Conectar un firewall Fortigate con Windows Active Directory.

Si has instalado en tu red un firewall de Fortigate (muy recomendable) y tienes un Windows Server, es interesante conectar ambos. De esta manera, por ejemplo, puedes crear usuarios de VPN que sean los de Active Directory, o poner reglas de bloqueo o de exclusión para grupos de AD. Te permite no tener duplicidad de cuentas, y gestionar las mismas desde el servidor.
Hoy os enseñamos a conectar ambos sistemas.

Cómo conectar un firewall Fortigate con Windows Active Directory.

Lo que tenemos que hacer es entrar en el Fortigate y:

  • Acceder a User & Device > LDAP Servers > Create New.
  • Poner el nombre, la IP del servidor y el puerto (389 por defecto).
  • En Common Name Identifier poned: sAMAccountName
  • En Distinguished Name poned: dc=dominio,dc=local
    Nota: supongo que es dominio.local tu dominio
  • Bind Type: Regular
  • Pon tu usuario en format Administrador@dominio.local
  • Pon la contraseña
  • Si le das a Test Connectivity o Test User Credentials debería dar un tic verde de Successful.
  • Con esto ya debería estar. Dale a Ok y lo guardas.

Nota: En teoría puedes poner en Common Name Identifier: cn (como viene por defecto), y entonces el username tiene que ser en formato DN (cn=Administrator,CN=Users,DC=empresa1,DC=dominio,DC=local), pero a mi me funcionó la configuración anterior mejor.

Una vez añadida la conectividad con el servidor de Active Directory, puedes ir a User & Device > User Groups para crear los grupos que necesites usando el active directory (por ejemplo usuarios de VPN, usuarios con permisos especiales etc). Cada grupo puede usar un CN del AD diferente.

Para más información de lo que puedes hacer con esta conexión con el AD puedes ver este enlace.

Traspasar la configuración de puntos de acceso Ubiquiti a otra persona en UniFi Controller.

Cuando quieres configurar un punto de acceso Ubiquiti, de los mejores del mercado, en un ordenador, tienes que usar el programa UniFi Controller.
En este software se configura un Site, con los AP que tengamos y la configuración que deseamos tener. Y se gestiona fácilmente.
Pero, ¿y si se lo estás configurando a otra persona? ¿Cómo traspasas tu configuración para que lo pueda gestionar él?

A nosotros nos ocurre mucho porque configuramos APs para clientes, y os vamos a enseñar cómo hacerlo para que la otra persona tenga la opción de gestionar sus puntos de acceso.

Cómo traspasar la configuración de UniFi Controller a otro ordenador.

La configuración se crea en tu UniFi Controller con tu usuario (local o de cloud, nosotros lo hacemos local) y tu contraseña. Este es el proceso para transferir la contraseña.

  • Haz una copia de tu sitio (Site). Para eso, en tu Unifi Controller ve a Settings (rueda dentada)->Backup y en Download Backup pincha en Download File.
  • Instala el UniFi Controller en el ordenador de la otra persona (cliente por ejemplo) con un usuario local o cloud. Al comenzar tiene una opción de “restore setup from backup”. Si eliges esa opción te cargará todo como estaba en tu ordenador.
  • Si el usuario tenía UniFi Controller ve a Settings->Backup y en Backup /Restore hay una opción de Restore Backup (Upload File).
    Nota: si ya tienes otros AP y no quieres mezclarlos, crea otro sitio.
  • Verás que reconoce tus APs y tienes la configuración guardada.
  • Como el otro usuario (cliente) no tiene que tener tu usuario y contraseña, ve arriba a la derecha, pincha en el desplegable, Edit Account y cambia el usuario y contraseña al que el cliente quiera.

Con esto el nuevo usuario ya tendrá gestión de sus APs para siempre en su controller y con su usuario.

¿Dónde descargar versiones anteriores de Dropbox?

Si usas Dropbox y, tras una actualización, el programa empieza a comportarse de modo extraño (pasa en las mejores familias alguna vez), puede que te interese “revertir” a una versión anterior. Una que funcione hasta que saquen el solucionen el problema.

