Regla anti spoofing de nombres en Office 365

Hace unos días escribimos cómo crear una regla anti spoofing de dominio para correos de Office 365. Spoofing de dominio es el caso en que suplantan una dirección de tu organización, de algún dominio que te pertenezca. La dirección que aparece en el remitente es una dirección aparentemente tuya.
Es el más típico y peligroso (porque para identificarlo hay que leer las cabeceras del correo).

Pero existe otro tipo de spoofing que también es dañino en las organizaciones por “culpa” de Outlook: el spoofing de nombres (Display Name Spoofing). En este caso el correo llega de una dirección externa y, debería ser fácil de identificar. PERO Outlook oculta la dirección de correo del remitente y muestra sólo el nombre. Lo que aparece en el campo FROM. Los usuarios sólo ven el nombre, a menos que pinchen en él.

Y lo malo es que tu puedes crear una cuenta de correo cualquiera y ponerte el nombre que te de la gana. Es decir, que tu dirección puede ser Pepito@gmail.com y en tu campo De: (From) puedes poner que eres Bill Gates, o Donald Trump. No requiere el más mínimo conocimiento.

Si este cambio lo haces con el nombre del director de una empresa, y la persona que lo recibe no comprueba la dirección de e-mail, podemos tener un disgusto. No confiemos en la suerte y automaticemos estas alertas para reducir riesgos.

Cómo crear la regla anti spoofing de nombres.

Va a ser muy similar a las que creamos en el artículo anterior:

  • Vamos al Centro de Administración de Office 365->Mostrar Todo-> Exchange
  • En la barra de la izquierda pincha en Flujo de Correo.
  • En reglas pincha en el signo más para crear una nueva y en Crear una nueva regla.
  • Pincha en Más opciones debajo de las condiciones.
  • Ponle el nombre que quieras (anti spoofing o similar).
  • En *Aplicar esta regla si… escoge “El remitente” -> “Es externo o interno” -> “Fuera de la organización” y dale a Aceptar.
  • Pincha en “Agregar condición“.
  • Escoge “Un encabezado de mensaje”->”Incluye cualquier de estas palabras” . Ponemos en el campo (“El encabezado”) From (tiene que estar en inglés porque viene así en el encabezado) y en “Incluye” ponemos el nombre de la gente que pueden ser impersonalizadas (los directivos por ejemplo). Pon todos porque se va a mirar si es uno O el otro (no a la vez).
  • Pincha en “Agregar condición“.
  • Escoge “El destinatario”->”Es externo o interno”->”Dentro de la organización”.
  • Ya tenemos las reglas para identificar el spoofing (un correo que viene de fuera, simula el nombre de un directivo de la empresa y se envía a alguien de nuestra organización).
  • Ahora vamos a ver lo que hacemos con esos correos. En *Hacer lo siguiente… escogemos “Anteponer al asunto del mensaje” y ponemos el prefijo que queramos (por ejemplo [POSIBLE SPOOFING]).
  • Pinchamos en “Agregar Acción“.
  • Escogemos “Aplicar una declinación de responsabilidad al mensaje”-> Anteponer una renuncia de responsabilidad“.
  • En Escribir texto ponemos el aviso que queramos. Os dejamos un ejemplo:
<p><div style=”background-color:#FFEB9C; width:100%; border-style: solid; border-color:#9C6500; border-width:1pt; padding:2pt; font-size:10pt; line-height:12pt; font-family:’Calibri’; color:Black; text-align: left;”><span style=”color:#9C6500″; font-weight:bold;>PRECAUCIÓN:</span> Este correo se ha enviado desde servidores externos a la empresa. No abra enlaces ni adjuntos a menos que esté seguro que es legítimo. En caso de duda borre el mensaje.</div><br></
  • En “Seleccionar uno” escoger “Encapsular”.

Hecho…ya tenemos una protección ante el spoofing de nombres.

