miércoles, 9 de enero de 2013

Configurar un FTP implicito/explicito con SSL/TLS en Windows Server 2008 R2

Instalar en Windows Server 2008 R2 un sitio FTP seguro tanto implícito (puerto 990) como explícito (puerto 21) obteniendo el certificado de una PKI instalada en el Server 2008 R2.
La configuración de las máquinas que he usado en el ejemplo es la siguiente:

===========================================
Parte 1 en la que se configura el ROL de la PKI/CA (Infraestructura de clave publica o Autoridad Certificadora) con el que vamos a obtener los certificados para poder asegurar en el siguiente vídeo nuestro sitio FTP.

Parte dos en la que realmente se configura el servicio FTP.

En la siguiente imagen se demuestra que tengo las dos conexiónes ftp realizadas:

  1. ftps   --> Conexión FTP IMPLICITA a través del puerto 990
  2. ftpes --> Conexión FTP EXPLICITA a través del puerto 21

Ambas son conexiones cifradas.
La primera realiza primero la negociación de los certificados y luego la conexión al FTP y las transferencias.
La segunda realiza primero la conexión al servidor FTP y después negocia con los certificados como se ve en la imagen también.


Espero que sea de utilidad.

jueves, 13 de diciembre de 2012

Captura de tráfico DHCP con el Wireshark

Ejemplo de Captura de paquetes DHCP con el Wireshark utilizando servidores windows server 2008 R2, Ubuntu Desktop y clientes windows y linux.
El Wireshark es un analizador de protocolos muy conocido y básico en formación para entender como son todos los paquetes que van por la red.
En este caso nos conformamos con el DHCP.


En este video se ve perfectamente el proceso de captura de todos los paquetes DHCP utilizando el filtro BOOTP y capturando los paquetes DHCPDiscover, DHCPOffer, DHCPRequest, DHCPACK.

Este proceso queda bastante explicado en la siguiente imagen.
Hay que tener en cuenta que como es IPv4 casi todo el proceso se hace mediante paquetes broadcast a la red y por lo tanto escuchados por "TODOS" los equipos de la red.


Además de ver donde están los datos de las concesiones y las capas OSI/TCP/IP desde la capa física, la capa de enlace de datos, la capa de red, la capa de transporte y el resto de las capas.


En la siguiente imagen se ve un ejemplo del archivo de log de un Ubuntu en el que se muestra también todo el proceso de obtención de IP para ese cliente.


Un saludo, espero que os sea útil.

domingo, 18 de diciembre de 2011

Instalar una PKI y una PKI subordinada de AD en Windows Server 2008 R2

Me ha surgido la duda de instalar una PKI subordinada de empresa perteneciente a un Directorio Activo dependiendo de una CA/PKI que no era de empresa.

A parte de mover certificados .cer, .p7b, .crl de un lado para otro lo importante es la CRL (Lista de Revocación de Certificados).

No se puede crear una entidad subordinada si la principal no publica una CRL con todos sus certificados revocados para estar al día la una con la otra. Eso se hace en las propiedades de la "Autoridad Certificadora" principal en la pestaña "Extensiones" en la que hay que añadir la ruta web del archivo .crl o la ruta de carpeta compartida donde está ese mismo archivo.
En local está en:
      c:\windows\system32\certsrv\certenroll\.crl
en remoto en:
         http://-equipo-/certenroll/-archivo-.crl
      ó 
        \\-equipo-\certenroll\-archivo-.crl

Una vez hecho eso correctamente instalas la PKI subordinada, le solicitas el certificado a la PKI principal (lo obtienes por la inscripción web) y poco mas.... a trabajar


Bueno, tengo una duda con las todas las propiedades que he marcado en las "extensiones".... pero ya investigaré detalladamente que es cada uno de los checkbox que he marcado.

Un saludo.

miércoles, 16 de noviembre de 2011

Failover Cluster en Windows Server 2008 R2

Buenas tardes.


Me he puesto a probar un tema muy interesante que es el "Cluster de conmutación por error" o "Failover Cluster".


Y he realizado una serie de vídeos mostrando como se hace.
Si, reconozco que son unos cuantos... y que aparecen temas no muy conocidos como:

  • Cluster
  • Quorum
  • LUN
  • iSCSI
  • Latido
  • Nodos
  • Mayoría de Nodos y Disco
  • Target o destino iSCSI
  • Discos virtuales (.vhd)
  • Alta disponibilidad
Pero me ha gustado bastante trastear con ello.
Lo ideal hubiese sudo hacer un cluster de virtualización con el HyperV, pero para eso necesitaba al menos dos máquinas reales que soportasen HyperV y mas o menos con la misma configuración de hardware además de un tercer equipo que fuese DC y una SAN con soporte iSCSI lo cual no estaba a mi disposición.
Así que lo que he hecho ha sido utilizar máquinas virtuales:
  • Nodo 1 con Windows Server 2008 R2
  • Nodo 2 con Windows Server 2008 R2
  • DC con windows Server 2008 R2 que a la vez hacía de almacenamiento SAN utilizando el "Target iSCSI 3.3 de Microsoft".
  • Hacer un cluster en el que pongo en alta disponibilidad el servicio DFS.
Bueno, cuelgo los videos.....

  1. Preparo el entorno con los roles y características necesarios
  2. Creo el cluster utilizando el asistente de "Clusteres de conmutación por error"
  3. Creo el destino iSCSI y LUN para el disco de QUORUM y lo añado al cluster para ponerlo en modo "Mayoría de Nodos y disco"
  4. Después de eso añado las LUN de los dos servicios DFS que quiero poner en alta disponibilidad y pruebo un poco a ver como pasa el almacenamiento de un NODO al otro según van fallando o pasa algo.
  5. Configuro dos veces el servicio DFS, lo pruebo y simulo fallos en el servicio para ver como los dos nodos pasan de estar en estado ACTIVO/ACTIVO a ACTIVO/ERROR o ERROR/ACTIVO.... incluso los dos en error y luego ver como se puede volver a recuperar el servicio. Ver como se pasa el servicio de un nodo a otro o cualquier cosa que se os ocurra.
Espero que os guste.

Un saludo.



Video 1

Video 2

Video 3

Video 4

Video 5

lunes, 19 de enero de 2009

Sitio Web IIS con SSL/HTTPS y encabezados de host. Windows Server 2003

En principio parece que no se puede tener un varios sitios web seguros (HTTPS) utilizando SSL y el mismo puerto (443) y la misma ip.

Pero no es del todo cierto.
Cumpliendo una serie de condiciones se puede hacer tanto en Windows Server 2003 Sp2 como en Windows Server 2008.

Windows Server 2003

1- Si se quiere tener varios sitios 443 con https se necesita un certificado comodín. Por ejemplo, *.imsi.com Sólo tienes que solicitarle del primer sitio web https que crees y obtenerlo de tu PKI.

2- Se generan los sitios web en los que aplicar el certificado....

Con ese único certificado puedes asegurar varios sitios web. El 2003 no permite desde la consola aplicar ese certificado a varios sitios como si fuese el encabezado de host (el Windows Server 2008 ya lo permite)

Por lo que necesitas aplicar esa configuración mediante el script adsutil
El script adsutil.vbs está en la carpeta c:\inetpub\adminscripts\.

cscript.exe adsutil.vbs set /w3svc/1630906790/SecureBindings ":443:desarrollo.imsi.com"
cscript.exe adsutil.vbs set /w3svc/1735288564/SecureBindings ":443:seguro.imsi.com"



Y ya funciona. De todas maneras en los dominios que hayas creado el certificado luego tienes que ir a sus Propiedades--> Seguridad de Directorios--> Certificado de Servidor --> Asignar un certificado ya existente y seleccionar *.imsi.com





Es posible que funcione con cualquier dominio aunque no terminen en imsi.com.... el problema es que en los sitios que no pertenezan a ese dominio dará el error de certificado no válido y saldrá el escudo rojo de aviso de que hay un problema.


Parte de la información la he obtenido de:
http://technet.microsoft.com/es-es/library/cc781546.aspx

Esta es la consola de Administración del Internet Information Server mostrando que se puede tener varios sitios funcionando en el puerto 443.
Ahhhhh, el encabezado de host que muestra la consola no es el encabezado de host del puerto 443, es el del puerto 80.

La prueba de que realmente podemos asegurar dos sitios (o más) lo tenemos en las siguiente imágenes:

Sitio web https://desarrollo.imsi.com/
Sitio web https://seguro.imsi.com/ También he probado que pasa si creo otro sitio web con https (443) con otro encabezado de host que no sea *.imsi.com... pues con el localhost también permite hacerlo aunque obviamente da el error del certificado que he mencionado antes.
lo que no impide entrar a la página https://localhost/

Espero que os sirva.

Otro día haré un artículo con el Windows Server 2008. Aunque el proceso es mucho mas fácil ya que el sí permite hacerlo a través de la consola gráfica.

viernes, 9 de enero de 2009

Windows 7

Si. Ya había visto a la gente descargarse una versión del windows 7 del Torrent... pero no había sentido la necesidad de hacerlo.

Pero ayer han puesto a disposición de los usuarios de MSDN, Technet Plus, MVP, etc l descarga de la versión beta 7.000 así que no me he podido resistir.

Ya estoy probando la instalación del Windows 7. Ya se han escrito muchas líneas sobre el nuevo sistema operativo que va a sustituir inmediatamente a mi tan querido Vista. La gente va a saltar directamente del XP al Windows 7.

Venga. Voy a utilizar mi suscripción a Technet Plus para la descarga.

martes, 7 de octubre de 2008

DNS. Entender como funciona Internet. III de III

Tercera parte. Después de crear las zonas primarias, las secundarias, los registros de tipo A, CNAME, NS, SOA y NX y de modificar las propiedades de transferencias de zona, servidores de nombre y propiedades del registro SOA creamos un nuevo servidor DNS que va a contener la delegación a cada uno de los tres servidores primarios que ya teníamos configurados.

También hemos añadido el nuevo servidor DNS como sugerencia raiz de los otros 3 servidores para que así se resuelvan las peticiones DNS desde cualquier ordenador. Lo hemos verificado con la herramienta PING (Se podría haber usado nslookup).

He dividido el curso en tres partes. (cada video dura aproximandamente 15 minutos)

I - Instalación y creación de zonas principales. Tipos de registros.
II - Creación de zonas secundarias. Transferencias de zonas.
III - Delegación de zonas. Sugerencias raiz.






Si quieres descargar el video lo tienes disponible en el siguiente enlace:

Una pequeña presentación de varios conceptos de DNS..

DNS. Resolucion de Nombres
View SlideShare presentation or Upload your own. (tags: cname nombres)

DNS. Entender como funciona Internet, II de III

Segunda parte en la que creamos las zonas secundarias y damos permiso en los servidores que mantienen las zonas primarias para la transferencia de zona.
He dividido el curso en tres partes. (cada video dura aproximandamente 15 minutos)

I - Instalación y creación de zonas principales. Tipos de registros.
II - Creación de zonas secundarias. Transferencias de zonas.
III - Delegación de zonas. Sugerencias raiz.





Si quieres descargar el video lo tienes disponible en el siguiente enlace: