Blog archivos - Página 116 de 327 - SmythSys IT Consulting

Proteger una web en Nginx contra ataques de fuerza bruta: rate limiting

David G. Smyth (SmythSys) / 25 agosto, 2017

Uno de los peligros que corren las páginas web es el ataque por fuerza bruta, y los ataque DDOS. Básicamente son muchas peticiones a la web por segundo, lo que bloquea los procesadores y “tira” la web (no se pueden procesar más peticiones y el servidor se cuelga). Evidentemente tenemos que proteger nuestra web de estos ataques. Cloudflare tiene unas protecciones mínimas para evitar estos ataques, pero en los modos gratis y Pro hemos hecho pruebas y no son muy efectivos (en modo alto, no se en modo ataque). Tenemos que pensar en Cloudflare como una capa más de seguridad, pero no algo 100% efectivo. Así que nos queda proteger el servidor, hoy os contamos cómo hacerlo con Nginx. Nginx tiene una directiva llamada limit_req_zone , que se puede usar junto con limit_req para controlar el número de peticiones. Para comprenderlo podemos usar la analogía de un cubo de agua con agujeros. Si no tuviera agujeros y sigue llegando agua, el cubo rebosará (servidor caído). Si ponemos agujeros, podremos seguir metiendo agua sin que el servidor rebose, hasta un límite (donde ya rebosará). El agua que sale de los agujeros es la información que meteremos en los buffers. El agua que rebosa son las peticiones que no se atenderán, pero serán menos que sin agujeros. Esto nos permite controlar un poco ataques. Para configurar este parámetro hay que hacer lo siguiente: En el fichero de configuración tienes que añadir una línea como esta, configurando la zona y los límites. Juega con esos límites, sobre todo la última parte que son las peticiones por segundo. Puedes dejarlo en 10 o ponerlo en 1. Por defecto empieza en 10 y prueba. El nombre de la zona (mylimit) podemos cambiarlo también. limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s; Esta línea la puedes añadir tanto en el fichero de configuración del sitio, como en el directorio conf.d en un fichero llamado limits.conf. Después en el fichero de configuración del sitio (sites-enabled) tenemos que aplicar ese límite con limit_req donde queramos (por ejemplo un wp-admin de wordpress en este caso). server { location /wp-admin/ { limit_req zone=mylimit; } } También podemos ponerlo sólo para un tipo de ficheros: location ~ \.php$ { limit_req zone=one burst=5 nodelay;} Con esto al reinciar Nginx (prueba la configuración primero) deberías poder hacer pruebas de muchas llamadas al servidor y no debería haber problemas. Cualquier exceso o se guardará en la cola o no se procesará, sin tirar el servidor. Más información aquí.

Diseño Web, Gestores de contenidos, Trucos

WordPress: subir ficheros por FTP y que aparezcan en la Biblioteca de Medios

David G. Smyth (SmythSys) / 24 agosto, 2017

Ya hemos hablado otras veces que muchos servidores tienen limitaciones de subida de ficheros. Para eso compartimos hace una semana un gran plugin que se salta esa limitación. También explicamos cómo desactivar el límite en servidores gestionados por vosotros. Hoy os dejamos otra manera de hacer esto, quizás interesante para quien tenga una gran cantidad de ficheros en el ordenador que quiera subir por FTP. La idea es subir todo por FTP (que no tiene limitaciones) y después que WordPress importe ese contenido a su Biblioteca de Medios. Porque siempre puedes subirlo por FTP, pero después los usuarios no lo tienen disponible para insertar desde el panel de WordPress. También puede ser interesante si quieres permitir a usuarios subir ficheros sólo a ciertos sitios o sin acceso al backend, o si quieres hacer un proceso automatizado de subida por FTP y que luego WordPress disponga de ese contenido. Os dejamos dos plugins para ello: Media from FTP. Add from server. Ambos funcionan de manera muy similar: instalar, escanear las carpetas, elegir lo que subir. Es cierto que es algo más tedioso que Advanced Uploader, pero puedes controlar mejor ciertas cosas por FTP (como permisos de subida).

