Bienvenido(a), Visitante. Por favor, ingresa o regístrate.
¿Perdiste tu email de activación?
30-09-2014, 12:19 (Martes)
Inicio Ayuda Reglas Buscar Ingresar Registrarse
Noticias:
Test de potencia en milivatios/dbm de adaptadores usb wifi



+  Seguridad Wireless - Wifi
|-+  Equipos y materiales
| |-+  Puntos de acceso, routers, switchs y bridges
| | |-+  Openwrt (Moderadores: jar229, Noltari, Pteridium, Tki2000)
| | | |-+  [Desarrollo] OpenWRT-SEC: The Saul Goodman's Router
0 Usuarios y 1 Visitante están viendo este tema. « anterior próximo »
Páginas: [1] Ir Abajo Imprimir
Autor Tema: [Desarrollo] OpenWRT-SEC: The Saul Goodman's Router  (Leído 1659 veces)
GLaDOS
Genetic Lifeform and Disk Operating System
*****
Desconectado Desconectado

Mensajes: 143



Ver Perfil
« : 15-02-2014, 07:37 (Sbado) »

Saludos a todos, os presento...

OpenWRT-SEC:
The Saul Goodman's Router

Si no conocéis a Saul Goodman (Qué fuerte me parece!) podeis visitar http://www.bettercallsaul.com

El trabajo de Saul consiste en mantener alejados de los juzgados a sus clientes, sin importar lo muy hasta las cejas que estén en asuntos 'turbios'... De esta manera, OpenWRT-SEC debería hacer exactamente lo mismo con sus usuarios.

---------------------------------------
Bueno, al tajo;

Abro este post con la intención de basar aquí mi proyecto personal de I+D. Éste debería estar cubierto por el 'fork' 'PacketProtector' de OpenWRT que actualmente está inactivo. PacketProtector contaba con:

Citar
PacketProtector is a Linux distribution for wireless routers, built on top of OpenWrt. The goal of this project is to transform the router into a unified threat management device.
Here's what you get-

    a stateful firewall (iptables)
    WPA/WPA2 Enterprise wireless (802.1X and PEAP with FreeRADIUS)
    intrusion prevention (Snort-inline)
    remote access VPN (OpenVPN)
    content filtering/parental controls (DansGuardian)
    web antivirus (DG + ClamAV)
    a local certificate authority (OpenSSL)
    secure management interfaces (SSH and HTTPS)
    advanced firewall scripts for blocking IM and P2P apps
    IP spoofing prevention (Linux rp_filter)
    basic protocol anomaly detection (ipt_unclean)
    anti-phishing (OpenDNS)
    automatic signature/rule updates

Each of these services is automatically bootstrapped and configured with sensible defaults. A secure web interface makes common configuration tasks as simple as a point and click.

Fuente: http://www.packetprotector.org/

Post Edit En algunos hilos del foro de PacketProtector hablaban de mudarse a DD-WRT antes de que muriera el proyecto, pero por lo que he podido buscar en la red poco más se ha sabido desde 2010.

Me ha resultado IMPOSIBLE hacerme con ningún router compatible. Imposible y descartado probar PacketProtector.

------En primer lugar, toca decidir el Hardware.
Mi principal candidato es, en estos momentos, el Commtrend AR-5387un. Tengo dos y lo único especial que les encuentro es su tamaño. A pesar de esto, tenemos alternativas:

AR-5387un
CT-5361
CT-5365
ASL-26555
Livebox 2.1

(Dejo esta lista por si en el futuro tengo que abandonar el AR-5387un, de esta manera ya tenemos claros las diferentes opciones que tenemos).

PostEdit: Una vez funcionando una primera versión, no debería ser demasiado difícil re-compilar para otras plataformas.

En lugar de eso, voy a intentar trabajar en un 'megapaquete' (de unos cuaaaantos paquetes, de una cantidad - me temo -  desconsiderada de MBs y por tanto montada en almacenamiento externo (Memoria USB o Lector de Tarjetas + Memoria SDHC) que cada uno intale en su router 'rulando' OpenWRT, y configure según sus necesidades, activando y levantando el servicio, que se encargue de configurar y administrar las aplicaciones mediante una interfaz web.


