Reflexiones y Conversación sobre Trustzone y hipervsor.

Veo que están muy preocupados por la seguridad, pero tengo una duda dando vueltas en mi cabeza.
¿Sus laboratorios están custodiados por algún servicio de inteligencia/seguridad militar protegiendo físicamente las instalaciones y tienen el acceso limitado por algún tipo de identificación biométrica o similar?

Porque si están en el living de su casa, me parece que están poniendo el carro adelante de los caballos.

He visto en empresas a gerentes muy preocupados por la seguridad, y mi mandíbula caía al piso cuando veía el centro de cómputos con libre acceso a cualquier empleado que pasara por ahí.

Por otro lado, si en cualquier punto de la cadena hay WiFi, no se molesten, porque TODAS las claves son descifrables. Les podrá tomar horas o meses, pero son descifrables. Y no hace falta ser Stallman, un niño de 12 años con una distro linux puede meterse en cualquier red WiFi.

Si usan Windows, cualquiera sea su versión, es como vivir en un búnker y dejar la llave puesta en la puerta de entrada.
El logro de W10 es que funciona bien (no bluescreens, no reinicios, no cuelgues). Pero en networking... Cada tanto hay que resetear la configuración de red porque pierde conexión, acceso a shares, etc. Me pasó a mi en una red hogareña con un servidor y 2 clientes. Cuando leí en un foro de MS un paper que decía que había que resetear la configuración de red recordé que a fin y al cabo, era windows.

Antes de encender los servidores, hay que aprenderse de memoria este libro:

https://www.novell.com/training/books/book.html?book=bookAdm&val=2
 
Hola Kebra, tienes completamente razón que la seguridad en las tecnologías empieza por atender los miembros mas débiles de la cadena de seguridad. Como es bien sabido, la seguridad física es uno de los miembros débiles de esta cadena. No solo se trata de proteger un sitio ante la posibilidad de accesos físicos como tu lo mencionas. Otro aspecto que en la industria juega un gran papel para prevenir daños y perjuicios está en tener múltiples sitios repartidos por el mundo. En la industria de semiconductores donde yo trabajé por décadas esta parte también debía estar preparada para daños por razones de terremotos, tsunamis y conflictos armados. Adicionalmente siempre que fuera posible se establecían relaciones con múltiples proveedores!
Pero la razón mas frecuente de debilidad de las protecciones se debía a humanos miembros de la misma empresa. Empieza por limitar el acceso físico a sitios con necesidad de ser protegidos. El otro factor muy relacionado a las personas miembras de la organización es el trato de los passwords!

En mi caso, siendo la persona que abrió este hilo estos aspectos físicos son en parte poco relevantes y/o voluntariamente descuido ciertas cosas fundamentales para proteger mis datos. Es el backup. Al momento no uso el backup por no tener donde grabar la imagen de mi disco duro RAID10 a base de 4 discos duros de 1 TB cada uno. Con ese disco duro externo que pienso comprar me será posible grabar la imagen que máximo será de 2.6 TB del sistema RAID10.

Pero lo que si he echo es hacer copia de archivos no reemplazables, como el que lista las licencias y los passwords de mis programas en discos duros en la nube. También el otro grupo de archivos críticos y con necesidad de asegurar son mis "ebooks" que no he comprado de sitios como "Amazon", "O'Reilly" y "Packt", pues allí estos son accesibles sin que me cause costos.

Listo estos puntos pues tu objeción es muy justificada y merece como muestra del respeto que tengo, no solo mencionar explícitamente lo que he hecho, si no también el dar ejemplo como aplico, o no aplico esto en mi entorno!

La razón inicial de mis estudios en materia de protección fue el ataque que sufrí y que rindió mi PC inoperable cuando empecé mis experimentos con las placas Raspi! Mi PC siempre tiene aplicado lo que considero de muy grande importancia. El Windows siempre es actualizado cuando aparecen updates y tiene la software de protección que mi hijo, que trabaja como técnica de redes y comunicación me recomendó, "Trend Micro" en Mexiko y "Trend Micro". El ataque usó como puerta de entrada mi comunicación con mis placas Raspi con las que me comunicaba por no solo WiFi, lo que muy correctamente requiere de atención especial, mis placas Raspi cada una tiene su propia entrada en un registro DNS! Esto último en mi caso fue la vía de entrada a mi entorno del atacante!