Correo, Soporte, Trucos

OutlookTools: herramienta para acceder a opciones de reparación de Outlook

David G. Smyth (SmythSys) / 23 agosto, 2017

En muchas ocasiones, cuando queremos reparar Outlook, las configuraciones están ocultas, o tenemos que saber algún modificador o tocar el registro. OutlookTools es una herramienta gratuita que sirve a modo de asistente gráfico para poder acceder a esas opciones de manera segura. Es compatible con Outlook 2007 en adelante (incluídos 2016 y 365) y necesita .NET, aunque lo detecta e indica en la instalación. El programa dispone de varias pestañas que muestran de manera clara las opciones de las que disponemos. Estas son las más destacadas: General: Muestra la información de tu instalación y te permite acceder rápidamente a algunas opciones del programa. Como escanear psts (ya no tienes que buscar el fichero scanpst.exe). Folder Paths: Las rutas importantes de tu instalación. Startup Switches: Te permite elegir opciones de arranque de Outlook con los delimitadores. Imposible saberse tantos de memoria. Clear MRU (most recently used): Limpiar las listas de más usados. Blocked Attachments: para desbloquear adjuntos. Aunque tras la actualización de Julio hay que hacerlo así. Una herramienta ligera que conviene conocer para poder reparar Outlook o realizar tareas de mantenimiento rápidamente.

Diseño Web, Servidores, Sistemas, Trucos

Obtener la IP original de los clientes cuando usas Cloudflare

David G. Smyth (SmythSys) / 22 agosto, 2017

Ya hemos hablado largo y tendido sobre Cloudflare, una capa extra de seguridad y de caché para tus páginas web. Eso si, si deseas obtener, por tema de registro o para alguna aplicación web, la IP de un cliente, verás que hay un problema. Al venir todas las peticiones de los servidores de Cloudflare, no sabes la IP real de un cliente. Aquí os comentamos cómo resolverlo. En esta página de Cloudflare viene la solución para cada servidor web o proxy. Por ejemplo en Apache debemos instalar el módulo mod_cloudflare. En Nginx podemos usar otro módulo que se llama http_real_ip. Este módulo no se carga por defecto, hay que instalarlo o compilarlo con la opción –with-http_realip_module . Si ese es tu caso estás de enhorabuena. Sólo tienes que poner en tu configuración de nginx: set_real_ip_from 103.21.244.0/22; set_real_ip_from 103.22.200.0/22; set_real_ip_from 103.31.4.0/22; set_real_ip_from 104.16.0.0/12; set_real_ip_from 108.162.192.0/18; set_real_ip_from 131.0.72.0/22; set_real_ip_from 141.101.64.0/18; set_real_ip_from 162.158.0.0/15; set_real_ip_from 172.64.0.0/13; set_real_ip_from 173.245.48.0/20; set_real_ip_from 188.114.96.0/20; set_real_ip_from 190.93.240.0/20; set_real_ip_from 197.234.240.0/22; set_real_ip_from 198.41.128.0/17; set_real_ip_from 199.27.128.0/21; set_real_ip_from 2400:cb00::/32; set_real_ip_from 2606:4700::/32; set_real_ip_from 2803:f800::/32; set_real_ip_from 2405:b500::/32; set_real_ip_from 2405:8100::/32; set_real_ip_from 2c0f:f248::/32; set_real_ip_from 2a06:98c0::/29; # use any of the following two real_ip_header CF-Connecting-IP; #real_ip_header X-Forwarded-For; Después sólo tienes que probar la configuración de nginx y reiniciar si todo está bien. Deberías ver las IPs originales. Si no tienes es módulo en nginx, y no te apetece recompilar, puedes hacer un truco. En la configuración de nginx puedes poner algo como: location ~ \.php$ { fastcgi_param REMOTE_ADDR $http_x_real_ip; #…other rules } Esto usará ese parámetro de http_x_real_ip para coger la ip real que Cloudflare pone en las cabeceras. Pero sólo valdrá para aplicaciones que pasen por fastcgi. Por ejemplo el propio nginx no sabrá la ip real si no le ponemos un parámetro (ver las siguientes líneas). También puedes usar esta opción para redirigir según la IP real, por ejemplo con: if ($http_x_real_ip != xxxx.xxxx.xxxx.xxxx) { return 403; } Y, si no quieres ponerlo en nginx puedes buscar las cabeceras desde Php con: if (isset($_SERVER[“HTTP_CF_CONNECTING_IP”])) { $_SERVER[‘REMOTE_ADDR’] = $_SERVER[“HTTP_CF_CONNECTING_IP”]; } ¿Cómo comprobar que funciona? Además de en los logs (que puede ser un follón mirarlo), puedes poner un phpInfo en tu servidor (quítalo luego). Hay un apartado donde puedes ver el SERVER [“Remote Address”] y las cabeceras que pasa Cloudflare en SERVER [“http_x_real_ip”] y SERVER [“http_x_forwarded_for”]. Cuando funciona, el campo Remote Address debe ser una de las cabeceras de Cloudflare (http_x_real_ip o la otra según cual uses).

