Páginas

29 abril, 2012

DNS Cache Snooping con nslookup: Saber que páginas web visitan los usuarios de una organización

nslookup (Name System Lookup) podemos saber que organizaciones tienen configurado un name server (ns) y que páginas web visitan sus usuarios consultando de forma no recursiva la caché DNS del servidor de nombres.

Cuando un usuario desde su máquina quiere resolver un nombre de dominio mediante un petición DNS, éste pregunta al servidor DNS que tiene configurado. Si este tiene activada la caché, la busca y devuelve la la consulta a la máquina del usuario, si el servidor no la tiene disponible en sus caché DNS, que por defecto la almacena con un TTL (Time to live o Tiempo de vida) de unos 3.600 segundos (1 hora) aunque este tiempo es configurable en la administración del servidor DNS.

Si no la tiene en su caché la solicita por medio de un sistemas de consultas recursivas, que es la capacidad que tiene un sistema de nombre de dominios de reenviar la petición a otro servidor DNS si no disponen de la dirección solicitada en su caché DNS o en un pasado la tuvo pero ya caducó dicho dirección. Una vez resuelta la petición el servidor la almacena en su caché DNS y devuelve el resultado a la máquina que solicitó la petición.

Conociendo este funcionamiento, si alguien quiere saber si se ha resuelto un determinado dominio, simplemente tendremos que realizar las consultas anulando la resolución recursiva en el servidor DNS. De este modo, conseguiremos realizar las consultas solo a la caché del DNS. Si se ha pedido en un tiempo reciente, al indicado anteriormente por defecto en el TTL, se obtendrá la resolución, por lo contrario obtendremos una respuesta negativa de resolución.

Para hacer esta prueba, basta con que te conectes al servidor NS de una organización, selecciones el tipo de consulta como norecurse y empieces a probar nombres de dominio. En la siguiente imagen se puede ver como los clientes del DNS de Renfe se conectan a facebook pero no a mi blog.

[1] - Abrimos una shell y entramos en el modo del comando: nslookup
[2] - Ahora, establecemos un tipo de consulta para un name server (NS) escribiendo: set type=ns
[3] - A continuación ya podremos poner la website a solicitar la petición. Por ejemplo:
[4] - Seleccionamos el name server 1 (por ejemplo: ns1.correos.es), para realizar las consultas sobre este lo establecemos como servidor actual: server ns1.correos.es
[5] - Una vez seleccionado indicamos una consulta para que se nos muestre información de un host conectado a la red mediante: set type=a
[6] - Ahora lo más importante, indicamos que sobre la consulta obtengamos información NO recursiva con los argumentos: set norecurse
[7] - Y finalmente, realizamos los nombres de dominio a consultar, en mi caso escogí: www.facebook.com y mi blog (www.zonasystem.com). Si el nombre domino está en la caché DNS del servidor ns1 que seleccionamos, entonces veremos que nos responde obteniendo información de esa caché y que no realiza más preguntas a otros server DNS para resolver el nombre, por lo contrario, si pregunta a otros servidores DNS es que dicho nombre no estaba disponible en su caché actual.

En la siguiente screenshot se puede ver que www.marca.com a sido visitado recientemente (dependiendo el TTL de la caché DNS configurado para este servidor), sin embargo, www.zonasystem.com no a sido visitado recientemente, ya que como podemos observar pregunta a servidores g.gtld... para resolver el nombre de dominio.

Figura 1: Ejemplo de comprobación de la caché de los servidores ns de correos.es
Podremos obtener más información si consultamos la ayuda del comando nslookup y a su vez los argumentos tipo: set type=[opción].

Tipos de consultas de registros para los servidores DNS

A (Address): Se utiliza para traducir nombres de hosts del dominio a direcciones IP, es el valor predeterminado.
ANY (Cualquiera): Toda la información que exista.
CNAME (Canonical Name): Devuelve una lista de alias, si existen para el nombre verdadero (canonical).
NS (Name Server): Especifica el nombre para un dominio.
MX (Mail Exchange): Especifica el servidor encargado de recibir el correo electrónico para el dominio.
PTR (Pointer): Lo inverso del registro A, realiza la traducción de direcciones IP a nombres de host.
TXT (Text): Permite extraer información adicional a un dominio.

Saludos!

18 abril, 2012

Tipos de copias de seguridad

Normal o copia total: Una copia de seguridad normal, es una copia de seguridad total de todos los archivos y directorios seleccionados.

De copia: Este método es útil cuando desea realizar copias de seguridad de archivos entre copias de seguridad normales e incrementales, ya que no afecta a estas otras operaciones.

Diaria: Copia todos los archivos seleccionados que se hayan modificado el día en que se realiza la copia diaria. Los archivos incluidos en la copia de seguridad no se marcan como copiados (es decir, no se desactiva el atributo de modificado).

Diferencial: Copia los archivos creados o modificados desde la última copia de seguridad normal o incremental. Los archivos no se marcan como copiados (es decir, no se desactiva el atributo de modificado). Si realiza una combinación de copias de seguridad normal y diferencial, para restaurar los archivos y las carpetas es necesario la última copia de seguridad normal o total y de la última copia de seguridad diferencial.

Incremental o progresiva: Sólo copia los archivos creados o modificados desde la última copia de seguridad normal o incremental. Marca los archivos como copiados (es decir, se desactiva el atributo de modificado). Si usa una combinación de copias de seguridad normal e incremental, la restauración de los datos debe realizarse con la última copia de seguridad normal o total y todos los conjuntos de copia de seguridad incremental.


Saludos!

09 abril, 2012

No mostrar usuarios en el incio de sesión de la pantalla de bienvenida de Windows

Si tenemos varios usuarios en Windows y no queremos que se nos muestren dichos usuarios, en esta entrada explicaré como "ocultar" el avatar y nombre de estos usuarios que se nos muestra en la pantalla de Bienvenida de Windows. De modo que para iniciar sesión tendremos que escribir el usuario y la contraseña (si está establecida para el usuario en cuestión) para iniciar sesión en Windows.

Esta sería un ejemplo de la apariencia de la ventana de Bienvenida de inicio de sesión de Windows:

Figura 1: Ventan de Bienvenida de Windows con múltiples cuentas de usuarios.

Para ocultar todos estos usuarios y poder iniciar sesión en el sistema con ellos bastaría con aplicar una directiva.

[1] - Con privilegios administrativos: Inicio -> Ejecutar (o simplemente, Tecla Windows+R) -> y escribimos: secpol.msc

[2] - Una vez en la ventana de "Directivas de seguridad local". En el árbol, nos vamos a rama:
Directivas locales -> Opciones de seguridad -> y buscamos y habilitamos en el panel de la derecha la directiva:

Inicio de sesión interativo: No mostrar el último nombre de usuario Como ya dije, habilitamos esta directiva.

Figura 2: Consola de políticas de seguridad de Windows.

[3] - Una vez la habilitemos, podremos cerrar la ventana y cerramos sesión. Y se nos cargará una pantalla de Bienvenida con una ventana de inicio de sesión, tal como esta:

Figura 3: Ocultación del nombre de usuario. Login y password.

Ahora solo tendremos que introducir el nombre usuario y contraseña (si está establecida alguna para ese usuario), si no, tenemos contraseña solo introducimos el nombre de usuario.
Como en este caso no tengo ningún Dominio entrará por defecto en la máquina local, en caso de tenerlo, podríamos escribir:


- En caso de disponer de dominio: dominio\usuarioDelDominio.
- En caso de disponer de dominio, pero querer cambiar para entrar con un usuario local: nombreDeLaMaquina\usuarioLocal.

Si queremos podemos modificar otra GPO para que se muestre el usuario logueado (en el Winlogon) en el sistema en el momento que no cerramos sesión, sino que bloqueamos la sesión de nuestro usuario. En incio "Bloquear" o con el atajo de teclas: "Tecla Windows + L".

Para esto aplicamos la siguiente política o GPO:


En la misma consola msc, secpol.msc (Directiva de seguridad local). Nos vamos  a:
Directivas locales > Opciones de seguridad > Inicio de sesión interactivo: mostrar información del usuario cuando se bloquee sesión.

 
En esta marcamos en el menú desplegable: Nombre para mostrar del usuario, nombres de dominio y usuario. Aceptamos y listo.

Figura 4: Consola de Políticas de seguridad - directiva para no mostrar el nombre del usuario.

Ahora en el momento de bloquear sesión con nuestro usuario se nos guardará la información del siguiente modo.

Figura 5: Resultado de la directiva aplicada. Introducir solo password.

Por último, para añadirle un toque de seguridad y que no nos cierren sesión otros usuarios, si no solo cambiar de usuario pero no cerrar.

Podremos deshabilitar las opciones de: cierre de sesión, suspensión, hibernar y apagar nuestro equipo, que se nos muestra como un botón en la parte inferior-derecha del Winlogon en el inicio de sesión de Windows 7.

Para ello lo podremos hacer también mediante otra política o GPO. En la misma msc secpol.msc: Directivas locales > Opciones de seguridad > Apagado: permitir apagar el sistema sin tener que iniciar sesión. Esta política la deshabilitamos.

Figura 6: Directiva para deshabilitar el apagado del sistema en la pantalla de login de Windows.

Listo con esto ya no se nos mostrará dicha opción con el botón de apagado y de más opciones en el inicio de sesión de usuarios en Windows (Winlogon). Y como ya dije, evitaremos que se nos cierre sesión al usuario iniciado, pero manteniendo la opción (por defecto de Windows) de si poder cambiar de usuario.

Aclaro que para que hagan efecto estas directivas es necesario reiniciar el PC en el caso de esta última y bastaría con cerrar sesión en el caso de las dos primeras. Pero también podemos forzar las actualizaciones de las políticas, si escribimos en consola: gpupdate /force


Saludos!

07 abril, 2012

Tipos de atributos de un archivo de Windows

Los atributos de los archivos y directorios son los mismos para todos los usuarios o grupos. Es decir, cuando se establece un determinado atributo a un archivo, como por ejemplo sólo lectura, ningún usuario, ni tan siquiera los administradores, podrán modificar el contenido de dicho fichero. Así pues los atributos son propiedades de los ficheros comunes para todos los usuarios.

Para modificar estos atributos en Windows, podremos hacerlo mediante la consola o de manera gráfica.

Mediante la consola de Windows, con el comando: ATTRIB y sus respectivos modificadores o propiedades que podremos ver si escribimos: attrib /?

ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [[drive:] [path] filename] [/S [/D]]

+ Activa un atributo.
- Desactiva un atributo.
R Atributo de sólo lectura.
A Atributo de archivo.
S Atributo de sistema.
H Atributo de archivo oculto.
/S Procesa todos los archivos en todos los directorios de una ruta específica.
/D Procesa los directorios también.

De manera gráfica en Windows:

Para ver los atributos de un fichero: Propiedades (o con el fichero seleccionado pulsar: Alt+Enter) > Pestaña "Detalles".

Figura 1: Detalles de atributos establecidos en un fichero.

Para modificar los atributos de un fichero: En las propiedades del fichero, pestaña "General" -> Atributos y también en el botón "Avanzados...", para ver y/o modificar atributos avanzadas de un fichero.

Figura 2: Opcciones avanzadas para modificación de atributos en ficheros.

Otra opción es acudir a tools de terceros. Para poder ver y/o modificar todos los atributos de un archivo de manera más detallada con AjpdSoft Información de fichero.

Figura 3: Modificación de atributos ficheros con AjpdSoft.

Podemos consultar también estas otras herramientas que ya son más específicas para metadatos, pero algunas también muestran atributos de ficheros: Metadatos.

Una vez visto esto, paso a las definiciones, tipos y que es lo que hacen estos atributos al ser habilitados o deshabilitados sobre un archivo. Antes de empezar a definir los tipos de estos atributos y de más, buscando por la red me encontré un artículo de ajpdsoft.com el cual es estupendo para explicar esto. La mayoría incluyen las propias definiciones de Windows y añadí algunas cosillas para tener en cuenta así como el valor (letra) de la función de cada atributo.

Sólo lectura (FILE_ATTRIBUTE_READONLY - 0x00000001):
Con el atributo de valor: R. Impide que se pueda sobreescribir o eliminar un fichero. La definición de Windows para este atributo: especifica si este archivo o carpeta es de sólo lectura, lo que significa que no se puede cambiar o eliminar accidentalmente. Si activa esta casilla de verificación cuando hay seleccionados varios archivos, todos ellos serán de sólo lectura. Si desactiva esta casilla de verificación, ninguno de los archivos seleccionados será de sólo lectura

Oculto (FILE_ATTRIBUTE_HIDDEN - 0x00000002):
Con el atributo de valor: H. Impide que se visualice al listar, por lo tanto no se pude copiar ni suprimir, a no ser que se conozca su nombre o que tengamos activa la opción de mostrar archivos ocultos (en las opciones de carpetas). La definición de Windows para este atributo: especifica si el archivo o la carpeta está marcado como oculto, lo que significa que no podrá verlo o utilizarlo si no conoce su nombre. Si selecciona varios archivos, una marca de verificación indica que todos los archivos están marcados como ocultos. Un cuadro relleno indica que algunos archivos están marcados como ocultos y otros no.

Archivo listo para archivar históricamente (FILE_ATTRIBUTE_ARCHIVE - 0x00000020):
Con el atributo de valor: A. Indica si el archivo o carpeta se debe guardar cuando se realice una copia de seguridad. Por defecto no está activado pero en cuanto se haga alguna modificación de los permisos o del contenido del fichero se activará automáticamente (por el sistema operativo). De esta forma el programa de copia de seguridad podrá copiar sólo los archivos modificados. La definición de Windows para este atributo: especifica si el archivo o carpeta se debe almacenar. Algunos programas utilizan esta opción para determinar de qué archivos y carpetas se harán copias de seguridad. Si selecciona varios archivos o carpetas, una marca de verificación indicará que todos los archivos o carpetas tienen activado el atributo de almacenamiento. Una casilla de verificación rellena indica que algunos archivos o carpetas tienen establecido el atributo de almacenamiento y otros no.

Permitir al servicio de Index Server indizar este archivo para acelerar la búsqueda (FILE_ATTRIBUTE_NOT_CONTENT_INDEXED - 0x00002000):
Con el atributo de valor: N. Indica que el archivo o carpeta se indexará para realizar una búsqueda rápida de texto en su contenido, propiedades o atributos. La definición de Windows para este atributo: especifica si el contenido del archivo seleccionado o de la carpeta se indexará para obtener una búsqueda más rápida. Una vez que se índice la carpeta o el archivo, puede buscar texto en la carpeta o archivo, propiedades, fecha o atributos del archivo o carpeta. Al indizar una carpeta no se indexan automáticamente los archivos y subcarpetas que contiene a menos que elija indizar el contenido cuando se le indique. Si selecciona varios archivos, una marca de verificación indicará que todos los archivos tienen activado el atributo de indexación. Una casilla de verificación rellena indica que algunos archivos tienen activado el atributo y otros no.

Comprimir contenido para ahorrar espacio en disco (FILE_ATTRIBUTE_COMPRESSED - 0x00000800):
Con el atributo de valor: C. Indica que el archivo o carpeta se comprimirá automáticamente para ahorrar espacio en disco. La definición de Windows para este atributo: muestra si esta carpeta o este archivo está comprimido. El contenido de las carpetas comprimidas no se comprime automáticamente a menos que elija comprimir el contenido cuando lo solicite el sistema. Si hay varios archivos seleccionados, una marca de verificación indica que todos los archivos están comprimidos. Una casilla de verificación rellena indica que algunos archivos están marcados como comprimidos y otros no. NO se pueden cifrar las carpetas ni los archivos que estén comprimidos.  
Añado: Por defecto, Windows cuando se marca este atributo y se aplica, el fichero tendrá el texto del nombre de color Azul.

Cifrar contenido para proteger datos (FILE_ATTRIBUTE_ENCRYPTED - 0x00004000):
Con el atributo de valor: E. Indica que el archivo o carpeta se cifrará para evitar que su contenido pueda ser visto por otro usuario. La definición de Windows para este atributo: especifica que el contenido de este archivo o carpeta se cifrará. Solamente el usuario que cifra el archivo o la carpeta tiene acceso al contenido. Sin embargo, los archivos y carpetas pueden perder el cifrado dependiendo de cómo se mueven o se copien. Si selecciona varios archivos, una marca de verificación indicará que todos los archivos tienen activado el atributo de cifrado. Una casilla de verificación rellena indica que algunos archivos tienen activado el atributo y otros no. Los archivos y carpetas cifrados no se pueden comprimir.

Por defecto Windows cuando se marca este atributo y se aplica, el fichero tendrá el texto del nombre de color Verde.

Sistema (FILE_ATTRIBUTE_SYSTEM - 0x00000004):
Con el atributo de valor: S. Indica que el archivo es para uso del sistema operativo, uso interno.

Directorio (FILE_ATTRIBUTE_DIRECTORY - 0x00000010):
Con el atributo de valor: D. Indica que es una carpeta.

Normal (FILE_ATTRIBUTE_NORMAL - 0x00000080):
Un archivo que no tiene otros atributos establecidos. Este atributo es válido sólo cuando no se establecen otros atributos. Este atributo será ignorado si se establecen otros. Este atributo sólo se utiliza para proporcionar una forma de eliminar el resto de los atributos.

Fuera de línea (Offline FILE_ATTRIBUTE_OFFLINE - 0x00001000):
Este atributo indica que los datos del fichero no están disponibles de inmediato. Este atributo indica que el archivo ha sido movido a una de datos es desplazado a la conexión de almacenamiento. Este atributo se utiliza para el almacenamiento remoto.

Temporal (FILE_ATTRIBUTE_TEMPORARY - 0x00000100):
Archivo utilizado para almacenamiento temporal. El sistema operativo puede optar por almacenar datos de archivos con este atributo en la memoria en lugar de en almacenamiento masivo.

Saludos!

Entradas Populares