OpenBSD en Mythic beasts
Por (alias tetra) el 28 de Septiembre de 2023
Mythic beasts es un proveedor de hosting y dominios con sede en Reino Unido que destaca por su apoyo en la implementación de IPv6, siendo de los pocos proveedores que dan una subred enrutada con sus servidores virtuales de forma que puedes conseguir conectividad IPv6 sin NAT.
Características
- OpenBSD no soportado oficialmente aunque listan la ISO para su instalación
- Cada VPS viene con una subred IPv6 /64 y opcionalmente una IPv4 pagando un extra
- Adicionalmente asignan una subred enrutada /48 al VPS contactando con soporte
- DNS reverso configurable desde sus servidores DNS o delegando la zona en los tuyos
- Centros de datos en EE.UU., Holanda y Reino Unido
Servidor DNS caché privado con bloqueo de anuncios y DNSSEC
Por (alias tetra) el 25 de Septiembre de 2023
Voy a configurar mi propio servidor de DNS caché para no tener que utilizar los DNS de mi ISP ni ningún servicio de DNS público, con validación DNSSEC y bloqueo de anuncios y malware.
Usar un servidor remoto tiene algunas ventajas:
- El servidor puede estar alojado en un país con mayor respeto a la privacidad
- Ahorro de recursos si usas un EdgeRouter Lite y vas a usar unbound-adblock
- El servidor remoto guarda las consultas que no han expirado aunque apagues el router
Como obtener de forma segura las huellas SSH de un servidor con registros SSHFP
Por (alias tetra) el 24 de Septiembre de 2023
El RFC 4255 define un método de verificar las llaves SSH de un host usando DNSSEC. consiste en publicar en el DNS las huellas SSH del servidor de forma que al usar la opción VerifyHostKeyDNS con ssh(1) se comprueba la autenticidad del mismo gracias a DNSSEC.
Conectividad IPv6 con una subred /56 y un túnel WireGuard
Por (alias tetra) el 22 de Septiembre de 2023
A partir de una conexión IPv4, un router y un servidor OpenBSD al que va enrutada una subred IPv6 /56 voy a conseguir conectividad IPv6 en la red de casa sin necesidad de NAT66.
Estos artículos me han sido muy útiles para hacerlo funcionar:
Como enviar las huellas SSH con netcat
Por (alias tetra) el 20 de Septiembre de 2023
Cuando conectas por primera vez a un servidor con OpenSSH se muestra una huella y pregunta si confías en ella o no. Salvo que la hayas guardado previamente o actives la verificación por DNS con la opción VerifyHostKeyDNS no sabes si estás conectando con el servidor original o con un intermediario.
La solución más común consiste en enviar al proveedor de hosting tu clave pública SSH de forma que al crear una instancia ésta viene con dicha clave pública incorporada con lo que la conexión es segura. El problema está cuando haces una instalación personalizada.
Tengo estos dos hosts:
- foo.example.com es el host desde el que inicio la conexión SSH
- bar.example.com es un servidor con OpenBSD recién instalado
Delegación de zona DNS para red local usando un dominio real con DNSSEC
Por (alias tetra) el 16 de Septiembre de 2023
Este es un método alternativo al uso del dominio home.arpa., delegando una zona de un dominio real (en este caso example.net) al router, de forma que ésta no se resuelva desde el exterior. Tiene la ventaja de ser compatible con todo tipo de dispositivos y DNSSEC.
Estoy usando OpenBSD 7.3 y los siguientes servidores:
Redundancia web con DNS Round Robin
Por (alias tetra) el 11 de Septiembre de 2023
El algoritmo Happy Eyeballs definido en el RFC 6555 propone dar preferencia a las direcciones IPv6, y en caso de que la conexión no se establezca rápidamente se conecte usando IPv4. Happy Eyeballs 2 (RFC 8305) es una actualización que añade nuevas funcionalidades para reducir la latencia usando múltiples conexiones de forma asíncrona.
Usaré dos servidores web con OpenBSD:
- El servidor A genera los certificados tiene las IPs 203.0.113.100 y 2001:0db8:0:cd30::100
- El servidor B sirve los mismos archivos y tiene las IPs 203.0.113.200 y 2001:0db8:0:cd30::200
Voy a mantener una copia exacta de los mismos archivos a servir tanto en A como en B. El servidor A se encargará de renovar los certificados Let's Encrypt por lo cual todas las consultas web que realiza acme.client(1) serán enviadas a éste.
traffic-advice con OpenBSD httpd
Por (alias tetra) el 2 de Septiembre de 2023
Private Prefetch Proxy es un desarrollo de Google para
facilitar la navegación instantánea y transiciones de página fluidas en navegadores Chrome y derivados.
Para configurarlo en un sitio web hay que darle acceso al navegador al fichero /.well-known/traffic-advice servido con el tipo MIME application/trafficadvice+json.
Ofuscación de la cadencia de tecleo en ssh
Por (alias tetra) el 30 de Agosto de 2023
Tal y como informa undeadly.org y de acuerdo a este commit de Damiel Miller, desde hace un par de días la versión de ssh de la rama -current de OpenBSD ofusca la cadencia de tecleo enviando tráfico interactivo a intervalos fijos, siendo por el valor por defecto cada 20ms. También envía pulsaciones basura por un intervalo aleatorio después de cada última pulsación real.
Servidor bastión con OpenSSH
Por (alias tetra) el 23 de Agosto de 2023
Un servidor bastión hace de pasarela para conectar a otro servidor. También es posible administrar dispositivos inseguros de una red interna desde el exterior de forma segura permitiendo acceso exterior solamente a ese servidor desde el cual se administran lo demás.