-------En segundo lugar, establecer el objetivo del Router (Contemplaría TODOS los que aparecen en la descripción de PacketProtector, pero quizás algunos escapen todavía a mi conocimiento):

-Diferentes opciones de ofuscación y anonimato digital (TOR, I2P...)
-Preinstalación para navegación a través de Proxy's Públicos/Privados.
-Uso de Certificados GPG (GNU Privacy Guard - PGP Pretty Good Privacy)
-Control Remoto
-Cliente y Servidor VPN - stronSwan IPsec
-Snort (IPS Software) y/o otros sistemas de detección de intrusos.
-Control Parental (Para bloquear y evitar Sitios Web 'cotillas' que registren nuestra actividad.
-Configuración Conservadora del Firewall
-Aplicaciones de auditoría de redes cableadas.
-Autentificación FreeRADIUS.

-Valorando la opción de integrar Kismet, aunque el tema de auditoría wireless no es lo principal. Tan sólo lo que tenga que ver con 'tapar' agujeros y asegurar nuestra propia operación.

(NO es objetivo de este proyecto ningún tipo de soporte para aplicaciones multimedia, de compartición de archivos, almacenamiento, impresoras ni nada de eso. Más bien se trata de lo contrario.)

NOTA: Quizás sí sea interesante añadir soporte para almacenamientos, aunque no para su compartición. Ya que debido a la cantidad de software que queremos añadir necesitemos espacio extra.

Post Edit:
Una modificación para añadir una SD interna sería muy interesante, por aquello de mantener funcional el puerto USB.

-------En tercer lugar, os puedo hablar de las posibles aplicaciones:
-Conectarse desde casa de la abuela al Servidor VPN de tu 'HardenedRouter' en casa y salir a internet vía TOR o similar.
-Encriptado y tunelado VPN del tráfico a través de un HotSpot Wireless Abierto, asegurando la confidencialidad de nuestros datos.
-Conectarse desde los puertos ethernet del Router y salir a la red mediante Proxy, VPN o similar.
-Realizar auditoría de seguridad, exploración de redes etc, en cualquier red en la que sumerjamos el dispositivo.
-Montaje de HotSpots y/o HoneyPots, sin miedo a que por el camino acabemos siendo el cazador cazado.

De alguna manera, quiero convertir un simple 'Router' en un aparato especializado en conexiones informáticas seguras, ofuscadas, anonimizadas, ocultas...

----------------------------------------

Empieza el trabajo; Empiezo por buscar la manera de instalar OpenVPN. En todos lados explican maneras, en ningún lado dan resultado... Ni opkg ni nada. OpenVPN no parece estar en los Repos de OpenWRT. Serán bienvenidas indicaciones.  Lips Sealed Quizás no exista OpenVPN para Barrier Breaker. Quizás tenga que usar Attitude Adjustement. Ojalá alguien me confirme esto.
Edición: Ya tenemos OpenVPN.
Citar
root@OpenWrt:~# opkg list | grep openvpn
openvpn-easy-rsa - 2013-01-30-2 - Simple shell scripts to manage a Certificate Authority
openvpn-nossl - 2.3.2-3 - Open source VPN solution using plaintext (no SSL)
openvpn-openssl - 2.3.2-3 - Open source VPN solution using OpenSSL
openvpn-polarssl - 2.3.2-3 - Open source VPN solution using PolarSSL

Por otro lado, sí que se encuentra disponible Snort aunque creo que su configuración y. sobre todo, la implementación de un conjunto de 'Reglas' que lo hagan eficaz será costoso. Azn
« Última modificación: 10-03-2014, 10:42 (Lunes) por GLaDOS » En línea

Nos vemos entre Bytes!

Suop... - El primer operador móvil gestionado por sus usuarios que además son bonificados por participar en su comunidad.

