget -c http://openvpn.net/release/openvpn-2.0.9.tar.gz (aquí descargo)

root@armaged0n:/tool# tar -zxvf openvpn-2.0.9.tar.gz (aquí desempaqueto)

root@armaged0n:/tool# cd openvpn-2.0.9 (aquí entro a la nueva carpeta creada al desempaquetar)

root@armaged0n:/tool/openvpn-2.0.9# ./configure && make && make install

Asegurese de instalar primero LZO ya que openvpn lo necesitará al momento de compilar.

6. Si llegó a este punto, alégrese, sólo le falta un 80% . Ahora vaya a  /etc y verifique que existe la carpeta openvpn, si no existe, entonces deberá crearlo con mkdir /etc/openvpn

7. Crearemos la llave que será la mismas para ambos servidores / oficinas.

root@armaged0n:/etc/openvpn# openvpn –genkey –secret key1

8. Ahora creamos el archivo que permitirá interconectar ambas oficinas:

root@armaged0n:/etc/openvpn# touch oficina.conf

El contenido del archivo oficina.conf será algo similar a esto:

local  ip_publico_asignado_en_el_server_local
remote  ip_publico_asignado_en_el_server_remoto
dev tun0
port 5000
comp-lzo
user nobody
ping 15
ifconfig 192.168.10.61  192.168.10.60
secret /etc/openvpn/key1
up /etc/openvpn/routeoficina
Breve explicación sobre este archivo:

local aquí deberá indicar el IP público que posee una de las interfaces instaladas en el servidor (asumamos que eth0 posee este IP). Este seria el caso cuando su enlace posee varios IP públicos. Si su enlace sólo tiene un IP público entonces tienes dos alternativas, la primera es dejar que el router proporcionado por el proveedor del enlace tome el IP público asignado y sólo configuras el router para que toda solicitud de conexión hacia el router pase al servidor que estas instalando. La segunda alternativa es convertir el router en modo bridge y que sea el servidor quién tome el IP público. También puede suceder que el enlace posea un IP público dinámico, entonces aquí deberás considerar crear una cuenta por ejemplo en dyndns.org y asociar ese dominio con un programa como ipcheck aunque hay otros y mediante cron asociar y declarar el ip del enlace, si este es tu caso deberas colocar el host.dyndns.org en reemplazo del ip_publico_asignado.

remote exactamente igual al caso anterior solo que declaras como se indica el otro extremo al que se conectara el servidor VPN.

dev tun0 corresponde a la interfaz que se creará para crear el túnel VPN

port 5000 el puerto por donde se conectarán ambos servidores

comp-lzo la compresión a usar.

user nobody el usuario a cargo del demonio.

ping 15 cada 15 segundos se emitirá una ping para determinar si el tunel esta levantado y/o mantenerlo activo.

ifconfig 192.168.10.61  192.168.10.60 el IP de origen y el IP de destino que se asociarán a las interfaces tun0 en cada lado

secret /etc/openvpn/key1 localización de la llave a compartir entre ambos servidores.
up /etc/openvpn/routeoficina un script que permitirá declarar rutas y permitir que las redes con segmentos internos diferentes puedan verse.

9. Ahora se deberá crear el archivo /etc/openvpn/routeoficina que contendrá lo siguiente:

#!/bin/bash
/sbin/route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.10.60

Observa el contenido anterior, estoy declarando que el segmento de red de la oficina sucursal es 192.168.2.0 y que la puerta de enlace a dicho segmento es 192.168.10.60 (el ip asignado a la tarjeta tun0 del otro extremo). Para el ejemplo aqui descrito, el segmento de la oficina principal es 192.168.1.0. Cambie estos valores para su caso. Haga ejecutable este archivo mediante chmod +x  /etc/openvpn/routeoficina

10. Como paso final sólo queda levantar el servicio, esto se hace así:

openvpn –daemon 5 –verb /etc/openvpn/oficina.conf

Listo!

Obviamente aún no se tiene el servidor en el otro extremo para conectar pero compruebe que el servicio VPN se encuentra corriendo mediante el comando netstat -l -n -v   deberá observar el port 5000 sino es así algo malo ocurrió asi que revise los log mediante tail -f /var/log/messages para ver que ocurre, de seguro no le será dificil identificar el problema y corregirlo.

Ahora en la oficina sucursal

Se asume que ya instaló GNU/Linux en el servidor de esta oficina. El proceso de instalación del VPN es similar salvo los siguientes cambios a realizar:

1. Copie mediante ssh o un dispositivo usb el archivo /etc/openvpn/key1 localizado en la oficina principal (ahora remoto), copielo en el servidor  local en la misma localización (directorio).

