Emular llave de seguridad

Si bien estamos más acostumbrados a los números de serie asociados a un programa determinado, todavía existen soluciones de hardware para la protección y validación de software, lo vimos con el sistema operativo THEOS que utiliza una combinación de ambos para su instalación.

Aunque la tendencia a SaaS (software como servicio) está cada vez más presente debemos tener en cuenta, dentro del ciclo de vida del software, las implicaciones que pueda tener pasado el tiempo… volvemos a sistemas legacy.

Nos encontramos con un software totalmente obsoleto, incluso el fabricante del mismo ha desaparecido pero sigue siendo necesario para el control de maquinaria, no ha sufrido mucho cambio en… 20 años… Durante este tiempo se han ido sucediendo equipos compatibles, pero empieza a ser difícil convivir entre sistemas con tantas diferencias.

En este caso Windows NT asociado a un dongle HASP4 M1 1.1 en puerto paralelo (LPT), por limitaciones de software el máximo paso que podemos dar es a Windows XP (aunque el soporte finalizo en 2014). Después de prueba y error con varios software emuladores, lectores… encontramos las utilidades de Brain Studio.

Leer más
Seguridad y privacidad: TLS 1.3

Seguridad y privacidad: TLS 1.3

La guerra entre los navegadores más populares a día de hoy (Chrome, Firefox, Edge – El artista anteriormente conocido como Internet Explorer, Opera, Safari, Konqueror… tiene sus precuelas años atrás. Una de ellas tiene nombre propio: Netscape Navigator.

Si lo conoces, seguramente te tocó navegar por las primeras webs con módem analógico y su sonido característico.

Desde 1994, este navegador ya desaparecido, fue mejorando las especificaciones necesarias para implementar «el candadito» del navegador. No fue hasta su versión 3.0 y un par de vulnerabilidades después que haría pública y operativa pero sentó las bases del intercambio seguro de datos entre dos partes.

Leer más

Convertir certificado PFX a CRT

Si disponemos de un certificado en entornos Windows y queremos utilizar un certificado en otro tipo de dispositivos, por ejemplo un wilcard (*.midominio.com) podemos desglosar en dos partes utilizando OpenSSL:

openssl pkcs12 -in certificadoCompleto.pfx -nocerts -out llaveSegura.key

De este modo tenemos en un archivo la parte correspondiente a la clave privada de forma encriptada (BEGIN ENCRYPTED PRIVATE KEY). Por otro lado tenemos el certificado firmado:

openssl pkcs12 -in certificadoCompleto.pfx -clcerts -nokeys -out certificado.crt

Si necesitamos las claves sin encriptar (BEGIN RSA PRIVATE KEY), cuidado donde guardar este tipo de ficheros, podemos hacerlo mediante:

openssl rsa -in llaveSegura.key -out llaveNoSegura.key

Con estas 2+1 partes podremos instalar el certificado, por ejemplo en PLESK:

O un certificado personalizado en Nginx Proxy Manager:

SSL_nginx_proxy sobre 2020

NOTA: A la hora de importar, puede que el fichero generado contenga cabeceras que algunos programas no descartan, por ejemplo strongSwan. Es necesario eliminar la parte inicial hasta la línea que empieza el certificado

Bag Attributes
    friendlyName: 
    localKeyID: XX AA C6 59 0B 10 2F E9 42 A9 00 11 22 33 44 D2 1D CC DD EE 
subject=/CN=sub.midominio.com
issuer=/CN=sub.midomino.com

ZYXEL: si contiene certificados intermedios, o el formato no es pkcs12 es más sencillo convertirlo:

openssl pkcs12 -export -inkey llaveSegura.key -in certificado.crt -out certificadoZYXEL.pfx

Teletrabajo con entornos Windows y coronavirus

Si bien algunas empresas están ya habituadas a permitir a sus empleados realizar trabajo en remoto, con la pandemia del coronavirus muchas otras se han visto forzadas a utilizar recursos limitados para un gran número de trabajadores.

Lo primero de todo, debemos tener en cuenta los servicios nativos cloud, los cuales permiten realizar tareas desde cualquier sitio de forma habitual. Por otro lado, el acceso a recursos locales dentro de la empresa debe asegurarse de diferentes formas:

  • Sistemas de alimentación ininterrumpida deben proveer corriente a los servidores o equipos con disponibilidad, algo básico pero necesario.
  • Seguridad de red activa, abrir un puerto o varios para permitir un servicio (por ejemplo de conexión remota) debe conllevar su monitorización activa en busca de patrones o usos inadeacuados. Firewall dedicados o Azure Bastion por ejemplo.
  • Autenticación de doble factor, donde sea posible y factible, como punto de verificación de identidad de humanos frente a máquinas.
  • Sistemas operativos y antivirus actualizados, no debería llegar una pandemia para tener este punto mínimo cubierto.

Dentro de los entornos corporativos con recursos limitados, se han habilitado ordenadores para su acceso por escritorio remoto, si bien las soluciones RDS/VDI/WVD son muy capaces, para PYMES puede no ser una opción asequible en todos los casos. Por ello debemos tener en cuenta cuando habilitamos el acceso remoto:

  • Separar y securizar redes según los perfiles y requisitos de acceso
  • Establecer directivas de red suficientes
  • Monitorizar y controlar los usuarios permitidos

Si llegados a este punto permitimos el acceso remoto al puesto de trabajo habitual de un trabajador, deberemos tener en cuenta adicionalmente:

Debemos estar seguros lo que supone introducir un ordenador dentro de la red corporativa, así como tener en mente primero a las personas y luego a las máquinas.

 

 

Exportación de certificado X.509 codificado en PEM

La digitalización en la administración pública no lleva precisamente un ritmo rápido… y tampoco lo ponen fácil a usuarios finales…

Veremos como para dar de alta un proveedor en FACe, o gestionar su renovación, nos solicitan certificado en formato PEM. Por simplificar, tal como en un fichero de texto Word o una hoja de Excel tenemos diferentes formatos y versiones con los que podemos trabajar, con el certificado nos pasa lo mismo.

Leer más