<<¡Gritad, malditos, gritad! Que las normas que han escrito, deben cambiar y ¿Qué mas da si para ellos somos cifras? Que vean que somos cifras que ya no aguantan más>>.
GLaDOS
Genetic Lifeform and Disk Operating System
*****
Desconectado Desconectado

Mensajes: 143



Ver Perfil
« Respuesta #1 : 24-02-2014, 04:11 (Lunes) »

Actualizo para subir el post y ver si a alguien le pica el bicho... No me puedo creer que en un foro llamado SeguridadWireless no haya ningún paranoico de la seguridad parecido a mi...  Undecided


Tampoco posteo solo para subir. Tengo novedades: El descubrimiento de 'FreeRADIUS'. Así que no puede faltar en este 'fork' si puede llamarse así... Bueno, supongo que no se merece tal apelativo, así que vamos a dejarlo en... 'Esta compilación'.

Además, ya que estoy, bautizo el proyecto:

OpenWRT-SEC:
The Saul Goodman's Router

Si no conocéis a Saul Goodman (Qué fuerte me parece!) podeis visitar http://www.bettercallsaul.com

El trabajo de Saul consiste en mantener alejados de los juzgados a sus clientes, sin importar lo muy hasta las cejas que estén en asuntos 'turbios'... De esta manera, OpenWRT-SEC debería hacer exactamente lo mismo con sus usuarios. (Yo me descojono de la risa, me encanta la idea, no se a vosotros, yo es que visualizo al personaje currando en el router)
 Grin Grin Grin Grin Grin
Y para que el proyecto no decaiga me dedico unos aplausos  Angry Angry Angry Angry
« Última modificación: 24-02-2014, 11:01 (Lunes) por GLaDOS » En línea

Nos vemos entre Bytes!

Suop... - El primer operador móvil gestionado por sus usuarios que además son bonificados por participar en su comunidad.

<<¡Gritad, malditos, gritad! Que las normas que han escrito, deben cambiar y ¿Qué mas da si para ellos somos cifras? Que vean que somos cifras que ya no aguantan más>>.
Chumpy
Moderador Global
*
Desconectado Desconectado

Mensajes: 1963


Ver Perfil
« Respuesta #2 : 24-02-2014, 04:38 (Lunes) »

Cuando lo leí me pareció muy interesante, pero no tenía mucho tiempo para contestar y menos algo realmente interesante que aportar.

No me ha quedado totalmente claro como es lo que planteas, aunque entiendo, o más bien me lo imagino, como un sistema preparado y materializado en un router que funcione como un "gestor de conexiones portatil", que se encargue de convertir cualquier comunicación inalámbrica en una comunicación segura.

Para que fuese realmente util y educativa sería necesaria, a mi modo de ver, una interfaz que permitiera activar y configurar los diferentes servicios en función de las características de la conexión que pretendas establecer, su grado de privacidad y las condiciones de la red, así, por ejemplo, para leer la prensa y descargar de una red P2P, en realidad el nivel de privacidad exigido es casi 0, y desactivaría cualquier servicio que afecte a la velocidad de forma considerable, del mismo modo, para acceder al banco en un red pública bucaría una solucion basada en una VPN, un cifrado punto a punto o algo por el estilo.

Por otra parte, estuve pensando en esta misma línea, aunque no se si es viable realizar un filtrado de las conexiones, aplicando unas u otras medidas de seguridad en función de las características de la petición, algo así como un QOS pero que no solo interviniera en la prioridad si no también en la privacidad/rendimiento.

Estoy seguro de que conforme vayas contando que vas haciendo, que dudas te planteas, tus problemas y tus progresos empezará a ganar seguidores tu proyecto, y empezarás a recibir retroalimentación. Organiza tus ideas y objetivos, probablemente haya otros grupos trabajando en algunas de ellas, y de los que podrás nutrirte o colaborar, no estás solo, por ejemplo, en el intento de realizar una auditoría desde un router con OpenWRT.
En línea

No es que sea más listo que tu, es que he utilizado más veces el botón

Glosario de Términos Wireless
Manual basico de WIFISLAX y sus herramientas de Auditoria
GLaDOS
Genetic Lifeform and Disk Operating System
*****
Desconectado Desconectado

Mensajes: 143



Ver Perfil
« Respuesta #3 : 24-02-2014, 06:30 (Lunes) »

En primer lugar, mil gracias Chumpy, tu empujoncito y que la idea te resulte interesante me ha animado mucho a seguir pa'lante justo en el momento en el que empezaba a pensar que quizás lo que planteaba era una tontería o algo desproporcionado... Pero no, así que mil gracias otra vez; sigo contestándote:

La idea de 'gestor de conexiones' portátil no es nada alejado de lo que planteo. Efectivamente, la idea es tener un 'router de mochila' para que allá donde vayas, te conectes a la WiFi de casa de un colega, un HotSpot Open o incluso un RJ45 que pilles por ahi de cualquier red LAN preexistente con salida a Internet y no previamente conocida.

