Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET
Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1015
)
- ► septiembre (Total: 50 )
-
▼
abril
(Total:
123
)
-
Reino Unido prohíbe vender dispositivos inteligent...
-
Infostealers: malware que roba información
-
Vulnerabilidades Zero-Day en firewalls Cisco ASA
-
Volkswagen hackeada: roban 19.000 documentos del s...
-
Vulnerabilidad grave en GNU C Library (glibc) de 2...
-
TikTok dejará de pagar a sus usuarios para evitar ...
-
Windows 11 empieza a mostrar anuncios en el menú d...
-
El malware RedLine Stealer abusa de repos de Githu...
-
¿Qué es el eSIM swapping?
-
Ransomware en México
-
Crean un perro robot con lanzallamas
-
PartedMagic, Rescatux, SystemRescueCD, distros Lin...
-
TikTok podrá clonar tu voz con inteligencia artifi...
-
Ex director de ciber política de la Casa Blanca ta...
-
Nuevo Chromecast 4K con Google TV
-
Europa abre una investigación contra TikTok por su...
-
El senado de Estados Unidos vota contra TikTok, so...
-
El fabricante de tu móvil estará obligado a arregl...
-
Procesadores de Intel Core i9 13-14th pierden hast...
-
Vulnerabilidad crítica en VirtualBox para Windows
-
Estados Unidos ha librado una batalla aérea simula...
-
La Policía Europea (Europol) quiere eliminar el ci...
-
Bruselas amenaza con suspender la nueva versión de...
-
La Audiencia Nacional de España niega a EEUU una e...
-
Desarrollan en Japón inteligencia artificial que p...
-
¿Cómo se cuelan las aplicaciones maliciosas en la ...
-
Telefónica cierra todas sus centrales de cobre y E...
-
Configurar correo electrónico aún más seguro con A...
-
Samsung aumenta la jornada laboral a 6 días para “...
-
LaLiga pide imputar a directivos de Apple, Google ...
-
Windows 11 le daría la espalda a Intel y AMD con s...
-
Desmantelada la plataforma de phishing LabHost
-
Microsoft Office 2016 y 2019 sin soporte a partir ...
-
Blackmagic Camera, la app para Android para grabar...
-
Apple permite instalar aplicaciones para iOS como ...
-
Filtrados casi 6 millones de archivos con fotos de...
-
Versión con malware de Notepad++
-
PuTTY corrige una vulnerabilida en el uso de clave...
-
54 mil millones de cookies robadas
-
Cómo detectar la autenticidad de fotografías y vídeos
-
CISA presenta su sistema de análisis de malware
-
Un ciberataque deja al descubierto los datos perso...
-
La única persona que se conecta a Steam en la Antá...
-
DiskMantler: así es «el destructor de discos duros...
-
¿Qué es el PPPoE (Protocolo Punto a Punto over Eth...
-
¿Qué es POE? ¿Cuáles son las diferencias entre POE...
-
IPsec Passthrough y VPN Passthrough
-
La gran pregunta del mundo del gaming: ¿Los juegos...
-
Cómo cambiar el puerto por defecto 3389 de RDP
-
Inteligencia artificial Grok usa protocolo Torrent...
-
Cómo instalar programas o reinstalar Windows con W...
-
Intel descataloga por sorpresa los chips Core de 1...
-
El fabricante de accesorios Targus interrumpe sus ...
-
Filtran base con datos personales de 5.1 millones ...
-
Hollywood carga contra la piratería y propone una ...
-
Google Fotos revela que el Borrador Mágico será un...
-
Empleado de Microsoft expone un servidor sin contr...
-
Cómo configurar un proxy o VPN para Telegram
-
Sierra Space quiere entregar suministros bélicos d...
-
El PSG reconoce un ciberataque contra su sistema d...
-
Descubiertas varias vulnerabilidades de seguridad ...
-
P4x: el hacker justiciero que tumbó internet en Co...
-
Amazon consigue cerrar un canal de Telegram que pr...
-
Elon Musk cree que la IA superará a la inteligenci...
-
Ciberdelincuentes chinos usan la IA generativa par...
-
Estos son todos los datos que recopila ChatGPT cad...
-
Ofrecen 30 millones de dólares por encontrar explo...
-
Se busca director para la Agencia Española de Supe...
-
Find My Device de Android permite "Encontrar mi di...
-
Google resenta Axion, su primer procesador basado ...
-
A la venta por 10.000$ base de datos con de 39,8 m...
-
Despedido el CEO de la productora de 'Got Talent' ...
-
Spotify presenta AI Playlist: crea listas de repro...
-
Elon Musk contra un juez de Brasil por el bloqueo ...
-
OpenAI usó videos robados de YouTube para entrenar...
-
Apple firma con Shutterstock un acuerdo de entre 2...
-
MTA-STS: Strict Transport Security
-
Si coges el metro en San Francisco, es gracias a u...
-
La app de control parental KidSecurity expone dato...
-
Stability AI en crisis tras incumplir pagos a prov...
-
Tu número de móvil podría valer 14.000 euros: así ...