El problema es que en la página oficial de Dropbox no puedes descargarte versiones anteriores. Y muchos dependen de Dropbox para trabajar.

Así que si os pasa lo mismo que a nosotros (en un cliente), os dejamos este enlace donde podéis bajar muchas versiones anteriores de este programa, tanto en versión estable como en versión beta.

Nota: recordad que los programas van cambiando su estructura y, si retrocedes demasiado de versión, puede que no puedas sincronizar archivos porque ya no sea compatible.

El enlace es oficial, porque es del foro de Dropbox. Por lo tanto las descargas también son correctas y fiables.

Cómo abrir el puerto 25 en los servidores AWS (Lightsail y EC2) de Amazon

Si decides adquirir los servidores cloud de Amazon AWS (muy potentes aunque no son baratos), tenéis dos opciones principales:

  • Lightsail (la gama asequible y de entrada de Amazon).
  • EC2: todo el resto de instancias (servidores virtuales) de Amazon. Pensado para grandes proyectos y empresas. Con Amazon puedes hacer desde el proyecto más pequeño…al más grande.

En ambos casos, una vez instalado el servidor, o instancia, veréis que el puerto 25, el de SMTP, (puerto que usan los servicios de correo por defecto para enviar) está bloqueado. No salen los correos.
Esto es porque, como dicen “Amazon EC2 restricts traffic on port 25 of all EC2 instances by default, but you can request for this restriction to be removed” (y también vale para los Lightsail. Es decir, bloquea ese puerto por defecto.

¿Cómo se quita el bloqueo del puerto 25 en los servidores AWS?

Las instrucciones vienen aquí, pero lo que hay que hacer es rellenar este formulario para presentar la solicitud.

En el formulario tienes que explicar el uso para el que vas a destinar tu servidor. Además puedes proporcionar direcciones IP y, si las tienes, registros de reverse DNS, para reducir el riesgo de que los correos se marquen como spam.

Si te aprueban el formulario, recibirás una notificación que el puerto 25 ha sido desbloqueado.

Diferencia entre tap y tun en OpenVPN

Cuando queremos crear una conexión de VPN, y elegimos como solución (buena) OpenVPN, tenemos una decisión que tomar: usar tap o tun.

El problema es que no se explica bien estas opciones, ni las ventajas de cada una. Hoy os lo explicamos.

¿Qué diferencia hay entre una configuración tap o tun?

TAP.

Al elegir la configuración TAP, lo que se hace es crear una “interfaz virtual de Ethernet” . Esta es la interfaz que crea el programa de OpenVPN cuando lo instalas en tus interfaces de red y puedes ver porque pone TAP y se activa al conectarse la VPN.

Es, por tanto, una VPN de nivel 2 en el modelo OSI, de la capa de enlace de datos. Esta VPN crea un bridge entre dos LANS, y funciona en parte como un switch. Tiene las mismas ventajas, mucha potencia, puedes hacer casi cualquier cosa…pero puede haber muchos problemas de rutas.

TUN.

Tun es un enlace punto a punto virtual por IP. Es, por lo tanto una VPN de nivel 3 en la capa OSI (nivel de red). El problema es que es un enlace punto a punto…es decir conecta dos máquinas y no dos redes.

¿Cuándo debe usarse Tap y Tun al configurar una VPN de OpenVPN?

La decisión final es del técnico, pero os dejamos varios puntos para que podáis realizarla.