En resumen la idea principal es = Te conectes a donde te conectes, puedes estar 'tranquilo'... 'Security Everywhere'.

En el caso más doméstico, puede servir para navegar anónimamente, evitar que un atacante intercepte satisfactoriamente nuestro tráfico, etc.

Pero en un caso más extremo, debería servir para evitar la censura en otros países, para protegerse de gobiernos totalitarios que persiguen a los 'enemigos de la nación' simplemente por acceder a la información de la red, o comunicarse con el exterior del país... De esta idea nace el apodo 'El router de Saul Goodman'... La compilación debería 'proteger' al que se encuentra detrás de él, pongámonos en un caso al estilo 'Wikileaks' y un confidente anónimo está en posesión de datos que deberían ser públicos y no puede exponerse a conectarse a Internet, subir archivos a un FTP y esperar a que llamen a su puerta. No. Antes debe estar Saul  Grin y hacer su trabajo.

La cuestión de la Interfaz puede ser lo que más me asuste, tengo conocimientos de HTML 'básico' pero no tengo experiencia en tipos de programación más avanzados como php y similares, aunque mejor, si hay que ponerse se pone y así se aprende, llegar a donde he llegado no ha sido gracias a ninguna universidad... Si no a la propia red y unas cuantas dioptrías que supongo que al final todos nos dejamos en la pantalla.

En teoría me gustaría que de por si el router ejecutase todos los protocolos de seguridad posibles, ya que para leer el correo y usar P2P podemos ahorrarnos el router... Aunque está claro que tiene que existir una interfaz que administre los servicios, ya que al final requerirán más o menos configuración, por ejemplo, en caso de VPNs. Gracias por la reflexión porque me ha llevado a plantearme este tema... El de configurar las diferentes aplicaciones.

Efectivamente, tengo que organizar, está claro que está todo por hacer y en el primer post sólo esbozo la idea principal. En los próximos días tengo que estudiar cada aplicación y protocolo por separado, conocer su integración en OpenWRT y ahí empezaré a volcar la info detallada en el post.

Otra vez, gracias por tu apoyo Chumpy  Wink
En línea

Nos vemos entre Bytes!

Suop... - El primer operador móvil gestionado por sus usuarios que además son bonificados por participar en su comunidad.

<<¡Gritad, malditos, gritad! Que las normas que han escrito, deben cambiar y ¿Qué mas da si para ellos somos cifras? Que vean que somos cifras que ya no aguantan más>>.
Noltari
Moderador
*
Desconectado Desconectado

Mensajes: 1067



Ver Perfil
« Respuesta #4 : 24-02-2014, 14:23 (Lunes) »

Me parece interesante este tema, no obstante he de decir que el tiempo del que dispongo lo estoy utilizando en hacer branches más actualizados de OpenWrt y en otros temas como en ayudar a portar mcproxy a OpenWrt (un proxy en condiciones para Imagenio que no sature tanto la red).

De todas formas, ten en cuenta que lo que quieres hacer no es para nada fácil.
Como dato de interés, recuerdo una práctica de Ingeniería de la Seguridad del Grado en Ingeniería Informática en la que teníamos que hacer segura una máquina virtual en la que habían instalado Fakebook (una red social cutre y vulnerable a XSS y SQL Inyection). Utilizábamos algunos de los sistemas que mencionas, entre ellos Snort, para detectar ataques de XSS, aunque sólo era útil en HTTP, puesto que el tráfico HTTPs va cifrado y es imposible utilizarlo en dicho escenario.