Internet, Noticias Informáticas, Webs

Carpeta de Salud: consulta tus historial médico, informes, radiografías y pruebas médicas online

David G. Smyth (SmythSys) / 21 agosto, 2017

Desafortunadamente llevo un verano lleno de hospitales y médicos. Pero siempre estoy atento a nuevas aplicaciones o servicios online. Hace unos días un familiar me informó sobre este servicio del Portal de Salud de la Comunidad de Madrid (otras comunidades también lo tiene) y me ha parecido una gran idea. En dicho portal, llamado Carpeta de Salud, puedes acceder a tus citas médicas, tus informes, los resultados de los análisis, las radiografías etc. Puedes verlas online o descargarlas para dárselas a otro doctor o para tenerlas como referencia si vas a viajar o si has perdido el último informe. Estos son los servicios que hay ahora. Aunque los tres bloques en los que está dividido el servicio tienen información interesante (por ejemplo citas o datos de salud), el más interesante me parece “Mi información Clínica” con: Datos clínicos Problemas de salud registrados en Atención Primaria. Informes de consulta, alta y urgencias en Atención Hospitalaria y urgencias también en SUMMA 112. Pruebas de laboratorio en Atención Primaria (últimos 2 años) y Atención Hospitalaria. Informes de pruebas de imagen. Visor de imágenes radiológicas que permite, entre otras funcionalidades, la descarga de pruebas de imagen radiológica con calidad diagnóstica (formato DICOM). Esta funcionalidad está disponible en la mayoría de hospitales si bien a lo largo de los próximos meses estará en la totalidad de éstos. Cuidados de enfermería Cuidados de enfermería en Atención Hospitalaria. Medicación Medicación activa con indicación de la fecha de disponibilidad de receta electrónica para su recogida en Farmacia. Historial farmacológico (últimos 2 años). Pauta de tratamiento anticoagulante oral. Acceso a la hoja de medicación personalizada del servicio de Medicamentos. Alergias y reacciones Alergias y reacciones registradas en Atención Primaria. Vacunas Vacunas registradas en Atención Primaria. Acceso a la consulta de vacunas o quimioprofilaxis recomendadas por país del servicio Unidad del Viajero del Hospital La Paz-Carlos III. Incapacidades laborales Incapacidades laborales registradas en Atención Primaria. Instrucciones previas Consulta del documento de Instrucciones Previas registrado en la Comunidad de Madrid y en el Registro Nacional de Instrucciones Previas, así como la posibilidad de realizar desde la Carpeta de Salud la gestión de una cita en el ‘Registro de Instrucciones Previas’ (mediante un enlace directo a este servicio disponible ya en Internet). Yo estuve mirando radiografías e informes médicos de toda la vida médica de un paciente. Puedes ver que fechas acudió a cada centro de salud y por qué motivo. Las medicinas que tienen que tomar, cuándo etc. Realmente útil. Para acceder a dicho servicio entra aquí, y luego escoge el método de acceso. Puedes acceder con certificado clásico (el fichero de la FMNT que descargas e instalas en el ordenador), con DNIe, o con Clave PIN (quizás la más sencilla para gente que no domine mucho los ordenadores). Creo que es un gran servicio que “ya tardaba en llegar”.