  • Tun está pensado para conectarse a otra máquina, sólo a una. No a recursos de red. Si quieres conectarte a un servidor solamente es una buena decisión.
  • Con Tun puedes acceder a otros recursos de red haciendo que parezca que están en el servidor, pero no es su función.
  • Tap permite conectarse a otra red, incluidos todos los recursos de esa red (clientes, impresoras etc). Si necesitas acceder a varios recursos o servicios de la red remota, debes elegir tap.
  • Tap introduce algo más de carga en la red porque incluye las rutas de cada red. En tun, como la conexión es punto a punto, no se necesita toda esa información.
  • Tap depende mucho de las configuraciones y enrutado de red. Pueden surgir problemas de rutas que son difíciles de identificar y de resolver. Por ejemplo un error muy común en España es tener la red del servidor en la misma red (192.168.1.X) que la de los clientes de VPN (192.168.1.X). En tun esto no da tantos problemas.
  • Si no te funciona bien uno, prueba otro. Nosotros configuramos una VPN por TAP y la interfaz tap estaba dando retardos al abrir y cerrar conexiones, y al levantarse. Fue cambiar a tun y ya no tuvimos ese problema y la VPN iba muy rápida (en comparación).
  • Si quieres algo rápido y menos complejo, usa tun.
  • Tap abre una LAN a la otra (dependiendo de tu configuración). Esto puede introducir fallos de seguridad.

Esperemos que os sirva para decidir.

Data Loss Prevention (DLP) en Office 365. Introducción.

Las directivas DLP, o directivas de prevención de pérdida de datos, son una serie de normas y directrices que se pueden implantar en una empresa para proteger la información confidencial. Tenerlas implementadas y automatizadas no sólo da seguridad a la empresa, sino que permite cumplir de una manera más rigurosa con las leyes de protección de datos y de protección de la información. Evita también tener que contar con los empleados solamente y ayuda a concienciarles sobre la importancia de la protección de datos.

¿Cómo las implementamos?

A la hora de implementarlas podemos escoger software de pago, hardware (muchos firewall tiene políticas DLP) o comprobar si nuestros sistemas de comunicación lo tienen. Este es el caso de Office 365 que tiene un sistema de control y gestión de las políticas DLP. Esto es lo que queremos mencionar hoy como introducción.

¿Qué debemos proteger?

Cuando se implementa un sistema DLP, hay que tener en cuenta varias cuestiones. Cuestiones que hay que discutir con la empresa y en la que hay que implicarles directamente, porque cada caso es diferente.

  • ¿Qué información debe ser protegida? Si vamos a automatizar unas directivas, necesitamos saber exactamente que información hay que tener controlada.
  • ¿Dónde se guarda la información que debe ser protegida? Cada entorno implicará métodos diferentes y decidirá qué sistema vamos a escoger.
  • ¿Qué dispositivos pueden conectarse a nuestra red y con qué permisos? Por ejemplo discos duros o lápices USB.
  • ¿Qué métodos de fuga de datos pueden existir? Por dónde puede filtrarse la información en mi empresa.

¿Qué herramientas nos da Office 365 para implementar las políticas DLP?

Lo primero que vamos a hacer es ir a Administración. Después pinchar en “Mostrar Todo“. Ahí tenemos dos enlaces muy interesantes: Security y Compliance. Estos dos enlaces nos dan una visión general de la seguridad en Office 365 y el cumplimientos de protección de datos y normativas reglamentarias.

Si queremos irnos más específicamente a la prevención de pérdida de datos tenemos este enlace: https://compliance.microsoft.com/datalossprevention

¿Cómo podemos crear las directivas en Office365?

Aquí veremos que podemos crear y administrar nuestras directivas. Afortunadamente, no tenemos que empezar de cero. Office365 tiene ciertas plantillas que podemos usar. Desafortunadamente la mayoría son para USA, UK y Francia. Pero podemos usar muchas de ellas como base.

Vamos a ir a “Crear Directiva” y ahí nos deja elegir una plantilla o crear una personalizada.

Tenemos que:

  • escoger una plantilla
  • darle un nombre y una descripción
  • elegir las ubicaciones donde se va a activar la directiva.
  • elegir qué información se debe proteger.
  • elegir qué acción se debe realizar cuando se detecte información confidencial.
  • los permisos de acceso y anulación.
  • cuándo va a tener efecto.
  • Y pinchamos en crear.

Con eso sólo tenemos que probarlas y seguir creando directivas.

Más información aquí.

En otra ocasión seguiremos con más artículos de DLP.

Cambiar la imagen en el fondo de escritorio, la pantalla de bloqueo y de Inicio en Windows.