Un saludo,
Noltari.
En línea

GLaDOS
Genetic Lifeform and Disk Operating System
*****
Desconectado Desconectado

Mensajes: 143



Ver Perfil
« Respuesta #5 : 24-02-2014, 14:50 (Lunes) »

No, no es fácil. Y si no lo es para ti, imagínate para mí...  Grin Grin Grin

Pero bueno, no os digo que lo consiga, os digo que lo intento... Y el aprendizaje por el camino lo tengo asegurado...

Interesante el dato que aportas de Snort.

Quizás con vuestra ayuda, los 'hermanos mayores' he pensado en revisar el código del último PacketProtector, pero no se si esto podría llegar a revelar algo que realmente valga la pena. ¿Qué pensáis sobre eso?

Gracias por tu respuesta, Noltari  Wink Wink
En línea

Nos vemos entre Bytes!

Suop... - El primer operador móvil gestionado por sus usuarios que además son bonificados por participar en su comunidad.

<<¡Gritad, malditos, gritad! Que las normas que han escrito, deben cambiar y ¿Qué mas da si para ellos somos cifras? Que vean que somos cifras que ya no aguantan más>>.
jar229
Moderador
*
Desconectado Desconectado

Mensajes: 3871



Ver Perfil
« Respuesta #6 : 25-02-2014, 13:43 (Martes) »

Este hilo se me había pasado por alto  Lips Sealed

Estaré al tanto de la evolución.

Suerte con el proyecto, GLaDOS  Wink
En línea

ROUTERS EN VENTA
1 x Comtrend VR-3025u con OpenWrt
1 x Comtrend VR-3025un con OpenWrt
1 x Alpha ASL26555 con OpenWRT
2 x Huawei HG553 con OpenWRT
2 x Comtrend ar5387un con OpenWRT


[FAQ] Preguntas más comunes sobre OpenWrt
[Índice] Hilos relevantes de OpenWrt
¡¡¡ NO contestaré mensajes privados sobre temas que puedan tratarse en el foro !!!
GLaDOS
Genetic Lifeform and Disk Operating System
*****
Desconectado Desconectado

Mensajes: 143



Ver Perfil
« Respuesta #7 : 08-03-2014, 00:13 (Sbado) »

Intentando que la cosa no decaiga, prosigo cada día investigando y leyendo, disculpad que no haya llegado todavía, aunque tal vez muchos de vosotros poseáis conocimientos más que sobrantes para hacerlo, a empezar una primera fase de desarrollo con una compilación base. Antes quiero profundizar a nivel de conocimientos, de manera que pueda optimizar el proceso de compilación y programación, sin luego tener que andar con parches de lo que se tenía que haber hecho antes, o en el peor de los casos, empezando desde cero.

Otra cuestión será el tema de compilar; mi intención sería trabajar a partir de una compilación existente forzando a instalar de una u otra manera todas las aplicaciones y scripts necesarios, pero mucho me temo que en un momento u otro, encontraré dificultades.

Y es que con un cacharro de paleo-portatil HP, compilar es todo un desafío.

Por otro lado, tentación me da probar 'PacetProtector 4.0', desde luego si hablamos de Software Libre no resulta nada inteligente empezar desde cero sin ni siquiera conocer o estudiar las herramientas previamente disponibles para un mismo fin, nutriéndome así tanto de sus virtudes, como defectos.

La lista de dispositivos soportados es la siguiente:
Citar
   ASUS WL-500g Deluxe
    ASUS WL-500g Premium
    ASUS WL-500W
    Linksys WRTSL54GS
    Linksys WRT350N (version 1)

Vosotros que os conocéis los historiales de los Routers habidos y por haber, ¿Cuál pensáis que puede ser más accesible? (léase BARATO, fácil de conseguir).

Y también preguntaros qué pensáis sobre hasta qué punto este 'estudio de competencia' puede ser interesante, si vale la pena este esfuerzo previo o no.

Quizás haya manera de emular uno de esos routers, pudiendo emular PacetProtector al estilo Máquina Virtual, pero hablando de un Router, misa no tener ni ideaa. Seguro que vosotro sí. Wink

Post Edit: En Amazon y en eBay no encuentro ni un solo WRT350N, WRT54GS, WL-500g ni WL-500W.