Compartir, Redes Sociales, Trucos

Desactivar anuncios basados en tus intereses en Linkedin

David G. Smyth (SmythSys) / 18 agosto, 2017

Ayer recibí un mensaje en Linkedin que era publicidad. En el propio mensaje, explicaba que podías cambiar tus preferencias sobre qué anuncios recibir desde este enlace. Hoy os queremos enseñar cómo desactivar la opción de “anuncios basados en tus intereses en LinkedIn. Lo primero, esto no va a evitar que recibas anuncios. Lo dice bien claro la red social: El cambio puede tardar 24 horas en hacerse efectivo y después es posible que sigas viendo (1) anuncios que están personalizados pero que no se basan en tus intereses y (2) opciones para autoexcluirte de anuncios. Las redes sociales consiguen dinero, MUCHO dinero, con los anuncios, y todas (Facebook, Youtube, WhatsApp, LinkedIn…) los están activando de una manera u otra. Es su negocio y es lógico. Alguien tiene que pagar los servidores, técnicos etc. Por otro lado tienen que tener cuidado de no cargar al usuario o dejará la red social. Los anuncios que vamos a desactivar hoy son los “basados en tus intereses”. Es decir que LinkedIn sabe qué te interesa (por tu navegación, cookies, búsquedas etc) y te ofrece anuncios más adecuados a tí. Esto se supone que implica más ingresos de anuncios y más interés para ti. Es a donde va el mercado. Pero….también implica que registran tus intereses (todos te espían, ya lo hemos dicho). Como no me gusta que me espíen demasiado, más de lo normal, desactivo estas opciones cuando puedo. Para desactivar los anuncios de este tipo, o como lo llama LinkedIn para “autoexcluirte de anuncios de terceros basados en intereses”, tienes que ir (en un navegador en el que esté conectada tu cuenta de LinkedIn) a: https://www.linkedin.com/psettings/enhanced-advertising Ahí verás el botón para desactivarlo y la explicación de lo que hace.

