¿Qué son un dominio, un CMS, y un hosting y por qué los necesito?

Da igual si eres un estudiante, un asalariado, profesional o empresa. Sabes que una página web es un escaparate que permite definir la forma en que te ve el resto del  mundo. Una página web es tu perfil de linkedin, instagram, pinterest o facebook, o un blog en google.

¿Qué es cada cosa?

Pero, la cuestión es que estos servicios gratuitos son, en realidad, fichas predefinidas de usuarios, con un patrón y formato establecido y no siempre encajan en cómo quieres mostrar tu información. Además, no accedes con un nombre que te identifique plenamente como “MIwebdeFotografiacreativa.com” o “Miblogderecetasymanualidades.es” y tampoco puedes tener un correo propio como “yo@artesanosdelfrioydelcalor.info”. Por esta razón es muy recomendable que registres un nombre de dominio, que será tu dirección en internet, y permite que tu información, productos y/o servicios sean accesibles en todo el mundo a través de cualquier navegador con el nombre elegido. El registro de nombres de dominio .com, .org y .net no está sometido a comprobación alguna y se asignan por orden de solicitud. Los dominios .es requieren de una verificación de su propietario mediante su DNI o NIF y tienen mayor credibilidad.

Un CMS (Sistema de gestión de contenidos) es una herramienta que te permite desarrollar y mantener una página web de forma muy sencilla. Los más conocidos, que además son de licencia pública general (GPL) y con mayor soporte son WordPress, Joomla! y Drupal. Cuentan con abundantes extensiones y plantillas que permiten integrar módulos de terceros fácilmente. Otros cms más especializados (foros, comercio electrónico, anuncios clasificados, etc) también están disponibles para descarga gratuita desde sus webs respectivas.

Por último, necesitamos conocer dónde se guarda todo para que esté accesible en internet: el hosting o alojamiento. Un alojamiento se puede contratar a un ISP (proveedor de servicios de Internet) que generalmente ofrecen planes en función del espacio que se necesite. No se trata de otra cosa que un espacio en un disco duro de un servidor conectado a internet, y con rendimiento y medidas de seguridad contrastables. A partir de ahí, el precio varia también en función de los servicios adicionales que se quieran contratar (cuentas de correo, cuota de tráfico, bases de datos, soporte, etc).

Un ejemplo.

Una vez que sabemos qué son un nombre de dominio, un gestor de contenidos (CMS) o página web prediseñada, y un alojamiento o hosting, podemos compararlo todo con una caja de almacenaje. La etiqueta de la caja, donde pone una pequeña referencia del contenido, equivaldría al “nombre de dominio”. La propia estructura de la caja donde meter las cosas, sería el “ajolamiento”, y el contenido de la caja, como recortes de periódicos, fotos, revistas, libros, etc, sería la “página web, o el cms”.

¿Cómo contratarlo?

Cada uno de estos tres elementos se puede contratar por separado a distintos proveedores. Un nombre de dominio oscila entre 8 y 15 euros/año; un alojamiento básico entre 35 y 60 euros/año y suele incluir varios cms o editores sencillos de página web, que el usuario puede configurar. También es muy común encontrar todo junto en un “plan de hosting” por menos de 40 euros/año y la posibilidad de que te instalen y configuren tu cms para empezar a llenarlo de contenidos interesantes.

Algunos de los proveedores más reconocidos en España son:

Webempresa.com

Evidaliahost.com

Hostalia.com

Dinahosting.com

Si te interesa tener tu propia web y no sabes por dónde empezar, puedo ayudarte. Contáctame y empezamos.

La importancia de la encriptación en tu red wifi

Hace meses compré un modem wifi chino con miniparabólica con una ganacia de 24 dBi, que me permitirse detectar redes a varios cientos de metros. Aunque alguien pueda estar pensando mal, era sólo para llegar a la red libre del ayuntamiento desde la casa del pueblo. Lo que me inquietó de la compra, es que al abrir la caja, venía un live CD linux con una distro exclusivamente destinada a hackear redes. (algunos fabricantes no tienen pudor J)

Como habia pagado 30 dólares, y la parabólica me detectaba unas veinte redes en cada dirección (antes sólo veia tres o cuatro), no resistí la tentación y  probé el cd .Tras un tiempo para recolectar datos, uno 20.000 "paquetes" para el este método y 40.000 para claves en 128bit, se busca la clave en los datos recogidos en los archivos output.cap, Mirando en airodump-ng había una aceptable tasa de transferencia de 392/s, es decir unos 300kb/s de datos cada hora!. Con 1.000.000  de paquetes estamos en condiciones de seguir el ataque y tras pocas horas tenía la clave de la primera red y me conectaba sin problemas.

       Sin entrar en consideraciones éticas y legales, el simple hecho de imaginar que cualquier vecino pudiese ver mi navegación, servidores, cuentas, etc, me bastó para cerrar la conexión y guardar el cd.

Analicemos a continuación el contenido de mi cd y otros similares:

WifiSlax y Airoscript (Muy sencillo pero cuesta más tiempo)
Aircrack (Más rápido. Es necesario tener Linux instalado)
Aircrack + BackTrack (LiveCD)

El metodo que tienen estos programa para descubrir las contraseñas es muy sencillo: Intercepta y guarda muchisimos paquetes codificados del router que se desea atacar y a partir de estos va decodificando los datos. Como las claves WEP son bastante menos seguras, será más facil decodificarlas que las WAP.

Si queremos comprobar la vulnerabilidad de nuestra red, una vez abierto uno de estos programas, es necesario escanear las redes del entorno. Podemos escanear todos los canales o escoger solo unos canales especificos. Después  aparecerá una lista con los puntos de acceso a los que podemos atacar (solo podemos atacar las redes a las que haya alguien conectado), después elegimos nuestro objetivo.

Lo que más tiempo cuesta es el ataque, ya que debe leer entre 200.000 y 1.000.000 paquetes. El tiempo que le cueste (varias horas) dependerá de la tarjeta inalambrica que tengamos, el tipo de ataque que hayamos escogido y el router que estemos atacando. .Mas o menos con un millon de paquetes es suficiente para una llave de 128 bits (104 bits reales) para una de 64 , la mitad ,

Gracias a las técnicas de Packet Injection, se puede simular tráfico forzando al punto de acceso a responder y generando así el tráfico que hace falta para obtener la clave WEP.En resumidas cuentas el WEP no es seguro.

MAC Spoofing:

 Con programas como macchanger para linux, es cuestión de 1 segundo cambiarse la MAC y ponerse otra. Con los programas de sniff que identificabamos anteriormente se puede determinar las direcciones MAC de los puntos de Acceso así como las direcciones MAC de los clientes de la red que se encuentran asociado a dichos puntos de acceso. Esas direcciones MAC están permitidas en el AP para que puedan navegar. Tan sólo es necesario cambiarnos la dirección MAC para ganar acceso y saltarse la protección.  Los sistemas de cifrado cada vez más avanzados y algo más seguros, no van implementados en todos los hardwares porque en muchos casos depende del firmware de los dispositivos, pero lo que sí que es cierto es que WPA lo soportan casi todos.

Con WPA el sistema de acceso se torna un poco más complejo, no sólo pudiendo utilizar una frase considerablemente larga como clave, sino que además se fuerza una reconfirmación de la clave durante el tiempo de conexión para garantizar así la autenticidad del cliente, evitando asi que un cliente sin autenticar pueda estar en nuestra red como intruso.

Probablemente tampoco es un método definitivo pero el WPA para ser crackeado normalmente se apoya en la fuerza bruta para intentar determinar la password a partir de diccionarios y demás, lo que nos permite utilizar una frase de cifrado que no sea una palabra del diccionario que evite así ser encontrada con cierta facilidad.

Para tener máxima seguridad en la red, en conveniente usar contraseñas largas, con 64 caracteres y la encriptación WPA2 de 128bits. Las claves WPA2 son muy robustas y prácticamente inviolables. Por eso es muy recomendable utilizar esa encriptación para mayor seguridad.