Ahora sí que no sé, igual me dais pistas.

Post Edit 2: Lo he encontrado en CiudadWireless, aunque no sé si será compatible del todo... Y me esperaba hasta 50 lereles, y se me iba, pero ya 70 y pico ni te cuento, igual voy mejor intentando emular el sistema.
http://www.ciudadwireless.com/asus_wl-500w_secure_home_gateway_802-11n-p-1676.html?osCsid=tkvhhmb60a7qulvqho23jfetr1
« Última modificación: 08-03-2014, 00:31 (Sbado) por GLaDOS » En línea

Nos vemos entre Bytes!

Suop... - El primer operador móvil gestionado por sus usuarios que además son bonificados por participar en su comunidad.

<<¡Gritad, malditos, gritad! Que las normas que han escrito, deben cambiar y ¿Qué mas da si para ellos somos cifras? Que vean que somos cifras que ya no aguantan más>>.
jar229
Moderador
*
Desconectado Desconectado

Mensajes: 3871



Ver Perfil
Re:
« Respuesta #8 : 08-03-2014, 11:31 (Sbado) »

Mala cosa, que tengas que usar un router en concreto ...

Enviado desde mi CUBOT GT99
En línea

ROUTERS EN VENTA
1 x Comtrend VR-3025u con OpenWrt
1 x Comtrend VR-3025un con OpenWrt
1 x Alpha ASL26555 con OpenWRT
2 x Huawei HG553 con OpenWRT
2 x Comtrend ar5387un con OpenWRT


[FAQ] Preguntas más comunes sobre OpenWrt
[Índice] Hilos relevantes de OpenWrt
¡¡¡ NO contestaré mensajes privados sobre temas que puedan tratarse en el foro !!!
Tki2000
Moderador
*
Desconectado Desconectado

Mensajes: 482


Ver Perfil
« Respuesta #9 : 08-03-2014, 20:09 (Sbado) »

   ASUS WL-500g Deluxe
    ASUS WL-500g Premium
    ASUS WL-500W
    Linksys WRTSL54GS
    Linksys WRT350N (version 1)

Esos routers son de la época de tu paleo-portátil y ya ni se venden. No los vas a poder encontrar.  Azn
Si el proyecto es OpenWRT-SEC debiera estar basado en openwrt, no en un router en concreto...

Además, PacketProtector cerró en el 2012... : I think it's time to officially call the project defunct. : https://packetprotector.org/forum/viewtopic.php?id=5007
En línea
GLaDOS
Genetic Lifeform and Disk Operating System
*****
Desconectado Desconectado

Mensajes: 143



Ver Perfil
« Respuesta #10 : 09-03-2014, 22:46 (Domingo) »

Sí, si lo sé... Intentar 'abordar' PacketProtector no fue muy buena idea; fueron unas horas perdidas hasta reconocer la inviabilidad de la misma.

El caso es que me parece un 'cuello de botella' tener que trabajar en un Router, sin saber hasta que punto el trabajo va a ser portable a otro modelo distinto, quizás en lugar de usar un Router Refurbish, podría elegir un modelo estilo TP Link TL-WR703N.


Pequeñito, asequible, accesible internacionalmente...

Pero es que veo que me vuelvo loco para implementar toda la paquetería en el AR-5387un, mover el almacenamiento a un USB (nos quedamos sin USB Sad, y luego, replicar el proceso de compilado y configuración, eso en cuanto herramientas, la interface de control... y así hasta que me haga viejo, con todos los routers que me dé tiempo a portar? Además, el proyecto se iba a quedar vacío, no creo que en España tuviese especial tirón, y en el resto del mundo todavía menos si está basada en nuestros router's 'autóctonos'.

¿Entendéis mi reflexión? En este punto me gustaría saber vuestra opinión pues gracias a ella este proyecto se enriquece por momentos.

« Última modificación: 10-03-2014, 15:03 (Lunes) por GLaDOS » En línea

Nos vemos entre Bytes!

Suop... - El primer operador móvil gestionado por sus usuarios que además son bonificados por participar en su comunidad.