Nos habéis preguntado cómo cambiar la imagen del fondo de escritorio, la de la pantalla de bloqueo y la de inicio de sesión en Windows 10. Hoy dejamos la respuesta.

Lo primero que tenéis que hacer es ir a Inicio->Configuración->Personalización.

Ahí tenéis dos apartados:

  • Fondo: donde se puede elegir la imagen del fondo de escritorio de Windows.
  • Pantalla de bloqueo: donde puedes cambiar la imagen de la pantalla de bloqueo.
    Aquí además puedes marcar una opción para que la imagen de Inicio (antes de iniciar sesión) tenga esta misma imagen).

Os lo mostramos en este vídeo.

Deshabilitar y habilitar el módulo de phpMyAdmin en Apache por comando.

Si manejas bases de datos de aplicaciones web, lo mejor es que gestiones las bases de datos desde tu ordenador con conexiones de programas como Mysql Workbench. O que limites las conexiones por IP. Es muy inseguro que tengas abierta al público una herramienta como phpMyAdmin que gestiona las bases de datos. Por muchos cambios de puerto o de rutas que hagas.

Sin embargo, tienes otra opción, que es habilitar y deshabilitar el módulo de phpMyAdmin de Apache por comando. Así, lo activas cuando lo vayas a usar, lo desactivas cuando no lo estés usando. Es muy difícil que alguien detecte cuando lo has activado y rompa tu acceso (usuario y contraseña) justo en la ventana en que lo has activado.

Habilitar y deshabilitar el módulo y phpMyAdmin en Apache por comando.

Os dejamos aquí los comandos.

Para habilitar el módulo de phpMyadmin.

a2enconf phpmyadmin

Te va a pedir reiniciar apache y te sugiere el comando, normalmente:

sudo apache2 restart

Para deshabilitar el módulo de phpMyadmin.

Para desactivarlo es:

a2disconf phpmyadmin

De nuevo te pedirá reiniciar Apache (comando en la primera parte del artículo).

Cambiar o evitar la caducidad de las contraseñas en Windows 10 (y superiores) incluido Windows Home.

La caducidad de las contraseñas es una medida de seguridad básica. Al forzar el cambio reduces el riesgo de intrusión en el caso que la gente tenga tu contraseña, y además evitas que la gente use la misma contraseña siempre para todos los servicios.

Cuando se realizan estas consideraciones de seguridad, siempre hay que hacer un balance entre seguridad y usabilidad. Muchas empresas deciden cambiar las contraseñas cada mes. Que está muy bien, pero es una lata para los usuarios. En ese caso 72 días, o 3 meses pueden ser una mejor idea. Todo depende de cuánto prima la seguridad y cuánto la usabilidad.

Hoy vamos a ver cómo se establece esta directiva de seguridad en los diferentes casos que podemos tener.

Directiva de dominio.

Si gestionas un dominio el cambio es fácil. Tienes que ir a Administración del servidor->Herramientas (arriba en el menú)-> Administración de directivas de grupo.

Ahí bajamos por el bosque y nuestro dominio hasta Default Domain Policy y damos a botón derecho y Editar.
En la siguiente página que se abre ve a la siguiente ruta: Directiva Default Domain Policy >Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas de cuenta >Directivas de contraseñas

Ahí podéis cambiar la Vigencia máxima de la contraseña para todo el dominio.

Si no estás en un dominio pero tienes Windows 10 Pro, Education, o Enterprise

Puedes cambiar las directivas locales si tienes estas versiones de Windows abriendo el editor de grupo. En Buscar o con botón derecho en Inicio > Ejecutar pone  gpedit.msc.

Se te abrirá el editor de directivas locales y ve a Directiva Equipo local > Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas de cuenta > Directivas de contraseña

Ahí puedes cambiar la vigencia también.

En estas versiones, puedes hacer que las contraseñas nunca caduquen con la herramienta netplwiz (Inicio > Ejecutar o Buscar).

Cuando se abra tienes que ir a Avanzado y ahí en Avanzado otra vez. Luego en Usuarios, botón derecho Propiedades y ahí marcar la opción de “la contraseña nunca caduca”. Si lo que quieres es que caduquen obviamente esto tiene que estar desmarcado.

Si estás usando una cuenta de Microsoft en tu equipo.

Si estás conectado con Microsoft y no estás usando una cuenta local sino una cuenta de la nube (para guardar tus datos ahí, sincronizar etc, puedes hacerlo desde el panel de tu cuenta. Ve a la opción de seguridad de tu cuenta, Cambiar contraseña, Cambiar.

Ahí, además de dejarte cambiar la contraseña, te permite marcar una casilla para cambiar la contraseña cada 72 días (dos meses y medio aprox).
Eso si, cuando lo hagas te va a hacer cambiar la contraseña esta vez.
A partir de entonces, cada 72 días te hará cambiar la contraseña.

Si tienes Windows Home.

La mayoría de los trucos en Internet están para versiones de Windows distinta a la Home, aunque la mayoría de los usuarios tienen en sus casas (y muchas empresas) esta versión. No se puede usar gpedit.msc en estas versiones porque está dehabilitado.

Hay que hacerlo por línea de comandos.

Abre un PowerShell o CMD con permisos de administrador y pon: net accounts

Ahí puedes ver cuando caducan. PUedes poner

net accounts /maxpwage:XX con XX el tiempo en días de la caducidad.

net accounts /maxpwage:unlimited

Para hacer que nunca caduquen las contraseñas puede abrir un CMD con permisos de administrador y escribir:

wmic useraccount where “Name='tuusuario'” set PasswordExpires=false

Donde tusuaruio es el nombre de usuario.

También puedes hacerlo por Powershell o CMD poniendo:

net accounts /maxpwage:unlimited
net user <account name> /expires:never

En Powershell también podemos poner:

Set-LocalUser -Name “itechticsuser” -PasswordNeverExpires 1

Comandos que se pueden poner en el menú ejecutar de Windows 10 en adelante.

Los que trabajamos con Windows solemos ejecutar muchos comandos desde el menú Inicio->Ejecutar. Algunos pueden ejecutarse también desde el cuadro de buscar, otro sólo desde ese cuadro.
Son pequeños atajos a programas, y solemos aprendernos de memoria los más usados. Pero los aprendemos a base de trabajar mucho con ellos. Y desconocemos el resto.

Hoy os dejamos un listado de comandos que puedes ejecutar (no hemos probado todos) en orden alfabético. Nos lo ha pasado un colaborador por correo. Como era antiguo (ya circulaba por Internet desde hace años), hemos ido comentando o modificando los que sabemos, y actualizando para Windows 10 e iremos actualizando la lista cuando podamos.

Esperamos que os sea útil.

access.cpl: comando para acceder a la opciones de accesibilidad.
accwiz: comando para usar el asistente para accesibilidad.
appwiz.cpl: comando para agregar o quitar programas.
cal: comando para utilizar la calculadora de Windows.
certmgr.msc: comando para utilizar certificados.
charmap: comando para ver el mapa de caracteres.
chkdsk: comando para utilidades de disco. No se puede ejecutar así, necesita un cmd.
ciadv.msc: comando para abrir el servicio de index server.
cleanmgr: comando para usar la herramienta de liberar algún dispositivo del equipo.
clpbrd: comando para ver el visor de portafolios.
cmd: comando para utilizar el promp de windows.
compmgmt.msc: comando para ver la administración de equipos.
conf: desde buscar abre la configuración de Windows.
control admintools: comando para usar las herramientas administrativas.
control desktop: comando para ejecutar la ventana de propiedades de pantalla.
control folders: comando para ejecutar las opciones de carpetas.
control fonts: comando para abrir la carpeta de fuentes.
control keyboard: comando para abrir las propiedades del teclado.
control mouse: comando para abrir las propiedades del ratón.
control netconnections: comando para abrir propiedades de red.
control schedtasks: comando para abrir el administrador de tareas programadas.
control: comando para abrir el panel de control.
dcomcnfg: comando para ver el servicio de componentes.
desk.cpl: igual que el control desktop, muestra la ventana de propiedades de pantalla.
devmgmt.msc: comando para ejecutar el administrador de dispositivos.
dfrg.msc: comando para desfragmentar discos.
dialer: comando para abrir el marcador telefonico.
diskmgmt.msc: comando para ejecutar el administrador de discos.
diskpart: comando para ejectuar el menu de particiones.
dxdiag: comando para ejecutar la herramienta de diagnóstico de DirecX.
eventvwr.msc: comando para ver el visor de sucesos local.
explorer: comando para abrir el explorador de carpetas.
firefox: comando para ejecutar el navegador firefox.
firewall.cpl: comando para abrir el firewall de windows.
fonts: comando para abrir windows\font.
fsmgmt.msc: comando para administrar las carpetas compartidas.
fsquirt: comando para usar el asistente de transferencia con bluetooth.
gpedit.msc: comando para abrir la directiva de grupo.
hdwwiz.cpl: comando para usar el asistente de agregar hardware.
iexplore: comando para abrir ie.
iexpress: comando para abrir ie 2.0. Y esto por qué está en Windows 10!!! jajajaja.
inetcpl.cpl: comando para abrir las propiedades de internet explorer.
intl.cpl: comando para abrir la configuracion regional y de idioma.
joy.cpl: comando para abrir los controles de dispositivos de juegos.
logoff: comando para cerrar la sesion.
lusrmgr.msc: comando para abrir directiva de usuarios locales y de grupos.
magnify: comando para abrir el ampliador de windows.
main.cpl: comando para abrir las propiedades del ratón.
migwiz: comando para ejecutar el asistente de transferencia de archivo y configuraciones.
mmsys.cpl: comando para abrir las propiedades de sonido y audio.
mobsync: comando para sincronizar instancias.
mrt: comando para abrir la herramienta de software mal intencionado.
msconfig: comando para abir la utilidad del sistema.
msinfo32: comando para ver toda la información del sistema.
mspaint: comando para abrir paint.
mstsc: comando para ejecutar el escritorio remoto.
ncpa.cpl: comando para abrir propiedades o conexiones de red.
netsetup.cpl: comando para abrir el asistente para configuracion de red.
notepad: comando para abrir el notepad.
nusrmgr.cpl: comando para abrir la ventana de cuentas de usuario.
osk: comando para ver el teclado de windows en pantalla.
pbrush: comando para abrir el paint.
perfmon.msc: comando para ver el monitor del sistema.
powercfg.cpl: comando para abrir las propiedades de opciones de energia.
rasphone: comando para conectar a una red de Dominio o remota o vpn.
regedit: comando para abrir el registro de Windows.
regedt32: ejecuta el editor de registro de Windows NT.
rsop.msc: comando para abrir o realizar el conjunto resultante de directivas.
secpol.msc: comando para abrir configuración de seguridad local\directivas de restricción de software.
services.msc: comando para abrir administrar los servicios del sistema.
shutdown: comando para apagar el sistema.
sigverif: comando para ejecutar el comprobador de la firma de un archivo.
sysdm.cpl: comando para ver la ventana de propiedades del sistema.
sysedit: comando para abrir el editor de configuración del sistema.
syskey: comando para cifrar la base de datos de windows.
taskmgr: comando para abrir el administrador de tareas.
telephon.cpl: comando para abrir el asitente de marcado.
telnet: comando para ejecutar telnet.
timedate.cpl: comando para cambiar la hora del sistema, debemos tener permiso para ejecutarlo.
utilman: comando para abrir el administrador de utilidades.
verifier: comando para ejecutar el administrador del comprobador de controlador
wab: comando para abrir la libreta de direcciones predeterminada de windows.
wabmig: comando para abrir la herramienta de importación de direcciones de la libreta pred.
winver: comando para ver el acerca de windows, muestra la inf. del so.
wmimgmt.msc: comando para abrir el wmi.
wmplayer: comando para abrir el windows media player.
write: comando para abrir el wordpad.
wscui.cpl: comando para abrir el centro de seguridad de windows del pc.
wuaucpl.cpl: comando para utilizar actualizaciones automaticas.