Seguridad, Servidores, Sistemas, Trucos

Cómo proteger un servidor web para que sólo acedan las IPs de Cloudflare

David G. Smyth (SmythSys) / 17 agosto, 2017

Ya hemos hablado de Cloudflare, el servicio web que sirve cono CDN, cahcé, firewall y mucho más. Tiene varios planes, gratis y de pago. Pero para la mayoría de las páginas web el modo gratis es suficiente. Mientras seáis conscientes de los límites de subida que establece Cloudflare. Hoy os vamos a enseñar “un truco” por el que vamos a limitar a nuestro servidor a que acepte sólo peticiones web que accedan de las IPs de Cloudflare. Esto aumentará la seguridad en nuestra web, porque eliminará cualquier petición que no proceda de Cloudflare, y las que procedan de ahí vienen filtradas por sus sistemas de seguridad. Además, también aprovechamos la caché de Cloudflare lo que hace que el rendimiento de nuestra página y la experiencia de usuario mejore. Cómo hacerlo. 1. Lo primero que debemos hacer es activar Cloudflare. Nos registramos en ese servicio, damos de alta nuestra web y nos dirá los DNS que tenemos que poner en nuestro dominio. Después tenemos que ir al proveedor de nuestro dominio y cambiar los DNS. Apunta todos los registros de DNS que tienes para copiarlos en Cloudflare. Nota: si tienes el correo con tu proveedor, puede que tengas problemas al cambiar los DNS a otro proveedor. Consulta con ellos antes. Seguramente también se puede hacer todo esto sin cambiar los DNS a Cloudflare, pero explicamos la manera más sencilla. Una vez que hayas cambiado los DNS a Cloudflare ya podemos gestionar todo desde su panel. Tenemos que activar para nuestro dominio y para www.nuestrodominio el servicio de Cloudflare. Aseguraos que en el DNS tienen la nube en naranja, no en gris. Eso significa que pasa por sus sistemas. 2. Ya tenemos el que cualquier persona de fuera que escriba nuestro dominio irá por Cloudlfare. Ahora tenemos que asegurarnos que nuestro servidor no admita peticiones de ningún otra fuente. 2.1 Por IpTables. Para eso nos vamos a nuestro servidor (suponemos que es dedicado o Cloud). Tenemos que activar en iptables el filtro para que sólo acepte las IPs de Cloudflare. Tenemos siempre un listado actualizado de las mismas aquí. Cuidado: siempre que manejes un firewall corres riesgo. Asegúrate que pruebas todo antes de activarlo y que luego tienes una manera de retroceder. Si queremos hacer esto directamente por iptables podemos hacerlo de esta manera que sugiere Cloudflare. Sin embargo ya hemos dicho que es más fácil realizar todas estas gestiones por programas como Firehol. En Firehol abrimos el fichero firehol.conf y después de los primeros comentarios añadimos las ips de cloudflare así (una por línea). Los puntos suspensivos indican que está el resto de ips: cloudfl_ips=”103.21.244.0/22 103.22.200.0/22 ….. “ Después, en la interfaz que esté conectada al exterior ponemos: server http accept src “$cloudfl_ips” server https accept src “$cloudfl_ips” Con esto graba el fichero y asegúrate de probar la configuración antes de reiniciar el servicio. 2.2 Por configuración del servidor web (Nginx en este caso). Podemos restringir las ips de Cloudflare en el servidor web. Hoy lo mostraremos en Nginx. Para ello creamos el fichero: etc/nginx/cloudflare-allow.conf con un contenido como este: # https://www.cloudflare.com/ips # IPv4 allow 199.27.128.0/21; allow 173.245.48.0/20; allow 103.21.244.0/22; allow 103.22.200.0/22; allow 103.31.4.0/22; allow 141.101.64.0/18; allow 108.162.192.0/18; allow 190.93.240.0/20; allow 188.114.96.0/20; allow 197.234.240.0/22; allow 198.41.128.0/17; allow 162.158.0.0/15; # IPv6 allow 2400:cb00::/32; allow 2606:4700::/32; allow 2803:f800::/32; allow 2405:b500::/32; allow 2405:8100::/32; Después, en la carpeta sites-available (o sites-enabled), editamos el fichero de configuración de tu dominio y en el apartado server ponemos: include /etc/nginx/cloudflare-allow.conf; deny all; Y reiniciamos nginx. Esto debería restringir las ips a sólo las de Cloudflare y rechazar el resto. También se puede hacer así.

Android, Mac, Smartphones, Spyware/Spam, Trucos

Scareware en móviles. Falsos antivirus y optimizadores. ¿Qué hacer?

David G. Smyth (SmythSys) / 16 agosto, 2017

Puede que hayas tenido la mala suerte de ver en tu móvil uno de estos scareware. El scareware es software malicioso que intenta asustar al usuario para que pinche en un enlace que le llevará a una página infectada por malware. En los móviles suelen salir avisos del tipo “Tu dispositivo está infectado por X virus”, “Tu dispositivo puede ser optimizado, pincha aquí para resolverlo”, “Se puede mejorar la velocidad de tu dispositivo..”, “se han detectado errores..”. Todos son mensajes para que pinches en un enlace. Falsos antivirus, falsos optimizadores, incluso falsas aplicaciones. Algunos ponen tu móvil a vibrar intermitentemente. El objetivo de este scareware es o infectarte con malware, o suscribirte sin que lo sepas a servicios de mensajería premium, generar ganancias con publicidad o recopilar información. Tranquilo, suelen ser inofensivos. ¿Cómo puedo limpiar mi móvil si me salen estos mensajes? Depende del tipo de malware que tengas pero os damos algunos consejos: La causa suele ser una app que provoca estos mensajes. Así que si hemos instalado una aplicación recientemente desinstálala y notifica a Google Apps o a iTunes que esa aplicación no es de fiar. En Google se puede hacer desde la página de Google Play de la aplicación. En iTunes desde aquí. Instala un antivirus. Si, es necesario en el móvil y muchos tienen una opción para analizar y bloquear aplicaciones. Puedes instalar Malwarebytes para tu móvil Borra los datos del navegador desde Ajustes > Aplicaciones >busca la app o tu navegador > Borrar datos. Si aún así no se resuelve, tendrás que restaurar el móvil a como venía de fábrica. Algunos móviles chinos vienen con adware o malware en el firmware. Te tocará instalar otro firmaware o un programa que bloquee estas aplicaciones (antivirus o antimalware). Si crees que estás enviando sms o lo ves en tu factura, llama a la compañía y que desactiven los SMS a números premium. ¿Cómo evitar malware en mi móvil? Os dejamos, como cada vez que tocamos este asunto, recomendaciones básicas. SENTIDO COMÚN. Tanto en dónde pinchas navegando como con la aplicaciones que instalas. Instala sólo aplicaciones de los sitios oficiales (iTunes, Google Play). Se puede colar algo, pero tienen cierto seguimiento y ciertas medidas de seguridad. Instala un antivirus y/o antimalware. Ten copia de tus aplicaciones y de tus contactos y datos en la nube por si tienes que restaurar. Aplicaciones como CONAN Mobile te permiten saber cómo de seguro es tu dispositivo.