<<¡Gritad, malditos, gritad! Que las normas que han escrito, deben cambiar y ¿Qué mas da si para ellos somos cifras? Que vean que somos cifras que ya no aguantan más>>.
Chumpy
Moderador Global
*
Desconectado Desconectado

Mensajes: 1963


Ver Perfil
« Respuesta #11 : 10-03-2014, 00:49 (Lunes) »

Pero si tu haces aplicaciones compatibles con OpenWRT serán compatibles con (casi) cualquier router con OpenWRT, tu puedes trabajar en el que tengas a mano, pero luego otros podrán utilizar las mismas aplicaciones en otros equipos. Es posible que alguno tenga que hacer algún retoque de configuración por que las redes o puertos tengan nombres distintos, pero fuera de eso la mayoría de las cosas deberían funcionar. ¿O acaso me equivoco?
En línea

No es que sea más listo que tu, es que he utilizado más veces el botón

Glosario de Términos Wireless
Manual basico de WIFISLAX y sus herramientas de Auditoria
GLaDOS
Genetic Lifeform and Disk Operating System
*****
Desconectado Desconectado

Mensajes: 143



Ver Perfil
« Respuesta #12 : 10-03-2014, 03:23 (Lunes) »

Pero si tu haces aplicaciones compatibles con OpenWRT serán compatibles con (casi) cualquier router con OpenWRT, tu puedes trabajar en el que tengas a mano, pero luego otros podrán utilizar las mismas aplicaciones en otros equipos. Es posible que alguno tenga que hacer algún retoque de configuración por que las redes o puertos tengan nombres distintos, pero fuera de eso la mayoría de las cosas deberían funcionar. ¿O acaso me equivoco?

Hombre, se me ocurre que tal vez, podría intentar formularlo de manera que el el resultado sea:
Un 'megapaquete' (de unos cuaaaantos paquetes, de una cantidad - me temo -  desconsiderada de MBs y por tanto montada en almacenamiento externo (Memoria USB o Lector de Tarjetas + Memoria SDHC) que cada uno intale en su router 'rulando' OpenWRT, y configure según sus necesidades, activando y levantando el servicio, que se encargue de configurar y administrar las aplicaciones mediante una interfaz web.

Me gusta muuucho, estoy contento. Eureka! Gracias por el chispazo, Chumpy.

Me organizo la cabeza y lo traslado al post original (que me sirve de pizarra  Wink ) Me voy informando de como llevar a cabo esto.

Saludeteees!  Wink Wink
En línea

Nos vemos entre Bytes!

Suop... - El primer operador móvil gestionado por sus usuarios que además son bonificados por participar en su comunidad.

<<¡Gritad, malditos, gritad! Que las normas que han escrito, deben cambiar y ¿Qué mas da si para ellos somos cifras? Que vean que somos cifras que ya no aguantan más>>.
jar229
Moderador
*
Desconectado Desconectado

Mensajes: 3871



Ver Perfil
Re:
« Respuesta #13 : 10-03-2014, 09:31 (Lunes) »

Ese sí es el camino correcto ;-)

Enviado desde mi CUBOT GT99
En línea

ROUTERS EN VENTA
1 x Comtrend VR-3025u con OpenWrt
1 x Comtrend VR-3025un con OpenWrt
1 x Alpha ASL26555 con OpenWRT
2 x Huawei HG553 con OpenWRT
2 x Comtrend ar5387un con OpenWRT


[FAQ] Preguntas más comunes sobre OpenWrt
[Índice] Hilos relevantes de OpenWrt
¡¡¡ NO contestaré mensajes privados sobre temas que puedan tratarse en el foro !!!
Chumpy
Moderador Global
*
Desconectado Desconectado

Mensajes: 1963


Ver Perfil
« Respuesta #14 : 10-03-2014, 13:37 (Lunes) »

Yo incluso me atrevería a darle una vuelta más de tuerca, más que hacer un "megapaquete" haría una "megainterfaz", capaz de gestionar todos las aplicaciones que pretendes integrar, pero sin necesidad de tenerlas todas.

Se me ocurren 3 formas de organizarlo:

Suponer que están todos los los paquetes instalados y luego los que no estén avisarían de su ausencia o simplemente no funcionaría:
+Es la solución más sencilla.
-Es la menos versatil, y con un acabado más tosco

Crear una carpeta en la que la "interfaz matriz" sea capaz de encontrar las aplicaciones, cargando las que allí estén (algo similar a lo que hace wifislax con la carpeta módulos).
+Es compacto, el usuario solo tiene que descargar la aplicación soportada y meterla en la carpeta.
-Necesita una costante actualización del sistema matriz para funcionar correctamente.

Resolverlo mediante un sistema de plug-ins, que la "interfaz" carga y mediante los cuales gestiona cada una de las aplicaciones
+Es totalmente modular y escalable, en un primer momento solo tendrías que crea la interfaz matriz  y un plugin, y luego poco a poco ir añadiendo los que te interesaran.
-Necesitas la matriz, el plugin y la aplicación para funcionar. Es menos compacto.

De esta forma el paquete mínimo no sería excesivamente grande, y cada uno en función de sus necesidades o de la capacidad de su router podría añadir o quitar aplicaciones.

PD:La segunda y tercera opción son muy sencillas si consigues crear algún tipo de repositorio con el que mantenerla actualizada.

En línea

No es que sea más listo que tu, es que he utilizado más veces el botón

Glosario de Términos Wireless
Manual basico de WIFISLAX y sus herramientas de Auditoria
SinHouse
**
Desconectado Desconectado

Mensajes: 3


Mini reaper, no te tires al laser


Ver Perfil
« Respuesta #15 : 28-09-2014, 19:49 (Domingo) »

Hola GLaDOS,

No se si continuas con el proyecto pero te cuento mi experiencia.

Los routers están muy limitados para hacer ese tipo de controles de seguridad y lo normal es que satures las CPU y se te vaya el invento a la porra.
Hay gente que hace algo intermedio, manda los paquetes a un servidor donde se procesan con las reglas de snort y cuando se detecta algo el router aplica las reglas iptables y se protege.

A mi modo de verlo, no tiene gracia tener otro equipo encendido para hacer este trabajo. Esto pasa con snort, fail2ban, kismet y cualquier otro que trabaje a nivel de paquetes.

Hay otra solución: activas los logs de iptables y los procesas con otros sistemas. Para procesarlos usé el servidor syslog-ng pero el router se volvio inestable y no termine de depurar la idea.
Para liberar recursos se me ocurrio enviar los logs a dshield (sistema de alerta global que tiene sus propias reglas) y esperar que me llegara la lista de ips atacantes para entonces bloquearlas. Con una tarea cron que se ejecuta cada cierto tiempo se puede regular el plazo de envió.

El cliente oficial de dshield esta aquí (usa perl) (Linux 2.4x 2.6x 3.x (iptables) incl. IPv6 Support): https://www.dshield.org/framework.html
Otra opción es este script de python: http://sourceforge.net/projects/dshieldpy/

Para gestionar las ips bloqueadas te recomiendo que utilices una sola regla de iptables que apunte a una lista negra gestionada con ipset (es más eficiente). Como no he terminado no te puedo pasar un ejemplo de como hacerlo pero algunas pruebas que he hecho me he basado en alguna de estas paginas:
http://daemonkeeper.net/781/mass-blocking-ip-addresses-with-ipset/
https://github.com/trick77/ipset-blacklist/blob/master/update-blacklist.sh

Tendrás que instalar ipset para usarlo:
opkg update
opkg install ipset

P.D.: muy bueno el nombre del proyecto Grin
http://es.wikipedia.org/wiki/DShield
En línea

Austin: Y tú ¿cómo te llamas? nena...
Unpajote: Marria, Marria Unpajote
Austin: ¿Cómo?
Unpajote: Marria Unpajote
Austin: Y yo maría un chalet en el campo pero ahora tenemos que trabajar.
Páginas: [1] Ir Arriba Imprimir 
« anterior próximo »
Ir a:  


Ingresar con nombre de usuario, contraseña y duración de la sesión

Powered by SMF 1.1.19 | SMF © 2006-2008, Simple Machines