También estoy absolutamente consciente que a pesar de las metodologías que presento para proteger el entorno de mi taller, no existe seguridad absoluta en el medio del Internet. El lograr atacarme con éxito por lo tanto va a requerir un gran esfuerzo que no habiendo nada de valor comercial o intelectual en mi taller solo se podría justificar por el orgullo de lograr penetrar un entorno que estará muy protegido! No es mas que un entorno de un viejo particular que se dedica a sus experimentos como ocupación privada. Pero creo que trabajando tanto en el entorno de mi PC en una máquina virtual y los mismo en mis placas Raspi protejerá mis diversos sistemas de ser alterados o de volverse inoperables, como ya ocurrió! Pero mis estudios me dan una satisfacción personal en varios frentes. El uno es que me alegra el haber descubierto el tema de seguridad en sistemas embebidos, cosa que cuenta en aplicaciones como el IoT, el IIot, en Industria 4.0, en vehíulos de toda índole autónomos. A la vez es realidad no cuestionable, que el Internet es el campo de batalla de estados, de servicios secretos, de bandas criminales, de la criminalidad organizada. Como lo mencioné arriba en algún lado, Alemania acaba de fundar una rama nueva de sus ejercitos, "Fuerzas Aereas", "Ejercito", "Marina" y ahora "Cyberforce". En esta última Alemania a unido todas sus actividades informáticas y el personal correspondiente y dice que cuadruplicará el personal en esta nueva rama lo antes posible! Así, nuestros experimentos y actividades de aficionados a la electrónica en el contexto del Internet tiene lugar y será cada vez mas un entorno en extremos agresivo! Pero la fascinación de satisfacer mi curiosidad aplicada al campo de la seguridad en sistemas embebidos, de tomar cursos universitarios gratuitos, el investigar literatura al respecto y estudiar estas y informarme en el Internet es el motivo mas importante para mi!
 
Otro punto que había olvidado que muy bien mencionás, es el back-up. He visto sin poder creerle a mis ojos, en el 90% de las empresas, que los DAT donde hacían los back-up, los guardaban ARRIBA del servidor. :cry:

Ni siquiera deberían estar en el mismo edificio. El datacenter de Unicenter tiene un espejo en otro edificio, ajeno al complejo, que en caso de disaster tiene un demonio que automáticamente conecta el respaldo.

Personalmente desde que uso NOD jamás tuve problemas de virus o intrusiones en mi pc. Pero es una licencia legal, paga, no es crackeado.

Para respaldar tus archivos importantes buscá una unidad Ultrium. Esas cintas son excelentes. Una unidad ronda los U$S 3000.
 
Gracias a una respuesta aquí en el foro he podido reajustar la ruta de mis investigaciones y de experimentar implementándolo. la respuesta era a mi pregunta de porqué si quería implementar una máquina virtual usando la herramienta "VirtualBox" esta no me permitía crear máquinas virtuales, en mi caso Ubuntu de 64 bits! Mis investigaciones en el Internet tratando de entender esto me dieron la respuesta que tendría que desactivar los servicios de "Hyper-V", pero que estos eran requisito para poder usar la herramienta para crear "contenedores" "Docker"!

La respuesta fue que Hyper-V y su entorno, el Hyper-V-Manager, eran la herramienta de Microsoft para crear máquinas virtuales y que por eso el conflicto con VirtualBox. Efectivamente desactivando Hyper-V-Servicio pude crear una máquina virtual con Ubuntu de 64 bits! Pero al mismo tiempo mi instalación de Docker indicaba no poder ser inicializada por la falta de los servicios Hyper-V!

Debo investigar esto mas en detalle. En especial ver si es posible instalar e inicializar "Docker" en el entorno de una máquina virtual con Ubuntu 64 bits!

Pero me decidí por ir y activar la herramienta Hyper-V y arrancar la herramienta Hyper-V-Manager. Encontré este sitio en YouTube que es un tutorial para usar Hyper-V! es

Terminé mis actividades en esta dirección hoy de noche, son las 1 de la mañana, y los quiero informar que el tutorial tiene un peligro, una trampa en la que caí.Empieza muy bien demostrado como instalar "los servicios "Hyper-V" que solo están disponibles en Windows 10 Pro y Windows 10 Enterprise y que no son instalados normalmente. Una vez instalado y arrancado el "Hyper-V-Manager" se define donde poner el disco duro virtual que la máquina virtual va a utilizar. Luego sigue donde y como poner el sitio de nuestro disco virtual en nuestro disco duro. Esto son 2 de las acciones que se deben hacer en el Hyper-V-Manager. Igualmente ya aparece pre configurado la GPU de mi placa gráfica. Luego aparecen cosas como "NUMA", migraciones de memoria y otros que aún desconozco, pero que el tutorial deja para presentar en una de sus próximas partes del tutorial!

Ahora viene la parte que me obligó a reiniciar mi PC y que por suerte resolvieron mi problema inminente: No pude acceder al Internet, lo que interrumpió el tutorial de YouTube por ya no tener acceso al Internet! Se trata de la definición de los "switches virtuales"!

Resulta muy evidente, lo que me puso en descuido, que la máquina virtual requiere que su switch virtual permita el acceso al Internet. Como mi PC tiene las opciones de "WLAN" y "LAN", cada uno es definido en un propio "switch virtual"! También aquí parece que será posible definir switches virtuales que me permitan acceder a mis placas Raspi por WLAN y/o LAN sin que esos switches a la vez tengan acceso al Internet. Esto creo que podría ser una forma de empezar experimentando sin exponerme al riesgo de ataques desde el Internet!

Pues bien "jugando" y creando múltiples switches virtuales para la máquina virtual dentro del Hyper-V-Manager me descuidé del impacto de algo que el locutor del tutorial en YouTube menciona. Hay que configurar primero que el switch físico siga permitiendo acceder el Internet! En este momento no se aún como, pero será mi próxima labor cuando mi salud me vuelva a permitir seguir! No haciendo la configuración requerida para que las máquinas virtuales puedan acceder por los switches virtuales al Internet por medio del switch fìsico de mi PC y que mi PC pudiera seguir accediendo el Internet me desconectó mi PC del Internet! Hice lo que un buen colombiano haría. Reinicié mi PC y me fui a tomar una tasa de café o como lo llaman en Colombia, un tintico!

Voy a estudiar el tema de los switches y su uso con foco en sus operaciones en conjunto con una máquina virtual. Noto que no tengo mas que una idea muy superficial! Aquí el enlace al punto de partida de mis investigaciones!

33129447733_2867911312_c.jpg
 
Última edición:
Hola amigos, desafortunadamente tuve mi tercer infarto cerebral el viernes de la semana pasada, un tal "TIA", que significa que la obstrucción fue "solo" pasajera, pero otra de mis arterias al cerebro esta bloqueada. Así que por favor me perdonan si algún día dejo de contribuir. Habré recibido la respuesta definitiva a que viene después de muerto! Hago lo posible por retardar este evento y en las tomografías del cerebro se pudo ver que mi cerebro a creado nuevas venas para surtir energía a partes de mi cerebro. Otro beneficio de nuestra afición!

Siguiendo mis actividades algo desorganizadas por estar tratando de desarrollar mi "vista" a las tecnologías correspondientes, ayer me metí a la máquina virtual creada para "Docker en Windows", una VM que se crea bajo Windows 10 Pro cuando se activa la funcionalidad de "Hyper-V", requisito para instalar y activar Docker en el entorno de Windows 10! Resulta que Docker crea una máquina virtual con Linux y que "Docker para Windows 10 Pro y Enterprise". También leí que aproximadamente en 3Q17 Microsoft en su programa "Windows Insider" hará posible un acceso previó para personas interesadas a los avances de esta tecnología, dizque ya disponible en las versiones mencionadas arriba de Windows 10, para Windows Server 2016.

Aparentemente Microsoft ha tomado la decisión estratégica de adoptar e implementar la tecnología de la containerización en sus productos. Que lindo ver que mi opinión de la importancia de la tecnología de la containerización, siendo Docke la herramienta, se está confirmando para mí! Es muy probable que ha razón de esto puedo usar la máquina virtual creada usando el servicio del os WIndows Hyper-V al instalar Docker. La forma aparentemente mas adecuada de manejar Docker en el Entorno de Windows es "PowerShell for Windows", otra de las funcionalidades disponibles en las versiones de Windows 10 apoyadas! Ayer me metí en la VM de Docker usando PowerShell y pude instalar una versión básica de Ubuntu que es realizada como contenedor con Ubuntu., significa sin el escritorio y los programas disponibles para ello en Ubuntu. Resulta que soy muy, pero muy principiante en usar Linux sin el escritorio. He utilizado la funcionalidad llamada "Terminal" dentro de Ubuntu esencialmente para instalar aplicaciones y sus aplicaciones en Ubuntu. Si recuerdo lo necesario para saber que tengo que instalar aplicaciones en un lugar dentro del árbol de archivos en Ubuntu. Hay diversas formas donde poder instalarlo y como resultado funcionan, pero se que existen métodos preferidos.
Otro aspecto que tengo que considerar es relacionado a como se usa la tecnología de los contenedores. Existe una diferencia esencial con el como organizar la instalación de aplicaciones en una VM con la metodología de los contenedores. En esto, llamémoslo en corto "Docker", cada contenedor debe contener un solo "proceso". Según lo entiendo, Ubuntu disponible en la VM creada al instalar Docker, "MobiLinuxVM", pone a disposición un Kernel de Linux básico. El instalar Ubuntu en esa VM usando Docker es crear un contenedor en la vm MobiLinuxVM que entonces contiene Ubuntu. Así según creo entender Si quiero instalar el interpretador "Python 3.6", la versión actual de "Python", esto debería ocurrir en un contenedor adicional. Siguiendo por ese camino mi IDE preferida para Python, "PyCharm", debería instalarlo en otro contenedor. En Docker, contenedores se organizan de forma algo similar a los "Shields" en el entorno de "Arduino". Los Shields en Arduino son placas conectadas a la placa Arduino que ponen funcionalidades adicionales disponibles al "Arduino". Equivalentemente Docker tiene algo que creo que llama "Orchestración" y que es el organizar las relaciones entre los contenedores. He estado metiéndome de forma aún muy vaga en esos temas, pues juegan un papel muy importante para establecer "sistemas mas seguros" con Docker y hacerlo de manera muy controlada. Autorizaciones y autenticaciones y encriptadas tienen como objetivo el definir exactamente a que árboles de archivos (file systems" la aplicación en un contenedor requiere acceder y con cuales derechos de interacción, solo leer, escribir, modificar. Igualmente se define que es lo que un cierto contenedor publica asiéndola accesible a otros contenedore y quienes exclusivamente tienen el permiso de acceder con que derechos. Dentro de estos temas está también el como permitir el acceso de una aplicación, en mi caso la IDE PyCharm, a un interpretador de Python que se encuentra dentro de otro contenedor y el que esta disponible en la placa Raspi.

Así, el diagrama de la estructura informática de mi taller electrónico lo presenta:

33729468036_0c4c84282c_c.jpg


Aquí un gráfico que da una vista "total" de los aspectos de un sistema de seguridad, que es lo que me estoy esforzando por recrear en el entorno de mi taller:

34190101181_5d38271b2d_c.jpg


Este gráfico viene de NXP en sus presentaciones de sus controladores "i.MX8" que permiten implementar un sistema de seguridad de acuerdo al gráfico y para el cual los controladores i.MX8 tienen las funcionalidades físicas óptimas:

33549503331_7e5f241e06_o.jpg


Aquí el gráfico de las versiones anunciadas de controladores i.MX8. Vale resaltar algo que leí en una revista alemana de electrónica muy prestigiosa, "Markt&Technik". El futuro del IoT y del IIoT depende no solo de la existencia de una aplicación que imponga estas tecnologías como lo fue en su tiempo los tales "Smartphones", sino también de un ecosistema de software que haga el uso de estas tecnologías manejables para un público técnico mas amplio! Quien ha sido lo suficientemente interesado en lo que publico sabrá de que esfuerzo me exige el entender las diversas tecnologías y funcionalidades relacionadas tanto a su implementación en controladores, donde los "i.MX8 de NXP son los mas avanzados que he podido descubrir, sino también de las tecnologías en el campo informático relacionadas. Son por una lado las tecnologías de virtualización en el entorno embebido y aquella de Docker y por otro lado el como implementar estas en los recursos físicos, mis esfuerzos los documenta el gráfico sencillo de mi arquitectura informática para la plataforma de mi taller electrónico y a la larga el uso de la tecnología en mi modelo de un velero que hago como modelista naval.

Siempre he notado que tengo la habilidad de reconocer desarrollos técnicos que van a resultar ser importantes y el de como aplicar estas tecnologías. Así, unas 4 décadas hará fue lo de los controladore en sistemas gráficos que me resulto en un súper empleo en una de las mas grandes empresas de semiconductores gringa, que luego volví a beneficiarme en mi carrera tanto la línea técnica como mas tarde en aquella como ejecutivo. Ahora estoy totalmente convencido, que quién hoy "entienda" los temas relacionados a la seguridad de sistemas embebidos, del rol de las técnicas físicas como la tal "TrustedZone" y las informáticas como la virtualización en sistemas embebidos como aquella de Microsoft "Hyper-V" y aquellas relacionadas a los contenedores y Docker y "sabe" como todo esto interacciona en un sistema embebido podrá escoger donde trabajar y que sueldo recibir! Yo, hace 4 décadas, así fuí empleado por "National Semiconductor" con un súper sueldo, con un flamante y nuevo BMW 5e como carro para uso privado y profesional y que acabé viajando por el mundo en avión en primera clase! Escribo esto no para vanagloriarme personalmente y satisfacer mi ego, sino como persona en los días finales de mi existencia para compartir con Ustedes mi opinión que las posibilidades profesionales de aquel que se meta a fondo en esto. Son carreras esperando a aquellos que tomen estas oportunidades y los que Dios ha dado la capacitación! Esto no requiere de estudios universitarios y de diplomas. Tales estudios acaban no ser mas que el distribuir conocimientos que dan una sólida base de capacitación y por lo tanto ya madurados. Hablamos de campos que ofrecen fantásticos empleos que se mueven en la vanguardia tecnológica!
 
Hola amigos, finalmente mi salud me permitió volver a meter esfuerzo en avanzar en alistar mi entorno de trabajo informático. La VM que es ejecutada desde W10Pro, el os de mi PC usando Hyper-V ahora tiene W10Pro instalada y el acceso al Internet resulta. Lo que mas me agrada, fuera de que haya logrado lo descrito y poder acceder al Internet, fue que la VM puede aprovechar ambas pantallas como escritorio. Esto no lo he logrado aún en la VM con Ubuntu. Esto es importante para mi, pues en esa superficie de escritorio de la VM van a estar las ventanas mostrando los escritorios de las placas Raspi.

Pero también finalmente pude encontrar una diferencia esencial a mi opinión entre Docker en Linux y Docker en W10Pro y/o Server 2016. Docker en Linux es ejecutado como una "aplicación normal" ejecutada en Linux, pues usa el núcleo de Linux. En W10Pro Docker es ejecutada como una VM dentro de la VM de W10Pro, el término en Inglés es "nested virtualizations". La razón de esto es que al ser instalado Docker en el W10Pro de la VM se requiere de la VM con un núcleo de Linux de Docker embebida en la VM con W10Pro! Todavía no he alcanzado en implementar esto. Tarde anoche descubrí lo que acabo de describir y en el Internet me encontré las instrucciones de como capacitar W10Pro de la VM para instalar Docker. De allí empiezo tratando de instalar Hyper-V en W10Pro en la VM. Haber cuando complete esto!

Volviendo a reflexionar mis objetivos para las actividades en relación a la virtualización y containerization. Es evitar que la causa de que mi PC, entonces ejecutando W7Ultimate, se vuelva inoperable! Pues resulta que a razón de la forma como Microsoft ha hecho disponible Docker en sus os mi IDE, PyCharm de Jetbrains será ejecutada desde la VM embebida en la VM de W10Pro. lo que ahora debo hacer después de haber instalado este entorno sera hacerme una lista de cuales parámetros existen y que debo configurar de forma óptima para proteger mi entorno. No podré publicar esta lista aquí, ni mucho menos el raciocinio de como configuro esos parámetros, quizá de forma genérica, para no publicar la ruta de como mi entorno puede ser penetrado. Ya durante la instalación de W10Pro en la VM W10Pro hizo la actualización a la nueva versión de W10Pro y durante su instalación el Wizard ya me requirió el decidir sobre algunos de los parámetros relacionados a la protección.

Leí que una de las indicaciones mas tempranas del Alzheimer es la pérdida de interés en los hobbies. Esto aparentemente no está presente en mi! Otra razón para mantener y cultivar mi perseverancia.
 
Hola amigos. Finalmente he podido encontrar un sitio donde, sobre un ordenador ejecutando Windows 10 Pro y con los servicios de "Hyper-V" activados y una VM realizada con Windows 10 Pro como OS, se activan los servicios Hyper-V en el W10Pro dentro de la VM y se instala Docker. Aparentemente recién en la última actualización de Windows 10 Pro existe la posibilidad de Instalar Docker en W10Pro dentro de la VM. Así, instalando las IDEs dentro de contenedores del Docker "embebido", en Inglés "nested". Ya estoy muy cansado hoy, pero apenas, ojalá mañana, cuando mi mente sea capaz de embarcar en esta aventura haré lo indicado e instalaré la IDE PyCharm dentro de un contenedor en el W10Pro embebido.

Ya entonces tendré que empezar a crear mi documento con el listado y la explicación de todos los parámetros para poder definir como la IDE PYCharm dentro del contenedor en el W10Pro embebido accede a la placa Raspberry Pi por WLAN!

Aquí el enlace del blog donde explican como instalar y ejecutar Docker en W10Pro embebido!

Tal cual ya lo he descrito aquí en el foro, las cosas que hago y cómo las hago para lograr un máximo posible de seguridad y así evitar que atacantes vuelvan a rendir mi PC inoperable, realmente en paralelo a como voy conociendo las posibilidades de hacer un sistema y un entorno lo mas seguro posible, las tecnologías se van volviendo disponibles.
 
Hola amigos, habiendo adquirido una visión muy general de como estableceré mi PC para programar y controlar las Placas Raspi desde una VM y Docker dentro de la VM me encontré con otro amplio campo del que no tengo mas noción que aquella que existe y que se debería usar, el servidor de seguridad o "Firewall". Afortunadamente resultó que nuestro vecino nos invitó a un asado, pude preguntarle que si tenía alguna recomendación de como proceder para aprender los temas relacionados a la "Firewall" y a su configuración! Resulta que me recomendó el programa "pfSense". Como siempre me editorial Packt tenía sus ofertas especiales y así pude comprarme 2 ebooks, Mastering pfSense y pfSense Cookbook y ambos libros publicados en el 2016. No me imaginé que el tema tuviera tanta información en general y sobre el programa pfSense en especial.

Pero como siempre, de allí ha resultado que me embarco de forma usualmente intensa a meterme en la materia. Claro que pfSense es un programa súper extenso en sus funcionalidades y por lo general toda las materias relevantes al tema "Firewall" y su uso en redes empresariales. Estoy seguro, que limitándome la lo esencial y acompañado en el proceso de instalación y configuración, sería mas que suficiente.

Pero me encontré con cuestiones para mi inesperadas sobre la configuración del "Firewall" y temas relacionados a las topologías de redes. Lo mas relevante y de lo que tenía noción de ser algo que requeriría configurar es el tema de como integrar la red de mi laboratorio y las conexiones de WLAN de las placas Raspi. El término relevante aquí es el de los "access points". Anteriormente, cuando un ataque desde el Internet me rindo mi PC inoperable, mi model al Internet era la caja que se llama "Fritzbox". Esa misma caja a su vez cumplía la función de access point o punto de acceso de las conexiones WLAN de las placas Raspi y de mi PC. Así las placas Raspi y mi PC con su interfaz WLAN están todas conectadas a la Fritzbox.

Como no me es posible instalar una Firewall en la Fritzbox esto significa que las placas Raspi acaban estando expuestas directamente al Internet, sin Firewall! Instalando pfSense en mi PC dejaría las placas Raspi fuera de lo que sería el área protegido por la Firewall "pfSense"!

Tengo en mi inventario una placa que es variante "workstation" de mi placa madre ASUS PT6 SE. Esa placa tiene 2 conexiones independientes de LAN de 1 GBit. Así debería cambiar la placa madre de mi PC. Así una de las conexiones LAN estaría conectado a la Fritzbox. La segunda conexión LAN representaría mi red privada. Así, si le doy a mi PC un "access point" de WLAN, esto representaría la tercera conexión de mi PC. Las placas Raspi entonces se comunicarían con ese punto de acceso WLAN del PC. Así, una instalación de pfSense en mi PC sería la Firewall entre el LAN al Internet y las redes LAN y WLAN de mi laboratorio.

Puramente especulando, pfSense se ejecutaría en mi PC con W10Pro y controlaría las comunicaciones entre el Internet y las 2 redes locales y la red virtual que resulta como resultado del switch virtual por medio del cual W10Pro ejecutado en la VM tiene acceso al Internet. Allí me falta aún el definir las estructuras, de concebir como definir los parámetros. Hoy estoy dichoso que W10Pro en la VM tiene acceso al Internet por medio del switch virtual que conecta con la conexión física, sea del LAN o sea del WLAN. Cada conexión tiene un switch virtual que hay que configurar.

De allí, según creo, debo definir el rutéo de las comunicaciones entre los clientes conectados a las diversas redes. Según creo, allí entra a jugar la funcionalidad de "Router" que pfSense también tiene.

Lo que he decidido de como proceder, es estudiar esos 2 libros sobre pfSense, donde también tratan los temas de topologías de las redes y de los requisitos que se tienen sobre la Hardware. En este momento se que no se suficiente para hacer decisiones!
 
pfSense es un firewall statefull basado en FreeBSD, asi que no corre sobre windows y ejecutarlo en un VM es cuestionable.
Te recomiendo conseguir alguna PC vieja con al menos dos placas de red y un pequeño HD y montar ahi el firewall. Una placa va al router - generalmente configurado como bridge - y la otra al switch de tu red interna.
Por otra parte, si no conoces de firewalls, no instales el pfSense. Es preferible usar algo como el BrazilFW que es casi plug-and-play y no requiere configuracion....lo que no es el caso del pfSense.
 
Hola Dr.Zoidberg. Tuve la esperanza de recibir una respuesta tuya. Se de tu experiencia en materia de servidores y asumo también de "Data Centers". Aquí el enlace a un sitio donde presentan la instalación de pfSense en Windows 10 Pro, y aún mas interesante para mí, en una VM en ese entorno!

Totalmente estoy de acuerdo contigo que pfSense no es la solución mas sencilla de utilizar y que otras Firewalls permiten establecer la funcionalidad de forma sencilla. La razón que me estoy metiendo en materias de Firewall usando pfSense es que creo me permite aprender con mas detalle los aspectos detallados relacionados con una Firewall. Según me dice la información encontrada hasta este momento pfSense es complicado de usar por obligarte a ocuparte de su configuración de forma muy intensa. Los 2 libros sobre pfSense bastante actuales que me compré me permiten aprender de los detalles.

En especial me estoy haciendo la vida difícil por seguir uno de mis objetivos que son la configuración del entorno de mi taller para lograr un máximo de seguridad ante ataques desde el Internet. Tu recomendación de usar algún PC antiguo que tenga o encuentre por ahí es una de las opciones que estoy considerando por dar esta una estructura clara y efectiva, tal cual tu lo describes. Permítete hacerte una pregunta específica donde realmente no he entendido completamente el como hacerlo.

Se trata de lo que se llama "Access Point para red inalámbrica, WLAN. Se que mi Fritzbox ofrece esa funcionalidad, pero como es el modem de banda ancha tengo que crear un access point nuevo detrás de una Firewall. Como logro eso, que hardware requiero y recomiendas alguna. ya te agradezco de antemano por tu apoyo.
 
A ver si entiendo lo que necesitás:

Vos tenés el Fritzbox, que es un modem de banda ancha con posibilidad de trabajar como access-point para una red wi-fi, es así???
En principio, deberías comentar de cual modelo se trata, ya que eso es importante para analizar sus potenciales usos en el contexto que vos necesitás. Esto te lo digo por que muchos modem/routers traen incorporado un firewall, que si bien puede ser algo básico, suele ser suficiente para proteger una instalación domiciliaria de los ataques más frecuentes vía red. Si el que vos tenés incluye firewall, con solo activarlo lograrías cubrir gran parte de tu necesidad.

En mi caso, si bien "se supone" que el router de mi ISP tiene un firewall(cito ;)), no puedo usarlo por que opera en modo bridge para que mi firewall tenga control completo de la conexión y evitar el doble-NAT que ocurre si no se configura de esa forma... pero esto es una necesidad mía.

Una vez que sepamos las características de tu Fritzbox podemos continuar analizando la mejor vía de proteger tu red interna, por que si bien la solución óptima sería descartar el uso del Fritzbox como A.P. y usar otro aparato (un router adecuadamente configurado o un A.P. específico, pero son mas caros y tienen menos cosas utilies --> gasto sin mucho sentido) en la red interna detrás del firewall (así lo tengo en mi casa), tal vez sea mejor analizar otras posibilidades que permitan reducir los puntos de falla y el costo final de la protección.... por que si nó, el día que el firewall no permita algo necesario, vas a tener que arreglarlo vos por que nadie va a saber que diablos tocar ahí...
 
Última edición:
Así a la rápida pues me voy a dormir. Son después de la medianoche. Tengo el Fritzbox 3390. Si por terco y buscándome problemas. Me gustaría usar un A.P. detrás de una Firewall que no sea la Fritzbox. Una de las razones es que mi hijo me ha prohibido meterme a hacer cambios a la Fritzbox. El usa la red para ser accesible en casa. Tiene un teléfono VoIP y allí cada tanto tiene que hacer un servicio de 24/7 a clientes de la empresa para la cual trabaja.

Según entiendo es buena práctica tener un LAN hacia el WAN, en mi caso la Fritzbox. Un segundo LAN para la red de mi taller. Tengo la placa madre de la versión P6T WS (Workstation) como inventorio, en mi PC la ASUS 6PT SE. Reemplazando las placas madre mi PC tendría esos 2 LAN de 1GBit cada uno. De memoria de trabajo tengo 18 GBytes lo que me permite asignar generosamente memoria a las VMs.

Lo que me falta es un A.P. WLAN. Si me consiguiera uno, existen especificaciones fuera de la velocidad del WAN que fueran de ventaja? Puedes nombrarme algun A.P. para poder estudiar su hoja de datos!

Entonces instalaría el pfSense en el W10Pro que es ejecutado como Host os y le asignaría 3 subredes:

La primera el LAN que va al Fritzbox, WAN.
La segunda el LAN para la red de mi taller.
La tercera seria el A.P. al WLAN.

Así mis placas Raspi con WLAN accederán el A.P. con 2 opciones:
1. A la red interna, trustedzone
2. Al WAN, fuente de peligros

Por otro lado mi PC accedería a las placas Raspi por el A.P. del PC
y mi PC accede el WAN.

No es necesario en ese caso la funcionalidad de "router" o "switch" del pfSense para controlar esos flujos de comunicación?
 
Así a la rápida pues me voy a dormir. Son después de la medianoche. Tengo el Fritzbox 3390. Si por terco y buscándome problemas. Me gustaría usar un A.P. detrás de una Firewall que no sea la Fritzbox. Una de las razones es que mi hijo me ha prohibido meterme a hacer cambios a la Fritzbox. El usa la red para ser accesible en casa. Tiene un teléfono VoIP y allí cada tanto tiene que hacer un servicio de 24/7 a clientes de la empresa para la cual trabaja.
Descargué el manual del Fritzbox (que adjunto para que verifiques si es ese o nó), y en principio, ya tiene un firewall stateful ya preparado y activado para proteger la red interna, tanto LAN con WLAN. Así que, a menos que hayan desactivado algo en particular, tu red ya está completamente protegida y habría que analizar en detalle que fué lo que le sucedió a tu PC cuando fué comprometida desde Internet.
Este firewall no puede desactivarse y solo pueden "abrirse huecos" para máquinas específicas en puertos específicos. En el manual dan las indicaciones para hacerlo-->Seccion 11.2 - pag.67

El primer ensayo que vamos a hacer es analizar "que se vé" desde afuera de tu red, y para eso vas a ir acá: https://www.grc.com/x/ne.dll?bh0bkyd2 que es Gibson Research Corporation y vas a utilizar la aplicación Shields-Up para que escanee la cara WAN de tu FritzBox. Para eso le das click a Proceed y luego elegís All Services Ports, esperás a que termine el scan y subís la imagen que te dió. Si aparece alguna dirección IP, borrala para minimizar riesgos, pero copiá la imagen verde con los puertos. Te va a dar algo como esto:

estado-puertos.png

No te preocupés si te aparece el "Failed", aunque no debería aparecer, por que mientras no aparezca algo en rojo, estamos razonablemente bien. Esta no es un prueba completa del todo el rango, pero al menos da indicios del estado de nuestra red "hacia afuera". Luego la podemos profundizar.

Según entiendo es buena práctica tener un LAN hacia el WAN, en mi caso la Fritzbox. Un segundo LAN para la red de mi taller. Tengo la placa madre de la versión P6T WS (Workstation) como inventorio, en mi PC la ASUS 6PT SE. Reemplazando las placas madre mi PC tendría esos 2 LAN de 1GBit cada uno. De memoria de trabajo tengo 18 GBytes lo que me permite asignar generosamente memoria a las VMs.
Dependiendo del resultado de arriba, veremos si necesitás un firewall o nó, por que así como está la cosa, meter un firewall sin reconfigurar el FritzBox es probable que te traiga algunos problemas... o nó.

Lo que me falta es un A.P. WLAN. Si me consiguiera uno, existen especificaciones fuera de la velocidad del WAN que fueran de ventaja? Puedes nombrarme algun A.P. para poder estudiar su hoja de datos!
Vos tenes varios dispositivos de la serie FritzBox que pueden servirte sin problemas. Incluso el modelo 3390 permite hacerlo: Seccion 12 --> pág. 80 y Seccion 7.4 --> pag: 38

Entonces instalaría el pfSense en el W10Pro que es ejecutado como Host os y le asignaría 3 subredes:

La primera el LAN que va al Fritzbox, WAN.
La segunda el LAN para la red de mi taller.
La tercera seria el A.P. al WLAN.

Así mis placas Raspi con WLAN accederán el A.P. con 2 opciones:
1. A la red interna, trustedzone
2. Al WAN, fuente de peligros

Por otro lado mi PC accedería a las placas Raspi por el A.P. del PC
y mi PC accede el WAN.
Me parece que estás intentando hacer demasiado lío con las redes antes de definir la necesidad. Tal vez sea necesario, dependiendo de que quieres hacer, establecer una tercera red como DMZ, y eso lo maneja y gestiona el firewall, pero en pfSense es un poco de lío configurar los accesos. Esperá un poco hasta que sepamos bien.

No es necesario en ese caso la funcionalidad de "router" o "switch" del pfSense para controlar esos flujos de comunicación?
El pfSense es un router, así que no te hagás problema, pero el switch tenes que comprarlo vos ;).
 

Adjuntos

  • fritzbox-3390_man_en_GB.pdf
    2.4 MB · Visitas: 1
Respondo después de haber hecho lo que recomiendas! Mi hijo, que me ha prohibido meterme con la Fritzbox no vuelve hasta el domingo. Repito mis gracias por tu apoyo. Hellmut
 
Aquí la Imagen:

35383012392_6a74ff8ede_o.png


También he estado haciendo una primera investigación de los servicios ofrecidos por mi os, Windows 10 Pro. este aparentemente ha sido capaz de crear un "A.P." inalámbrico basado en el WiFi módulo que tengo en una de mis interfaces USB.

Pero lo he puesto en estado inactivo para que no me vaya a abrir alguna brecha para invasores.

También le he dado un primer vistazo a la Firewall de Windows 10 Pro. Mis problemas de salud me requieren darme el tiempo de digerir información que voy recibiendo y el informarme de los servicios de Windows 10 pro en materia de "Proxis", "Firewall" y "A.P." y combinándolo con los puentes virtuales que W10Pro me auto-configuró al instalar W10Pro en la VM, lo mismo después de instalar Docker en W10Pro en el host la VM "MobyLinuxVM"!

Adicionalmente le he dado un vistazo a mi libros "Cookbook de pfSense". Lo que quiero hacer ahora es crear un gráfico que represente el entorno de mi taller. Definitivamente todo lo que haga sera detrás de la Fritzbox para corresponder con lo que mi hijo me indicado. Por cierto, el manual que pusiste como adjunto es de la Fritzbox que estoy utilizando!

Si interpreto correctamente el gráfico refleja lo que es mi entorno antes de conectar placas Raspi por WiFi al Fritzbox y crear entradas DNS en un proveedor gratuito. Mi PC no presentó problemas relacionados a atacantes desde el Internet antes. la imagen indica que el entorno esta seguro, pero no invisible por responder al intento de acceso del "test"! Como escribe el sitio, un atacante solo sabe que detrás de la IP existe algo, sin saber qué!

También investigué el enlace que presenta 3 passwords. El problema con tales passwords es que requiere de algún servicio que lo grabe para no tener que entrar lo manualmente!
 
Última edición:
Que rara esa secuencia de parejas de puertos en estado "closed". Entendería que hubieran algunos pocos puertos en closed, pero no todos los del tipo xx5-xx6 ó xx8-xx9 expuestos y en parejas :confused: :confused: :confused:.
No es que pase algo así como está, pero no se que diablos hace el firewall para exponer esos puertos que deberían estar en "stealth". Acá menciona algo... pero no mucho y no explica el porqué...
En fin, aparentemente la protección que tenés es "razonable", aunque mejorable, pero para eso hay que hacer cambios relativamente importantes.
Que sigue? y... hay que hacer lo siguiente:
1- Repetir la prueba desde un dispositivo wireless ==> debería aparecer el mismo estado.
2- Dibujar las cosas que querés conectar y decir que esperás de esas conexiones.
3- Analizar el tema de la DMZ y como implementarla en el Fritzbox 3390, y eso está en el manual.

Con eso ya estudiado, vemos de lograr cubrir tus necesidades.

PD: No quiero resultar "molesto", pero la seguridad de redes es un tema complejo y la unica forma de encararlo es mediante un esquema de seguridad estratificado (en capas), que van agregando crecientes dificultades a los posibles atacantes (es fácil.. pensalo como una cebolla). Una vez asegurada la red, hay que ver que pasa con los sistemas operativos y aplicaciones en general... de los dispositivos IoT.
 
Última edición:
Así, siguiendo tu muy aceptado procedimiento, activaré una placa Raspi, la cual conectaré, o al menos eso intentaré, conectarla al A.P. inalámbrico que he creado usando los servicios de W10Pro. me tomará algún tiempo, pues no lo he activado desde cuando mi PC con W7 Ultimate fue rendido inoerable.

Otra pregunta:

Como hago portales en W10ro invisiblesß "stealth"? Es por curiosidad, pues primero iré procediendo de acuerdo a tus recomendaciones. Mil gracias por apoyarme de forma tan competente!
 
Como hago portales en W10ro invisiblesß "stealth"? Es por curiosidad, pues primero iré procediendo de acuerdo a tus recomendaciones.
La idea del "stealth" es que los paquetes recibidos en esos puertos - literalmente - se pierdan sin intentar establecer la conexión... es como si nunca hubieras intentado conectarte. Por eso, el modo "stealth" se maneja a nivel de paquetes TCP y UDP, así que gestionarlos es responsabilidad del firewall... pero yo no sé como funciona el firewall de Windows10.
 
Gracias por tu inmediata contestación. Por ahora mi obligación ante ti y para lograr mis objetivos también ante mi, es empezar a crear el gráfico de la estructura que deseo. Sigo orientándome por lo que mis 2 libros sobre pfSense me describen de las múltiples funcionalidades que esa software es capaz de implementar. No tengo recurso donde esto sea presentado tanto de forma breve, en el libro del "Cookbook..." y en detalle del libro "Mastering pfSense". Intencionalmente pongo el foco en comprender lo que existe, pero sin decidirme por pfSense en este momento.
 
Última edición:
Atrás
Arriba