Sencilla regla anti spoofing de dominio en Office 365

Ya hemos tenido varios casos de clientes que reciben un correo de spoofing, enviado desde un alto directivo de la empresa a una persona encargada de finanzas, indicando que haga una transferencia a una cuenta.
El problema es que (deben hacer bastante ingeniería social), las personas son las indicadas, y los correos tienen bastante aspecto de ser reales. Están cada vez mejor conseguidos.

Evidentemente es peligroso. Si alguien comete un error, podemos tener un disgusto.

Para evitarlo hoy os enseñamos a crear una sencilla regla en el administrador de Office 365 para identificar estos correos de spoofing para el caso del dominio. Es decir suplantan el correo con el dominio incluído. Hay otros tipos y los trataremos otro día. Esto no quita que deberíais siempre revisar la configuración del correo, especialmente los registros SPF, DKIM y DMARC.

Cómo crear una regla anti spoofing en Office 365.

Nota: en Office 365 existen unas políticas de spoofing en el apartado de Seguridad->Administración de Amenazas->Directivas. Pero son muy básicas. Se puede ajustar más como os enseñamos aquí.

Para crear una regla anti spoofing en Office 365 vamos a hacer lo siguiente:

  • Vamos al Centro de Administración de Office 365->Mostrar Todo-> Exchange
  • En la barra de la izquierda pincha en Flujo de Correo.
  • En reglas pincha en el signo más para crear una nueva y en Crear una nueva regla.
  • Pincha en Más opciones debajo de las condiciones.
  • Ponle el nombre que quieras (anti spoofing o similar).
  • En *Aplicar esta regla si… escoge “El remitente” -> “Es externo o interno” -> “Fuera de la organización” y dale a Aceptar.
  • Pincha en “Agregar condición“.
  • Escoge “El remitente”->”Tiene un dominio que es”-> Y pon el o los dominios de tu organización (para que vea si se ha hecho spoofing).
  • Pincha en “Agregar condición“.
  • Escoge “El destinatario”->”Es externo o interno”->”Dentro de la organización”.
  • Ya tenemos las reglas para identificar el spoofing (un correo que viene de fuera, simula tener nuestro dominio y se envía a alguien de nuestra organización).
  • Ahora vamos a ver lo que hacemos con esos correos. En *Hacer lo siguiente… escogemos “Anteponer al asunto del mensaje” y ponemos el prefijo que queramos (por ejemplo [POSIBLE SPOOFING]).
  • Pinchamos en “Agregar Acción“.
  • Escogemos “Aplicar una declinación de responsabilidad al mensaje”-> Anteponer una renuncia de responsabilidad“.
  • En Escribir texto ponemos el aviso que queramos. Os dejamos un ejemplo:
<p><div style=”background-color:#FFEB9C; width:100%; border-style: solid; border-color:#9C6500; border-width:1pt; padding:2pt; font-size:10pt; line-height:12pt; font-family:’Calibri’; color:Black; text-align: left;”><span style=”color:#9C6500″; font-weight:bold;>PRECAUCIÓN:</span> Este correo se ha enviado desde servidores externos a la empresa. No abra enlaces ni adjuntos a menos que esté seguro que es legítimo. En caso de duda borre el mensaje.</div><br></
  • En “Seleccionar uno” escoger “Encapsular”.

Ya lo tenemos, puedes poner la prioridad que quieras a la regla y pinchar en aceptar.

Con esto puedes comprobar que funciona, pero tienes una regla bastante segura que, cuando llega un correo que cumple esas condiciones (externo imitando que es interno) modifica el asunto con [POSIBLE SPOOFING] delante y pone, encima del texto del correo, una aviso alertando que puede ser spoofing e indicando a los usuarios qué pueden hacer.

Tweaking.com – Windows Repair: uno de los mejores reparadores “todo en uno” de Windows.

Después de tantos años, parece mentira que todavía quede algún software, de los que usamos frecuentemente, por mencionar en el blog. Pero alguno queda. Este es el caso de Tweaking.com – Windows Repair “, un excelente “todo en uno” de Windows que llevamos usando desde el comienzo de la empresa.

¿Para qué sirve Tweaking.com – Windows Repair ?

En SmythSys usamos Tweaking.com – Windows Repair cuando:

  • ya no se nos ocurre qué puede pasar y “a ver si se repara con este programa”.
  • cuando ya fallos de permisos de Windows, de servicios, de componentes (que no repare DISM) etc. Mejor dejarle a un programa que lo haga a hacerlo a mano.

¿Qué puede hacer Tweaking.com – Windows Repair ?

Este es el típico caso donde tardaríamos menos en decir “qué no se puede hacer” que lo contrario. Os dejamos algunas de las reparaciones:

  • Reset permsiso del registro
  • Reset permisos de los ficheros
  • Registrar ficheros del sistema
  • Reparar WMI
  • Reparar el Firewall de Windows
  • Reparar Internet Explorer
  • Reparar MDAC y MS Jet
  • Repair el fichero hosts
  • Quitar políticas que hayan puesto virus o malware.
  • Reparar iconos
  • Reparar el Winsock y la DNS Cache
  • Borrar ficheros temporales
  • Reparar la configuración de los proxy.
  • Desocultar ficheros que no sean del sistema
  • Reparar Windows Update.
  • Y mucho más.

Si os quedáis atascados reparando un Windows…probadlo.

La Búsqueda de Contenido en Office 365 no muestra resultados. Solución.

Hace unos días estábamos intentando usar la Búsqueda de Contenido para Office 365, con el fin de encontrar correos entrantes y salientes en una organización y poder evaluar un posible ataque de spoofing. Pero por más que creábamos búsquedas no mostraban resultado. Y lo hacíamos con en usuario administrador.
Os dejamos la solución.

Cómo dar permisos a un usuario para obtener resultados en la Búsqueda de Contenido de Office 365.

La causa del problema es que, por alguna razón extraña, el usuario administrador de Office 365 no tiene, por defecto, permisos para mostrar resultados en dicha búsqueda. Hay que asignárselos.

Para ello:

  • ve a https://protection.office.com/.
  • En la barra de la izquierda elige Permisos.
  • Escoge eDiscovery Manager
  • Se te abrirá una ventana con la descripción de ese rol y, debajo, dos subroles

Podéis elegir o Supervisor de eDiscovery (Un supervisor de eDiscovery solo puede ver y editar casos para los que tenga acceso.) o Administrador de eDiscovery (Un administrador de eDiscovery puede ver y editar todos los casos, independientemente de los permisos.)

  • Pinchamos en el rol de Administrador de eDiscover en Editar y otra vez en Editar.
  • Seleccionamos la cuenta de Administrador y le damos a Listo
  • Cerramos la ventana.
  • Tenemos que salir de Office 365 y volver a entrar para que coja los permisos.

Con esto ya podremos realizar las búsquedas de contenido en Office 365 y ya mostrarán resultados.

Herramientas para analizar la cabecera de un correo electrónico.

El viernes, estuvimos haciendo un informe de spoofing para un cliente. En la elaboración de dicho informe, hay que leer las cabeceras de los correos electrónicos (las cabeceras contienen los historiales de transmisión, remitentes, destinatarios, servidores de origen y destino etc…).

Estas cabeceras se pueden visualizar en modo texto. Normalmente lo hacemos los técnicos y sabemos lo que buscar. Pero es visualmente poco agradable.

Así que los distintos proveedores han sacado herramientas online para poder ver estas cabeceras de modo más amigable, y así extraer la información más rápidamente.
También es útil cuando queremos mostrárselo a un cliente.

Os dejamos algunas de estas herramientas.

Booked: aplicación web opensource para gestionar reservas de recursos.

Hace unos días un conocido me mencionó esta aplicación web de reservas y, desde entonces, lo he usado para algún proyecto. En estos días del coronavirus, hay necesidad de aplicaciones para gestionar reservas de espacios físicos (habitaciones, espacios, máquinas…). Y Booked es perfecto para ello.

Cuando te planteas una aplicación de reservas tienes básicamente tres opciones:

  • Uso de un servicio web (normalmente de pago).
  • Extender el CMS de la web de la empresa con plugins de reservas. Gratuito pero lleva tiempo de configuración.
  • Un servicio web en tus servidores independiente, como Booked. Gratuito y con todo lo que necesitas en el mismo paquete. En este artículo hablamos de esta opción.

Booked: aplicación web gratis para reserva de recursos.

Booked es una aplicación PHP y SQL de reservas web, con un calendario y todos los recursos necesarios para añadir un número ilimitado de recursos, con las opciones que necesites.
El programa está disponible desde hace más de 10 años, con actualizaciones constantes.

Traducido a casi 40 idiomas, sin límites de recursos, reservas o usuarios. Tiene un sistema de informes muy completo, integración con Outlook y Google Calendar, se puede acceder con Facebook y Google, personalizar el aspecto, integración con sistemas de pago… y mucho más.
Al ser PHP, puedes personalizarlo a tu gusto.

Tenéis una DEMO aquí: https://demo.bookedscheduler.com/Web/?

Copiar subdirectorios en Windows por terminal con xcopy

Hace unos días teníamos que rescatar la información de un disco duro dañado. Cada vez que intentábamos acceder por Windows se “colgaba”. Pero por línea de comandos, si se enfriaba antes el disco (truco de IT) conseguíamos que durara lo suficiente para transferir la información.

Para ello usamos xcopy por terminal con la opción de copiar subdirectorios. Os lo dejamos aquí por si tenéis que usarla vosotros.

Cómo copiar subdirectorios con xcopy.

El las opciones de xcopy que usamos para copiar subdirectorios y su contenido fueron:

xcopy origen destino /E /H /C /I

Explicamos las opciones.

  • /E : Copia directorios y subdirectorios incluidos los vacíos (/s sólo copia los que no están vacíos).
  • /H: copia también los archivos ocultos y de sistema.
  • /C: Sigue copiando incluso si ocurre un error (si ocurre pasa al siguiente archivo).
  • /I: si no tiene destino al copiar, asume que el destino es un directorio.

El comando anterior NO COPIA permisos de NTFS ni de compartición. Si quieres copiar los permisos usa:

xcopy origen destino /O /X /E /H /K

Los nuevos delimitadores son:

  • /O: Copia el dueño del archivo y la información ACL.
  • /K: copia los atributos del fichero (xcopy los resetea normalmente).
  • /X: copia la configuración de auditoría (implica /O).

Si lo que quieres es recrear una estructura de directorios, pero no copiar el contenido, se puede hacer con xcopy de la siguiente manera:

xcopy origen destino /T /E

Donde /T: copia los subdirectorios pero no los ficheros.

Cómo ver cuánto tiempo lleva un ordenador Windows encendido.

En ocasiones queremos ver cuánto tiempo lleva un ordenador Windows encendido. Ya sea por temas de control o auditoría, o para ver si le estamos exigiendo demasiado y debemos dejarlo descansar.

En Linux es muy sencillo, en Windows algo más complicado, os dejamos 2 métodos gráficos y dos métodos por comandos.

Modo gráfico.

  • Puedes verlo abriendo el Administrador de Tareas (botón derecho en la barra de Windows->Administrador de Tareas), si vas a Rendimiento y luego a CPU.
    Debajo pone el tiempo que lleva encendido la CPU.
  • También si vas a tu conexión de red y haces doble click, te dice el tiempo que lleva funcionando.

Por línea de comandos en CMD o Powershell.

Por línea de comandos puedes usar CMD o Powershell.

CMD

Por cmd (Inicio->Ejecutar->cmd) podéis ejecutar lo siguiente:

systeminfo | find "Tiempo de arranque del sistema"

POWERSHELL.

Tenéis dos opciones:

  • (get-date) – (gcim Win32_OperatingSystem).LastBootUpTime
  • Get-CimInstance -ClassName win32_operatingsystem | select csname, lastbootuptime

Lo explicamos en el siguiente vídeo.

Conectar un firewall Fortigate con Windows Active Directory.

Si has instalado en tu red un firewall de Fortigate (muy recomendable) y tienes un Windows Server, es interesante conectar ambos. De esta manera, por ejemplo, puedes crear usuarios de VPN que sean los de Active Directory, o poner reglas de bloqueo o de exclusión para grupos de AD. Te permite no tener duplicidad de cuentas, y gestionar las mismas desde el servidor.
Hoy os enseñamos a conectar ambos sistemas.

Cómo conectar un firewall Fortigate con Windows Active Directory.

Lo que tenemos que hacer es entrar en el Fortigate y:

  • Acceder a User & Device > LDAP Servers > Create New.
  • Poner el nombre, la IP del servidor y el puerto (389 por defecto).
  • En Common Name Identifier poned: sAMAccountName
  • En Distinguished Name poned: dc=dominio,dc=local
    Nota: supongo que es dominio.local tu dominio
  • Bind Type: Regular
  • Pon tu usuario en format Administrador@dominio.local
  • Pon la contraseña
  • Si le das a Test Connectivity o Test User Credentials debería dar un tic verde de Successful.
  • Con esto ya debería estar. Dale a Ok y lo guardas.

Nota: En teoría puedes poner en Common Name Identifier: cn (como viene por defecto), y entonces el username tiene que ser en formato DN (cn=Administrator,CN=Users,DC=empresa1,DC=dominio,DC=local), pero a mi me funcionó la configuración anterior mejor.

Una vez añadida la conectividad con el servidor de Active Directory, puedes ir a User & Device > User Groups para crear los grupos que necesites usando el active directory (por ejemplo usuarios de VPN, usuarios con permisos especiales etc). Cada grupo puede usar un CN del AD diferente.

Para más información de lo que puedes hacer con esta conexión con el AD puedes ver este enlace.

Traspasar la configuración de puntos de acceso Ubiquiti a otra persona en UniFi Controller.

Cuando quieres configurar un punto de acceso Ubiquiti, de los mejores del mercado, en un ordenador, tienes que usar el programa UniFi Controller.
En este software se configura un Site, con los AP que tengamos y la configuración que deseamos tener. Y se gestiona fácilmente.
Pero, ¿y si se lo estás configurando a otra persona? ¿Cómo traspasas tu configuración para que lo pueda gestionar él?

A nosotros nos ocurre mucho porque configuramos APs para clientes, y os vamos a enseñar cómo hacerlo para que la otra persona tenga la opción de gestionar sus puntos de acceso.

Cómo traspasar la configuración de UniFi Controller a otro ordenador.

La configuración se crea en tu UniFi Controller con tu usuario (local o de cloud, nosotros lo hacemos local) y tu contraseña. Este es el proceso para transferir la contraseña.

  • Haz una copia de tu sitio (Site). Para eso, en tu Unifi Controller ve a Settings (rueda dentada)->Backup y en Download Backup pincha en Download File.
  • Instala el UniFi Controller en el ordenador de la otra persona (cliente por ejemplo) con un usuario local o cloud. Al comenzar tiene una opción de “restore setup from backup”. Si eliges esa opción te cargará todo como estaba en tu ordenador.
  • Si el usuario tenía UniFi Controller ve a Settings->Backup y en Backup /Restore hay una opción de Restore Backup (Upload File).
    Nota: si ya tienes otros AP y no quieres mezclarlos, crea otro sitio.
  • Verás que reconoce tus APs y tienes la configuración guardada.
  • Como el otro usuario (cliente) no tiene que tener tu usuario y contraseña, ve arriba a la derecha, pincha en el desplegable, Edit Account y cambia el usuario y contraseña al que el cliente quiera.

Con esto el nuevo usuario ya tendrá gestión de sus APs para siempre en su controller y con su usuario.