-
Vulnerabilidad crítica de Magento permite robar da...
-
Los atacantes que hackearon el Consorcio Regional ...
-
Cómo se forjó el backdoor en xz (librería Linux)
-
Cómo saber cuándo pasará el coche de Google Street...
-
Dos hermanos se han hecho millonarios desarrolland...
-
El Gobierno de España encarga a IBM crear un model...
-
Google tiene la solución al gran problema del JPEG...
-
Twitter regala verificaciones azules a cuentas que...
-
La trampa de los cursos para aprender a programar ...
-
Android 15 permitirá tener un espacio privado para...
-
Google limitará los bloqueadores de anuncios en Ch...
-
Microsoft bloqueará las actualizaciones de Windows...
-
YouTube lanza una advertencia a OpenAI: usar sus v...
-
Patente busca inyectar anuncios por HDMI cuando ju...
-
Apple, cerca de sufrir escasez de chips por culpa ...
-
La Guardia Civil detiene a un pasajero que extravi...
-
Un estado alemán se aleja de Microsoft y usará Lin...
-
Todo lo que necesitas saber sobre las VLANs en redes
-
Documentos judiciales revelan que Facebook permiti...
-
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d... -
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de... -
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Configurar correo electrónico aún más seguro con ARC y DANE
Una vez configurados correctamente los clásicos SPF, DMARC y DKIM podemos añadir una nivel extra de seguridad con ARC y DANE.
Autenticación de correo electrónico de ARC
- Authenticated Received Chain (ARC)
- Conserva los resultados de la autenticación de correo de los mensajes reenviados
La cadena recibida autenticada (ARC) es un estándar de correo que verifica la autenticación de correo de los mensajes que se han reenviado al destinatario final. La ARC reduce las posibilidades de que los mensajes reenviados no superen la autenticación de correo.
Los encabezados de los correos electrónicos y el contenido de los mensajes se modifican durante el reenvío de correos electrónicos, por lo que SPF y DKIM fallan en el correo electrónico como resultado de una verificación fallida. Cuando el MTA de reenvío aplica ARC para el correo electrónico, se aplican tres encabezados ARC adicionales al correo electrónico, así como los datos de autenticación SPF y DKIM del mensaje original. Los tres nuevos encabezados son los siguientes:
- AAR (ARC-Autenticación-Resultados)
- AS (sello ARC)
- AMS (ARC-Mensaje-Firma)
Durante la verificación DMARC, el protocolo toma en consideración los encabezados ARC que hacen referencia a la información de autenticación del mensaje original para verificar la legitimidad del mensaje, anulando los cambios realizados por cualquier servidor intermediario. En caso de que el mensaje reenviado sea legítimo, DMARC pasa por él.
A veces, el reenvío de mensajes puede cambiar el contenido de los mensajes reenviados. Si se modifica el contenido de los mensajes reenviados, los mensajes legítimos pueden no superar el proceso de autenticación. La ARC ayuda a evitar que esto ocurra al hacer lo siguiente:
- Conservar los resultados de autenticación anteriores para los mensajes reenviados
- Verificar los servidores de reenvío
- Añadir encabezados a los mensajes para indicar el estado de autenticación de los mensajes
Hay tres encabezados de mensajes de ARC:
- Encabezado de resultados de autenticación de ARC: indica el estado de la autenticación de los mensajes.
- Encabezado de firma de mensajes de ARC: se trata de una vista general de la información de encabezado del mensaje original, que se añade a los mensajes reenviados. En este encabezado se incluyen los encabezados originales del mensaje (Para, De y Asunto) y el cuerpo del mensaje original.
- Encabezado de sello de ARC: abarca los resultados de autenticación y de firma de ARC, que se añaden a los mensajes reenviados. Este encabezado incluye una etiqueta de validación de cadena: cv=. Esta etiqueta tiene uno de los siguientes valores, que indican los resultados de evaluación de la cadena de ARC: none, fail o pass.
La ARC no evalúa ni proporciona información sobre la reputación del remitente ni del reenviador. La ARC no puede evitar que los servidores de reenvío añadan contenido dañino a los mensajes ni que eliminen los encabezados de ARC de los mensajes.
- Google recomienda agregar encabezados ARC a los correos electrónicos salientes
- Gmail empezó a quejarse de los mensajes reenviados no pasan la validación ARC.
Los remitentes de Google deben implementar ARC si:
- Reenvían correos electrónicos de forma regular o frecuente.
- Usan listas de correo
- Usan puertas de enlace de entrada
Google explica que han optado por incluir ARC como parte de sus últimas pautas para remitentes, ya que los encabezados de ARC podrían identificar mensajes como «reenviados» en lugar de no autorizados, así como reconocer la dirección o dominio de reenvío original.
ARC comprueba el estado de autenticación anterior de los mensajes reenviados. Si un mensaje reenviado supera la autenticación SPF o DKIM, pero ARC muestra que anteriormente no superó la autenticación, Gmail trata el mensaje como no autenticado.
Recomendamos a los remitentes que utilicen la autenticación ARC, especialmente si reenvían correo electrónico con regularidad. Más información sobre la autenticación ARC.
Podemos utilizar OpenARC para implementar ARC en nuestro MTA.
DANE (DNS-Based Authentication of Name Entities)
- Autenticación basada en DNS SMTP de entidades con nombre
DANE (autenticación basada en DNS de entidades con nombre) es una opción segura para el transporte de correo. El DANE utiliza la infraestructura DNSSEC y trabaja con registros TLSA para autenticar la identidad de los servidores destinatarios. Al establecer un canal seguro entre el remitente y el destinatario, el DANE evita que los correos electrónicos sean interceptados en tránsito o lleguen a manos equivocadas.
DANE para SMTP RFC 7672 usa la presencia de un registro de autenticación de seguridad de la capa de transporte (TLSA) en el conjunto de registros DNS de un dominio para indicar un dominio y sus servidores de correo admiten DANE. Si no hay ningún registro TLSA presente, la resolución DNS para el flujo de correo funcionará como de costumbre sin que se intente realizar ninguna comprobación dane. El registro TLSA indica de forma segura la compatibilidad con TLS y publica la directiva DANE para el dominio.
Domain-based Authentication of Named Entities (DANE) es una norma más reciente que permite publicar información sobre certificados en DNS con registros TLSA. De este modo, un remitente puede verificar el certificado del servidor de correo electrónico receptor basándose en la información del registro TLSA. Esto también indica que el receptor admite el cifrado antes de iniciar una conexión STARTTLS. Para garantizar la validez de la información del certificado, DANE sólo funciona en combinación con DNSSEC.
Al enviar correos electrónicos, su servidor de correo no admite DANE.
¿Cuáles son los componentes de DANE?
Registro de recursos TLSA
El registro de autenticación TLS (TLSA) se usa para asociar el certificado X.509 o el valor de clave pública de un servidor con el nombre de dominio que contiene el registro. Los registros TLSA solo pueden ser de confianza si DNSSEC está habilitado en el dominio. Si usa un proveedor de DNS para hospedar el dominio, dnssec puede ser una configuración que se ofrece al configurar un dominio con ellos.
Implementar registros TLSA
Registro tipo TLSA de ejemplo:
_25._tcp.ns2.elhacker.net
_[port]._[protocol].[domain]
Puerto 25, TCP, MX ns2.elhacker.net
DANE utiliza el registro de recursos DNS "TLSA", que se especifica en rfc6698. Un registro TLSA contiene información sobre un certificado x.509 que cabe esperar del servicio al que se está conectando (como servicios web HTTPS o servicios SMTP).
Hay 4 valores:
- Usage
- Selector
- Matching
- Certificado Asociado
[usage] [selector] [matching type] [certificate association data]
Por ejemplo:
3 1 1 15fb2335e1ca1eb4013f7389322c6f0a7ebd361b9e841f46a1eed58783c3d06a
Usage
- 0 - PKIX-TA: Certificate Authority Constraint
- 1 - PKIX-EE: Service Certificate Constraint
- 2 - DANE-TA: Trust Anchor Assertion
- 3 - DANE-EE: Domain Issued Certificate
0 El certificado usado es la entidad de certificación pública de anclaje de confianza de la cadena de confianza X.509.
1 El certificado comprobado es el servidor de destino; Las comprobaciones de DNSSEC deben comprobar su autenticidad.
2 Use la clave privada del servidor del árbol X.509 que debe validar un delimitador de confianza en la cadena de confianza. El registro TLSA especifica el delimitador de confianza que se usará para validar los certificados TLS para el dominio.
3 Solo coincide con el certificado del servidor de destino.
Selector
- 0 - Cert: Use full certificate
- 1 - SPKI: Use subject public key
0 Use el certificado completo.
1 Use la clave pública del certificado y el algoritmo con el que se identifica la clave pública que se va a usar.
Matching-Type
- 0 - Full: No Hash
- 1 - SHA-256: SHA-256 hash
- 2 - SHA-512: SHA-512 hash
0 Los datos del registro TSLA son el certificado completo o SPKI.
1 Los datos del registro TSLA son un hash SHA-256 del certificado o spki.
2 Los datos del registro TSLA son un hash SHA-512 del certificado o spki.
Según las instrucciones de implementación de RFC para SMTP DANE, se recomienda un registro TLSA compuesto por el campo Uso de certificado establecido en 3, el campo Selector establecido en 1 y el campo Tipo de coincidencia establecido en 1.
Certificado Asociado
Y el último valor 4 es serial (el valor) del certificado:
# When using selector=0 (Full Certificate) on the certificate:openssl x509 -in certificate.pem -outform DER | sha256sum# When using selector=1 (SubjectPublicKeyInfo) on a certificate:openssl x509 -in certificate.pem -pubkey -noout | openssl rsa -pubin-outform der | sha256sum# When using selector=1 (SubjectPublicKeyInfo) on the private key:openssl rsa -in private.pem -pubout -outform DER | sha256sum# When using selector=1 (SubjectPublicKeyInfo) on the public key:openssl rsa -pubin public.pem -outform DER | sha256sum
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.