2. Edite el archivo   /etc/openvpn/configuracion.conf

local ip_publico_asignado_en_el_server_local
remote ip_publico_asignado_en_el_server_remoto (ahora oficina principal)
dev tun0
port 5000
comp-lzo
user nobody
ping 15
ifconfig 192.168.10.60  192.168.10.61 (vea el cambio con el archivo anterior)
secret /etc/openvpn/key1
up /etc/openvpn/routeoficina

3. Edite el archivo /etc/openvpn/routeoficina que deberá presentar esto:

#!/bin/bash
/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.10.61

Observe los cambios y compare con el archivo anteriormente indicado para la oficina principal.

4. Inicie el VPN

openvpn –daemon 5 –verb /etc/openvpn/oficina.conf

Eso es todo.

Hasta este momento ambos servidores se encuentran corriendo, sin embargo es posible que no logre enlazar las oficinas. Aqui tiene un modelo de Firewall que viene con el openvpn descargado:

Para oficina principal:

#!/bin/bash

# eth0 is connected to the internet.
# eth1 is connected to a private subnet.
PRIVATE=192.168.1.0/24
LOOP=127.0.0.1
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP

iptables -F

iptables -t nat -F

iptables -t mangle -F

# Allow local loopback
iptables -A INPUT -s $LOOP -j ACCEPT
iptables -A INPUT -d $LOOP -j ACCEPT

# Allow incoming pings (can be disabled)
iptables -A INPUT -p icmp –icmp-type echo-request -j ACCEPT

# Allow services such as www and ssh (can be disabled)
iptables -A INPUT -p tcp –dport ssh -j ACCEPT

#Openvpn
iptables -A INPUT -p udp –dport 5000 -j ACCEPT

# Allow packets from TUN/TAP
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT

# Allow packets from private subnets
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT

# Keep state of connections from local machine and private subnets
iptables -A OUTPUT -m state –state NEW -o eth0 -j ACCEPT
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state –state NEW -o eth0 -j ACCEPT
iptables -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT

# Masquerade local subnet
iptables -t nat -A POSTROUTING -s $PRIVATE -o eth0 -j MASQUERADE
Para la oficina sucursal, modifique los parametros que sean requeridos.

Eso es todo…

Curiosidades empresariales

Aquí describo una lista de “curiosidades” que pude observar en una empresa que visité hace muy poco:

1. Ventanas de madera hacia la calle sin reforzar, sólo tenian un picaporte. Motivo: El lugar es seguro, no hay delicuencia, no hay bares, no hay discoteca. Las ventanas dan directamente a los ambientes principales de la empresa.

2. Todas las estaciones de trabajo estan protegidas por clave, sin embargo todos los empleados conocen la clave de cada terminal incluido el terminal del gerente. Motivo: Debe existir uno.

3. El acceso al sistema de gestión se hace con el user y contraseña asignada al usuario pero también si deseas puedes ingresar con el usuario y contraseña del programador y acceder a todos los menú disponibles, manipular estados de cuentas y lo que se te ocurra. Motivo: Confianza compañeros.

4. Viene un cliente y desea anular una transaccion que habia hecho tiempo atrás, el cliente viene con un amigo quién dice aceptará que la transacción sea puesta a su nombre. La solución es fácil, entramos al sistema y solo reemplazamos el nombre del cliente por el del amigo, nos olvidamos de generar y anular historiales previamente generados. Motivo: Para eso tenemos tecnologia.

5. La empresa cuenta con un servicio mortuorio incluido dos cajones funebres nuevos y demas adornos para el muertito, claro, todo ello descansa entre papeles de importancia y caja fuerte. Este punto si es bastante curioso.

6. Es hora de instalar actualizaciones de software a cargo del personal de soporte, para facilitar el tema usaremos unas memorias usb que curiosamente parecen tener un programa adicional que no esta contemplado como parte de la instalacion. Motivo: el antivirus está actualizado.

7. El registro informatico muchas veces no concuerda con la libreta manual que la empresa da a los clientes y registra algunas interacciones realizadas. Motivo: la libretita parece ser más confiable.

8. La zona de servidores cuenta con un ups y extensiones que parecen apropiadas para soportar ademas de los equipos el calentador de agua para el cafecito. Motivo: Si se va la luz, aun tomaremos café.

Hora de descansar….