Compartir, Noticias Informáticas, Trucos

Pelis a la Carta, addon de Kodi, deja de existir. Os dejamos alguna alternativa: Alpha y MiTVSpain

David G. Smyth (SmythSys) / 14 agosto, 2017

Hace unos días, el 22 de Julio, el creador del gran addon de Kodi para contenido en español, pelisalacarta, publicó un post en su blog indicando que abandonaba el proyecto. Tanto el como sus colaboradores. Una noticia triste para los que lo usaban, pero entendible. Como ha dicho el autor: Lo he pensado con calma, lo he discutido con mi familia y con el resto de colaboradores, y hemos decidido que lo mucho que disfrutamos con el desarrollo no compensa los problemas que nos puede acarrear. Agradecer desde aquí a todos los que formaron parte del proyecto. Han ayudado a mucho usuarios a meterse en el mundo de Kodi y “trastear” con ese tipo de tecnología, que es lo que a nosotros nos parece más interesante. El futuro, como llevamos años diciendo, para compartir contenido por Internet parece ser las VPN. Tanto para los creadores como para los usuarios (muchos usan Kodi con VPN). De hecho ya debería ser un estándar en este tipo de casos. Mientras tanto, muchos nos preguntaréis que podéis hacer. Como el código fuente del addon están Github, han salido algunos proyecto hijo del mismo que podéis probar. Imagino que saldrán más, y que algunos desaparecerán o evolucionarán. Por ahora, toca esperar y darles tiempo. Os dejamos los dos más importantes que han salido ahora: Addon Alpha. El que parece más estable ahora mismo. En este post explica cómo instalarlo. Todavía tiene muchos pequeños errores, esperamos que con el tiempo llegue a tener la calidad de su predecesor. MiTVSpain. Otra alternativa a probar si el primero no te funciona bien. En este post explican cómo instalarlo. Gracias a nuestro amigo Jose por avisarnos de la existencia de estos forks de pelisalacarta.

Android, Mac, Smartphones

Aplicación Adif para tu móvil. Horarios, retrasos y vías de los trenes a tiempo real

David G. Smyth (SmythSys) / 10 agosto, 2017

Si eres un usuario de cercanías o trenes de media y larga distancia, esta aplicación te va a resultar muy útil. Adif tiene la información a tiempo real de los trenes. Es la aplicación que mejor te puede informar sobre los retrasos, la vía en la que está tu tren, las incidencias en el servicio, dónde está un tren en un momento dado, horarios reales de salida y llegada (teniendo en cuenta incidencias del servicio), etc. De esta manera puedes mirar desde el trabajo, o desde casa, cuando pasará tu siguiente tren (insisto, no el horario teórico sino el real) y organizarte según esa información. Puedes tomarte un café en la estación tranquilamente porque sabes cuando va a llegar el tren, o ir a hacer un recado sabiendo que tienes tiempo. Además te informa de todo lo relativo a los servicios de las estaciones: cafeterías centros comerciales, tiendas cines. Te da los horarios de apertura y localización por GPS. Otra funcionalidad muy útil es que puedes salvar en favoritos tu ruta, y así poder comprobar los horarios cada día de manera rápida. Está disponible para Android y iPhone. Aquí os dejamos cómo usarla: