viernes, 13 de noviembre de 2015

Bajar Volumen Remotamente desde CMD

Antes debo aclarar que para esto debemos tener la clave de administrador de ambos equipos.

Descargar el nircmd.exe de 64 bits de http://www.nirsoft.net/utils/nircmd-x64.zip, descomprimirlo y ponerlo en la pc remota mediante: \\192.168.1.1\c$\windows\System32 reemplazar la ip por la remota deseada.

Descargar PsTools de: https://technet.microsoft.com/en-us/sysinternals/pstools.aspx


Primero utilizaremos en la pc local los siguientes comandos para probarlo, luego lo convinaremos con pstools para ejecutarlo remoto.


Sube el volumen al tope:
nircmd.exe changesysvolume +65535


Baja el volumen al tope:
nircmd.exe changesysvolume -65535


Poner en mute el speaker:
nircmd.exe mutesysvolume 0


Mute al speaker:
nircmd.exe mutesysvolume 1


Swap de volumen entre mute y lo que estaba anteriormente:
nircmd.exe mutesysvolume 2


Apaga el monitor:
nircmd.exe monitor off


Ocultar iconos del escritorio:
nircmd.exe win hide class progman
nircmd.exe win show class progman


Matar navegadores iexplorer y chrome:
nircmd.exe killprocess iexplore.exe
nircmd.exe killprocess chrome.exe


Ahora se muestra como hacerlo remotamente con el pstools en conjunto con el nircmd:

Bajar el volumen remoto:
PsExec.exe \\nombre_pc -s -i -d nircmd.exe changesysvolume -65535


Copiar en porta papeles remoto algo:
PsExec.exe \\nombre_pc -s -i -d nircmd.exe clipboard set "algo en el portapapeles"


Copiar de porta papeles remoto a un archivo local:


PsExec.exe \\nombre_pc -s -i -d nircmd.exe clipboard addfile "c:\test.txt"


FUENTES: http://www.nirsoft.net/utils/nircmd.html
                     https://technet.microsoft.com/en-us/sysinternals/pstools.aspx

jueves, 12 de noviembre de 2015

Generar Certificado SSL para Tomcat 7



Vemos la version de java:

C:\Program Files\Java\jre7\bin>java -version
java version "1.7.0_80"
Java(TM) SE Runtime Environment (build 1.7.0_80-b15)
Java HotSpot(TM) 64-Bit Server VM (build 24.80-b11, mixed mode)


Vamos a la ruta donde esta instalado java:

cd C:\Program Files\Java\jre7\bin


Ejemplo del comando:

keytool -genkey -alias your_alaias_name -keyalg RSA -keystore your_keystore_filename


Comando ejecutado para generar el CSR:

C:\Program Files\Java\jre7\bin> keytool -keysize 2048 -genkey -alias Mi_Nombre -keyalg RSA -keystore Mi_Nombre.keystore
Enter keystore password: ingresar password
Re-enter new password: ingresar password
What is your first and last name?
 [Unknown]:  mi_dominio.com.ar
What is the name of your organizational unit?
 [Unknown]:  Nombre de la Empresa
What is the name of your organization?
 [Unknown]:  Empresa que Certifica
What is the name of your City or Locality?
 [Unknown]:  Buenos Aires
What is the name of your State or Province?
 [Unknown]:  Argentina
What is the two-letter country code for this unit?
 [Unknown]:  AR
Is CN=http://mi_dominio.com.ar, OU="Nombre de la Empresa", O="Empresa que Certifica", L=Buenos Aires, ST=Argentina, C=AR correct?
 [no]:  yes

Enter key password for <Mi_Nombre>
        (RETURN if same as keystore password): ingresar password


Ejemplo:

keytool -certreq -keyalg RSA -alias tomcat -file csr.csr -keystore tomcat.keystore


Comando ejecutado:

keytool -certreq -keyalg RSA -alias Mi_Nombre -file certreq.csr -keystore Mi_Nombre

C:\Program Files\Java\jre7\bin> keytool -certreq -keyalg RSA -alias Mi_Nombre -file certreq.csr -keystore Mi_Nombre.keystore
Enter keystore password: ingresar password


Y se genera el certeq.csr y lo guarda en la siguiente ruta:

C:\Program Files\Java\jre7\bin\certreq.csr

        Se envía a la entidad que certifica


Al recibir los archivos de la entidad certificante, importamos en orden los certificados:

C:\Program Files\Java\jre7\bin> keytool -import -trustcacerts -alias AddTrustExternalCARoot -file AddTrustExternalCARoot.crt -keystore Mi_Nombre.keystore
Enter keystore password: Ingresamos el password del keystore
Certificate already exists in system-wide CA keysrore under alias
Do you still want to add it to your own keystore? [no]: yes
Certificate was added to keystore

C:\Program Files\Java\jre7\bin> keytool -import -trustcacerts -alias UserTrustRSAAddTrustCA -file UserTrustRSAAddTrustCA.crt -keystore Mi_Nombre.keystore
Enter keystore password: Ingresamos el password del keystore
Certificate was added to keystore

C:\Program Files\Java\jre7\bin> keytool -import -trustcacerts -alias TrustedSecureCertificateAuthority5 -file TrustedSecureCertificateAuthority5.crt -keystore Mi_Nombre.keystore
Enter keystore password: Ingresamos el password del keystore
Certificate was added to keystore

C:\Program Files\Java\jre7\bin> keytool -import -trustcacerts -alias mi_dominio.com.ar -file mi_dominio.com.ar.crt -keystore Mi_Nombre.keystore
Enter keystore password: Ingresamos el password del keystore
Certificate was added to keystore


Editar el server.xml de la ruta:

Hacer una copia antes del archivo:

C:\Program Files\Apache Software Foundation\Tomcat 7.0\conf\server.xml


Luego editarlo, comentar con comentario de html el siguiente texto:

Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on"


Descomentar:

   Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS"


Y cambiarlo por:

 Service name="Catalina"
Connector port="443"
SSLEnabled="true"
maxHttpHeaderSize="8192"
maxThreads="150"
minSpareThreads="25"
maxSpareThreads="75"
enableLookups="false"
disableUploadTimeout="true"
acceptCount="100"
scheme="https"
secure="true"
clientAuth="false"
sslProtocol="TLS"
keystoreFile="conf/cert/Mi_Nombre.keystore"     poner la ruta del keystore que creamos  keystorePass="cambiarPorElPasswordDelKeystore"/>   cambiar por el password que le pusimos al keystore que creamos


Ingresar a servicios con services.msc y reiniciar el servicio:

Apache Tomcat 7.0 Tomcat7


O desde el cmd con el siguiente comando lo paramos:

C:\Program Files\Java\jre7\bin>net stop "Apache Tomcat 7.0 Tomcat7"
The Apache Tomcat 7.0 Tomcat7 service is stopping.
The Apache Tomcat 7.0 Tomcat7 service was stopped successfully.


Y luego lo iniciamos con:

C:\Program Files\Java\jre7\bin>net start|find "Apache"

C:\Program Files\Java\jre7\bin>net start "Apache Tomcat 7.0 Tomcat7"
The Apache Tomcat 7.0 Tomcat7 service is starting.
The Apache Tomcat 7.0 Tomcat7 service was started successfully.


Ingresamos al sitio:

https://mi-sitio.com => con el https


Lo escaneamos con SSL LABS:

https://www.ssllabs.com/ssltest/analyze.html?d=mi_dominio.com.ar


Para solucionar el tema de ataque Logjam hay que instalar JCE:

Más info del ataque: http://www.redeszone.net/2015/05/21/logjam-nuevo-ataque-contra-las-conexiones-tls-por-usar-claves-diffie-hellman-de-512-bits/


Descargar de JCE (jce_policy-8.zip) de:

http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html


Colocar el contenido en la ruta de java backupeando previamente los archivos anteriores:

C:\Program Files\Java\jre7\lib\security


Al escanearlo con nmap aparecía lo siguiente:

root@linus:~# nmap --script ssl-enum-ciphers -p 443 192.168.0.1

Starting Nmap 6.00 ( http://nmap.org ) at 2015-11-11 18:23 ART
Nmap scan report for 192.168.0.1
Host is up (0.015s latency).
PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|_  Least strength = strong

Nmap done: 1 IP address (1 host up) scanned in 0.98 seconds


Se modificó server.xml y se puso lo siguiente en el ciphers del connector:

Connector
ciphers="SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_WITH_RC4_128_SHA,TLS_ECDHE_ECDSA_WITH_RC4_128_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_ECDH_ECDSA_WITH_RC4_128_SHA,TLS_ECDH_RSA_WITH_RC4_128_SHA"
port="443"
SSLEnabled="true"
maxHttpHeaderSize="8192"
maxThreads="150"
minSpareThreads="25"
maxSpareThreads="75"
enableLookups="false"
disableUploadTimeout="true"
acceptCount="100"
scheme="https"
secure="true"
clientAuth="false"
sslProtocol="TLS"
keystoreFile="conf/cert/Mi_.keystore"
keystorePass="E3uCpRD-p2r233uu."


Se volvió a escanear y ahora si enumeró correctamente los tipos de cifrado:

root@linus:~# nmap --script ssl-enum-ciphers -p 443 192.168.0.1

Starting Nmap 6.00 ( http://nmap.org ) at 2015-11-11 18:29 ART
Nmap scan report for 10.148.20.7
Host is up (0.0016s latency).
PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.0
|     Ciphers (3)
|       TLS_ECDHE_RSA_WITH_RC4_128_SHA - strong
|       TLS_RSA_WITH_RC4_128_MD5 - unknown strength
|       TLS_RSA_WITH_RC4_128_SHA - strong
|     Compressors (1)
|       NULL
|   TLSv1.1
|     Ciphers (3)
|       TLS_ECDHE_RSA_WITH_RC4_128_SHA - strong
|       TLS_RSA_WITH_RC4_128_MD5 - unknown strength
|       TLS_RSA_WITH_RC4_128_SHA - strong
|     Compressors (1)
|       NULL
|   TLSv1.2
|     Ciphers (3)
|       TLS_ECDHE_RSA_WITH_RC4_128_SHA - strong
|       TLS_RSA_WITH_RC4_128_MD5 - unknown strength
|       TLS_RSA_WITH_RC4_128_SHA - strong
|     Compressors (1)
|       NULL
|_  Least strength = unknown strength

Nmap done: 1 IP address (1 host up) scanned in 3.19 seconds
root@linux:~#


Se volvió a escanear desde el sitio SSL LABS y se ahora:

https://www.ssllabs.com/ssltest/analyze.html?d=mi_dominio.com.ar

Y todo en verde !!


FUENTES:

https://ar.godaddy.com/help/generar-csr-e-instalar-un-certificado-ssl-en-tomcat-4x5x6x7x-5239
https://ashrafhossain.wordpress.com/2010/10/24/generate-a-certificate-signing-request-csr-for-tomcat-with-keytool/
https://www.mulesoft.com/tcat/tomcat-ssl
https://csi2altair.wikispaces.com/Apache+Tomcat+seguro
http://suhothayan.blogspot.com.ar/2012/05/how-to-install-java-cryptography.html
https://weakdh.org/sysadmin.html
http://www.oracle.com/technetwork/java/javase/downloads/index.html
https://cwiki.apache.org/confluence/display/STONEHENGE/Installing+Java+Cryptography+Extension+(JCE)+Unlimited+Strength+Jurisdiction+Policy+Files+6

lunes, 5 de octubre de 2015

Extender Disco LVM Oracle Linux en VMware

Verificamos el espacio en disco de /datos1 que tiene 500G y 89% disponible con el comando df -h:



Ejecutamos un fdisk -l para ver los discos antes de agregar el nuevo disco e identificar el nombre una vez agredado:



Agregamos el disco a la maquina virtual desde el vSphere Client de VMware. Editamos el host donde queremos agregar el disco, vamos a Virtual Machine Properties y luego Add como indica la imagen:



Seleccionamos que tipo de hardware queremos agregar, en este caso un disco y Next:



Create a new virtual disk, Next:



Indicamos el tamaño y seleccionamos la opción "Thin Provision" y luego Next:



Agregamos el disco en el siguiente SCSI disponible, en mi caso el (0:8), Next:



Finish:



Damos Ok:



Supuestamente haciendo el fdisk luego de agregar el disco debemos ver cambios, en caso de no encontrar diferencia entre ambos archivos:



Para que tome los cambios sin reiniciar es posible que tenga que poner "0 0 0" ó "- - -" en los archivos /sys/class/scsi_host/hostX/scan donde reemplaza la X por 0, 1, 2, .... hasta los que tenga, por ejemplo:



Ahora si vemos los cambios en los .txt antes y después de agregado el disco:



En la imagen anterior vemos el disco identificado como /dev/sdf. Creamos el volumen físico con el pvcreate especificando el disco. Luego ejecutamos un vgdisplay para obtener el nombre del volumen group (VG Name), en nuestro caso es el "DATOS-DB-PD" y vemos que tiene como tamaño 599.98GiB (VG Size):



Utilizamos el comando vextend para agregar el disco nuevo /dev/sdf al volumen group, el comando sería el siguiente de la imagen, donde DATOS-DB-PD es el nombre del volumen group y el siguiente parámetro es el nombre del disco:



Volvemos a ejecutar un df -h y vemos que sigue sin aumentar el tamaño del /datos1, lo que nos falta es extender el volumen lógico con el comando lvextend: 

# lvextend -L+299 Filesytem reemplazamos el filesystem por el que tenemos, en mi caso es el que está resaltado en negro, en el primer caso no me dejó con 300Gb, lo hice con 299 para que funcione:



Una vez agregado el disco al volumen lógico falta hacer la redimension del filesystem, ejecutando lo siguiente:



Vemos que nos dejó extenderlo correctamente de 591G a 885G.


lunes, 24 de agosto de 2015

Dar Permiso a Usuario para Desbloquear en Active Directory

Abrimos el ADSIedit.msc desde el el ejecutar:


Nos dirigimos a la OU donde queremos que el usuario tenga permisos para desbloquear usuarios. Tener en cuenta que sólo de esa unidad organizativa podrá realizarlo -> botón derecho -> Propiedades:


Hacemos click sobre solapa de "Seguridad" y luego en el botón "Advanced":


Elegimos el usuario para que tenga permiso para desbloquear y luego avanzada:


Editamos el usuario:


Damos permisos a estas dos opciones y listo, damos ok a todas las ventanas:




miércoles, 29 de julio de 2015

Sincronizar KeePass con Google Drive



Comencemos la entrada con una simple explicación de que es el keepass para el que no lo conoce:
  1. KeePass es una herramienta de administración de contraseñas segura y fácil de utilizar. 


Ahora explicaré como sincronizar automáticamente el archivo contra google drive:


1) Cerrar el keepass y verificar que no esté abierto al lado del reloj de windows.


2) Descargar el plugin llamado: GoogleSyncPlugin-2.1.1.zip del siguiente enlace: http://sourceforge.net/projects/kp-googlesync/


3) Descomprimirlo y copiar GoogleSyncPlugin.plgx en la ruta de donde se encuentra instalado el keepass, en mi caso en:

C:\Program Files (x86)\KeePass Password Safe 2\


4) Abrimos el keepass, vamos a tools y luego a Plugins:



5) Verificamos que se agregó el Plugin de Google Sync:



6) Agregamos la entrada de google drive desde el panel derecho con botón derecho del mouse:



7) Idicamos el título que más nos guste, la cuenta de correo, el password y la url de google drive:



8) Vamos a la solapa Properties y copiamos al porta papeles el UUID que utilizaremos luego:



9) Vamos a Tools, Google Sync Plugin y Configuration:




10) Indicamos el UUID que copiamos previamente al porta papeles y damos ok:



11) Vamos a Tools, Google Sync Plugin, Sync with Google Drive como indica la siguiente figura:



12) Nos logueamos a google con nuestra cuenta:



13) Aceptamos las políticas de privacidad:




14) Posiblemente lleguemos a ver una ventanita que se abre y se cierra, es la de sincronización:



15) Finalmente nos logueamos a google drive y verificamos en Reciente que subió el archivo de la base de keepass:



NOTA: Al hacer algún cambio en keepass y dar al botón de guardar desde la aplicación instalada, automáticamente se sincroniza con el archivo de google drive.

Para verificar que funcionó correctamente lo que podemos hacer es crear una nueva entrada, sincronizar con google drive como hicimos en el punto número 11), borrar la entrada y luego en vez de sincronizar como hicimos antes también en el punto 11), seleccionamos la opción "Download from Google Drive". Si vemos que realmente está el cambio que borramos es que funciona bien.


viernes, 10 de julio de 2015

Port Forwarding on FortiGate v5.2.3


Ese es la topología del redireccionamiento que explicaré.


Escenario:

Notebook conectada a internet en cualquier lado del mundo.

Forti configurado con Ip pública(WAN): 200.200.200.200 e ip privada (LAN): 192.168.0.1

Web Server con ip privada 192.168.0.100 escuchando en el puerto http 80


Configuración:

1) Primero agregamos una Virtual IP (VIP) en la pestaña Policy & Objects dentro de Objects:



2) Agregamos el nombre de la regla, el comentario, la interface pública, en mi caso la wan1, la external ip (la pública) en mi caso la 200.200.200.200. En mapped ip va la privada 192.168.0.1, tildamos Port Forwarding, seleccionamos TCP y el puerto origen 80-80 y destino 80-80. Luego damos OK:



3) Seleccionamos al lado de Create New, donde aparece la flecha desplegable y creamos un Virtual IP Group como indica la siguiente imagen:



4) Creamos el Virtual IP Group (VIP) con el miembro creado anteriormente: el Webserver-80a80:



5) Ahora nos dirigimos nuevamente a Policy & Objects y luego dentro de Policy a IPv4, seleccionamos Create New:



6) Agregamos la Incoming Interface a la pública, en mi caso la wan1, Source Address: all, en Outgoing Interface la Internal (iface privada), en Destination Address Webserver-80a80 (el VIP Group creado anteriormente), en Service los puertos, en mi caso el HTTP (80), Antivirus en on, Application Control también en on y Enable this policy también habilitada:



7) Probamos ingresar a la ip pública al puerto 80 -> http://200.200.200.200:80 y debería redireccionarnos al webserver interno en el mismo puerto.



jueves, 18 de junio de 2015

Cambio de proxy denegado por el administrador del sistema

Aparece el siguiente mensaje al querer cambiar el proxy en chrome ó en internet explorer?


El acceso a esta característica está deshabilitado por una restricción establecida por el administrador del sistema.



Abrimos el regedit -> Tecla Windows y en "Buscar programas y archivos" escribimos regedit y damos enter:




Vamos desplegando hasta llegar a la ruta y vemos los valores del panel derecho:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel



Hacemos un backup exportando la config antes de modificarla por las dudas. Botón derecho sobre la solapa "Control Panel" del panel izquierdo y exportamos con un nombre que recordemos:



Finalmente cambiamos los valores de la derecha a cero qudando así:




Listo, ya podremos cambiar la configuración del proxy de chrome y de internet explorer: