Seguridad

Desde la versión 2.4, OpenVPN ha cambiado su sistema de generación de certificados a EasyRSA 3. El sistema para configurarlo es diferente y hoy os explicamos todo el proceso de la instalación y configuración del servidor en Windows. Paso 1: Instalación de OpenVPN. Paso 2: configura la plantilla de certificados. Una vez instalado el programa, abre un terminal con permisos de administrador y ve a C:\Program Files\OpenVPN\easy-rsa Ahora hay que editar, si quieres, el fichero vars.bat con el editor de notas o con el Wordpad. Hay uno de ejemplo, cambia el nombre o cópialo a vars.bat. Es la plantilla que se va a usar para la generación de certificados y debemos poner varios valores. Puedes hacerlo desde terminal escribiendo notepad vars.bat. Tienes que modificar y poner los siguientes valores (los de cursiva son ejemplos, pon los tuyos): Tú decides si quieres cambiar el valor del parámetro Diffie Hellman (no es necesario). set_var EASYRSA_KEY_SIZE 2048 Paso 3. Genera los certificados y llaves del servidor y de los usuarios. En estos pasos, la opción nopass es para que no pregunte la contraseña. En el servidor no conviene ponerla (puedes), en los clientes puedes añadirla si quieres más seguridad…pero también hará que sea menos amigable porque cada vez que haya que firmar te pedirá la clave. Tú decides. Si quieres clave no pongas nopass. Primero generamos la entidad certificadora. Te va a preguntar el nombre de tu servidor. Esto crea dos ficheros: Ahora creamos el certificado y la llave del servidor. Ahora puedes generar las claves de los clientes. Client1 lo debes sustituir por el CN de tus usuarios (yo uso sus nombres de usuario). NOTA: si luego queremos volver, otro día, a ejecutar este comando para generar los certificados de cliente, recuerda que tenemos que ejecutar el EasyRSA-Start.bat para entrar en el shell de RSA. Genera los parámetros Diffie Hellman: Este último paso es opcional, pero aumenta la seguridad. Generamos una clave TLS (fichero que debe tener tanto el servidor como los clientes). Ejecútalo en el directorio /bin de openvpn y te crea ahí el fichero. Paso 4. Obtención de ficheros. Con los pasos anteriores se han generado los siguientes ficheros que necesitaremos (rutas desde easy-rsa): Paso 5. Configuración final del servidor. Esta última parte es exactamente igual que la Configuración final del servidor de la versión anterior que podéis ver aquí (ten en cuenta que el fichero ahora es dh.pem y no dh2048.pem). Con eso ya estaría la parte del servidor. Inicializa el programa, dale a Connect y mira si se conecta en verde. Nota: si queréis abrir en el firewall tam´bien podéis hacer: Después, podéis seguir esta configuración para los clientes.

Tenemos muchos clientes con alojamientos (hosting) en OVH (el mayor proveedor de servicios cloud de Europa. Y, en ocasiones, tienen problemas con hackers en sus sitios web.OVH dispone de varias herramientas para ayudar en la recuperación de sitios infectados, pero la documentación no es la más completa del mundo. Así que recopilamos algunas de las herramientas que podéis usar si tenéis un hosting con este proveedor. Y, como siempre, nos sirve para futuros clientes. Herramientas para recuperar webs hackeadas en hostings de OVH. Estas son algunas de las herramientas que podéis usar: Activación del firewall de aplicación ModSecurity .ModSecurity es un complemento de Apache que sirve como un firewall para tu página web. Compara las peticiones con una base de datos de ataques, para bloquear los que detecta como nocivos. Es efectivo ante ataques como troyanos, SQL, XSS e email injection, file injections etc, OVH tiene este complemento pero desactivado por defecto. Puedes ver como activarlo aquí: Tienes que ir a tu alojamiento, a la pestaña Información general y ahí al aparado de configuración. En configuración pinchar en los botones de Versión PHP global , y ahí en Cambiar la configuración. Ahí tenéis que activar la opción Firewall de activación.. Después, tienes que activarlo para el dominio. Así que ve a la pestaña Multisitio, pincha en los tres puntos al lado del dominio que quieras, y luego en modificar y después marca la casilla de Activar Firewall. Restauración de las copias de seguridad desde la página de OVH.OVH hace copias de seguridad tanto de base de datos como de ficheros. De varios periodos. Para restaurarlas sólo tienes que hacer lo siguiente: – Base de datos: ve al alojamiento, pestaña de Base de datos, pincha en los tres puntos al lado de tu base de datos, y restaurar copia de seguridad. – Ficheros: ve al alojamiento, pestaña de FTP-SSH, y pincha en Restaurar una copia de seguridad. Restauración de las copias de seguridad por FTP.En ocasiones no puedes restaurar las copias de seguridad desde el backend de OVH. Bien porque ellos hayan bloqueado el hosting, o porque exista algún problema técnico (lo hemos sufrido). Afortunadamente OVH te deja acceder a los Snapshots por FTP, descargarlos y luego poder subirlos. Pero no es fácil encontrar cómo, por eso lo compartimos aquí. – Base de datos. ve al alojamiento, pestaña de Base de datos, pincha en los tres puntos al lado de tu base de datos, Puedes descargar la copia de seguridad a mano. Y luego subirla por phpMyAdmin o similar. Pero seguramente esto no fallará. – FTP: el truco para acceder al snapshot es conectarte con el mismo usuario pero añadiendo el sufijo –snapX donde X es un número de 0 en adelante. Es decir con usuarioftp-snap3 accedes al snapshot del domingo anterior a la 1:00. Puedes descargar el snapshot por FTP, luego conectarte normal al FTP y subir la copia de seguridad. Recuperar un alojamiento desactivad por motivos de seguridad. Cuando OVH detecta malware, bloquea el hosting. Normal. Y para restaurarlo normalmente abres un ticket, pero eso tarda. Lo que no suele saberse es que es posible reactivar el alojamiento por FTP. Para ello, una vez arreglada la infección, entra en la raíz del alojamiento con Filezilla, pincha en Servidor->Introducir comando personalizado y pon: Cambiar los permisos así reactiva el alojamiento. Esperamos que estos trucos os sirvan de ayuda.