oriolrius.cat » Podcast Feed
By Oriol Rius
To listen to an audio podcast, mouse over the title and click Play. Open iTunes to download and subscribe to podcasts.
Podcast Description
talking deeply about linux and networking technologies.
| Name | Description | Released | Price | ||
|---|---|---|---|---|---|
|
1 |
Podcast 2×06: Com funciona Kerberos? autenticació i autorització (AA) | Reading time: 4 – 6 minutes El podcast Notes Estàndard RFC1510 per l’autenticació, destaquen les funcionalitats de: autenticació mutua temps de connexió ràpids (session tickets) delegació (autenticació recursiva entre serveis) Esquemes Simplifiació del funcionament Hi ha 6 tipus de missatges (5 obligatoris + 1 opcional), agrupats en 3 su-protocols: AS (Authentication Service) – es produeix durant el procés de “login” i li permet al client poder demanar un ticket per accedir als recursos (TGT) KRB_AS_REP Client principal name. Timestamp. Kerberos target principle name (realm). Requested lifetime. KRB_AS_REP La primera part va xifrada usant la clau d’usuari, conté: User-TGS key (generated by the KDC). Kerberos target principle name (realm). Ticket lifetime. La segona part és el TGT, va xifrat usant la clau TGS generada pel KDC només els servidor la poden obrir, malgrat això s’enmagatzema en el client i conté: Client principal name. Ticket lifetime. KDC timestamp. User-TGS key (which is not retained by the KDC, but its presence within the TGT means it is available when required). Client IP address (taken from the initial KRB_AS_REQ). TGS (Ticket Granting Service) – a través del TGT el client poy demanar un “service ticket” (ST) necessari per poder accedir a un servei. El TGT té un funcionament semblant al d’un password (expira amb el temps i no requereix password), el ST obtingut seria semblant a un visat d’accés a un país. KRB_TGS_REQ Service principal name. Requested lifetime. TGT (still encrypted with the TGS key). Authenticator (encrypted with the user-TGS key and containing a client timestamp) – The authenticator guarantees that the request originated from the client. KRB_TGS_REP La primera part va xifrada amb la clau TGS de l’usuari (el KDC l’extreu del TGT) i conté: Service principal name. Ticket lifetime. User service key (encrypted with a user-TGS session key, generated by the KDC). Part dos, és el “service ticket” (ST). Xifrat usant la clau del servei TGS. Conté: User service key (encrypted with a user-TGS session key, generated by the KDC). Client principal name. Ticket lifetime. KDC timestamp. Client IP address. Client/Server (AP) Exchange – per accedir a un servei el client envia al servei un KRB_AP_REQ amb el ST obtingut. El servei pot o no contestar la petició, a vegades, el servei directament comença la seva sessió. KRB_AP_REQ ST xifrat amb la clau TGS del servei Authenticator – encrypted with the user service key KRB_AP_REP Característiques ‘Realm‘ es defineix com un domini d’aministració Tots els servidors i participants en les transaccions pertanyen al mateix ‘Realm’ Tots els missatges viatgen xifrats usant un codi simètric (no-PKI) La “user key” es genera a partir del “logon password” La “host key” es genera quan el “host” s’uneix al ‘Realm’ Si un client vol accedir a un servei i no ha fet el TGS pot enviar el TGT en el “AP exchange” i el servei farà la gestió amb el KDC de forma transparent. Important recordar que: només el KDC pot llegir el TGT només el servei pot llegir el ST Glossari d’acrònims KDC: Key Distribution Center AS: Authentication Service TGS: Ticket Granting Service SS: Service Server Referències: Kerberos for the Busy Admin Kerberos authentication explained Understanding Kerberos Double Hop Error coneguts Degut a un error el podcast 2×05 no exiteix. Sento l’error! | 7/27/10 | Free | View In iTunes |
|
2 |
Podcast 2×04: SSH avançat | Reading time: 3 – 5 minutes El podcast Notes sobre el podcast -L: connecta per SSH a un HOST Un cop allà obre una connexió TCP a un altre HOST:PORT i obre un port TCP local que al connectar-hi ens envia al HOST:PORT anteriors, o sigui, portforwarding. -L [bind_address:]port:host:hostport] -W: connecta per SSH a un HOST un cop allà obre una connexió TCP a un altre HOST:PORT i ens retorna a la stdin/stdout el contingut d’aquest darrer enllaç TCP -W host:hostport -R publicar un port: connecta per SSH a un host i un cop allà publica un port TCP, quan un client es connecta a aquest port TCP accedeix per SSH a la màquina que ha llença l’enllaç SSH i obre un altre enllaç TCP a una altre IP:PORT. -R[bind_address:]port:host:hostport -D socks5: connecta per SSH a un HOST i després publica un port SOCKS5/TCP, és a dir, que podem connectar a aquest port local i sortir a internet a través de la IP del HOST on hem connectat per SSH -D [bind_address:]port -w tunel: connecta per SSH a un HOST i el socket que s’ha usat per fer l’enllaç SSH es connecta a dues interficies de tipus TUN, una a cada extrem del socket. Així doncs, si configurem les corresponents IPs a les interficies TUN tenim un tunel/VPN montada entre els extrems. -w local_tun[:remote_tun] HPN-SSH La web de: HPN-SSH -> especialment interessant: Dynamic Windows and None Cipher treballa amb mida de finestra dinàmica treballa sense xifrat quan un enllaç no té terminal associat, sovint usat per pas de fitxers Les proves: Openssh 5.3p1 + hpn-13 (només el patch: Dynamic Windows and None Cipher) després d’aplicar el patch: openssh5.3-dynwindow_noneswitch.diff.gz modifiquem el fitxer: sshconnect2.c linia: 366 - if (!tty_flag) /* no null on tty sessions */ + if (1) /* no null on tty sessions */ així podem fer SSH sense xifrar només després d’haver fet el login. exemple ampla de banada d’un SSH amb xifrat aes128-ctr, usant finestra dinàmica: scp -v -oNoneEnabled=no -oNoneSwitch=yes fitxer root@127.0.0.1:/tmp/ssh o ssh -v -oNoneEnabled=no -oNoneSwitch=yes root@127.0.0.1 "dd if=/dev/zero"|pv > /dev/null velocitat de transferència: 13.7MB/s debug ciphers, una única negociació de ciphers: debug1: AUTH STATE IS 0 debug1: REQUESTED ENC.NAME is 'aes128-ctr' debug1: kex: server->client aes128-ctr hmac-md5 none debug1: REQUESTED ENC.NAME is 'aes128-ctr' debug1: kex: client->server aes128-ctr hmac-md5 none exemple sense xifrat, usant finestra dinàmica: scp -v -oNoneEnabled=yes -oNoneSwitch=yes fitxer root@127.0.0.1:/tmp/ssh o ssh -v -oNoneEnabled=yes -oNoneSwitch=yes root@127.0.0.1 "dd if=/dev/zero"|pv > /dev/null velocitat de transferència: 37.4MB/s abans del pass de login: debug1: AUTH STATE IS 0 debug1: REQUESTED ENC.NAME is 'aes128-ctr' debug1: kex: server->client aes128-ctr hmac-md5 none debug1: REQUESTED ENC.NAME is 'aes128-ctr' debug1: kex: client->server aes128-ctr hmac-md5 none després d’autenticar-se: debug1: AUTH STATE IS 1 debug1: REQUESTED ENC.NAME is 'none' debug1: Requesting NONE. Authflag is 1 debug1: None requested post authentication. debug1: kex: server->client none hmac-md5 none debug1: REQUESTED ENC.NAME is 'none' debug1: Requesting NONE. Authflag is 1 debug1: None requested post authentication. debug1: kex: client->server none hmac-md5 none | 3/12/10 | Free | View In iTunes |
|
3 |
Podcast 2×03: eines per jugar amb SOCKS5 | Reading time: 1 – 2 minutes Finalment l’última entrega de la trilogia de podcasts sobre SOCKS. Com indica el títol i podeu veure amb els links aquest parla d’eines per montar servidors SOCKS i wrappers per montar clients SOCKS5. El podcast: Referències: Apunts per fer el podcast: fitxer .txt amb les meves notes per fer el podcast, mig en català i anglès. Servidors: Dante SS5 Clients/Wrappers/Proxifiers: tsocks csocks connect-proxy proxychains SocksiPy (python) ICP (Internet Cache Protocol) RFC2186 v2 protocol spec RFC2187 v2 apps spec | 3/8/10 | Free | View In iTunes |
|
4 |
Podcast 2×02: SOCKS5 Bytestreams (XEP-0065) | Reading time: 4 – 7 minutes La segona part sobre la trilogia de SOCKS5. El podcast: Exemples extrets del XEP-0065: Example 1. Initiator Sends Service Discovery Request to Target Example 2. Target Replies to Service Discovery Request Example 3. Initiator Sends Service Discovery Request to Server Example 4. Server Replies to Service Discovery Request Example 5. Initiator Sends Service Discovery Request to Proxy Example 6. Server Replies to Service Discovery Request Example 7. Initiator Requests Network Address from Proxy Example 8. Proxy Informs Initiator of Network Address sid='vxf9n471bn46'> Example 9. Proxy Returns Error to Initiator Example 10. Proxy Returns Error to Initiator Example 11. Initiation of Interaction <streamhost jid='initiator@example.com/foo' host=[...] | 3/8/10 | Free | View In iTunes |
|
5 |
Podcast 2×01: introudcció i descripció detallada del protcol SOCKS5 | Primer podcast de la segona temporada de caire molt tècnic i totalment centrat en l'especificació de SOCKS5. | 3/4/10 | Free | View In iTunes |
|
6 |
podcast 1×13: desafio networking [la solución] | Reading time: < 1 minute A pesar de que la solución se alcanzó y aplico durante los meses de agosto y septiembre, hasta hoy no he podido grabar la solución en este podcast. Espero que haya sabido explicarla bien y que quede claro como se ha hecho para solucionar el problema, sinó preguntad. | 11/20/08 | Free | View In iTunes |
|
7 |
podcast 1×12: mail-gateway (GatV2) | Reading time: 2 – 4 minutes GatV2 es un servidor de correo para hacer smart-relay o para que se entienda mejor el concepto para usar como frontend del servidor de correo de la empresa o del ISP (backend). GatV2 nos filtra todo el correo UCE y nos ofrece una herramienta de gestión del SPAM. El siguiente esquema ofrece una idea de donde estaría el GatV2: A través del podcast podreis seguir cual es el proceso que sigue un correo para pasar através del GatV2. Obviamente no es sencillo entender a la primera todo lo que hace pero a través de este gráfico (pinchar encima para zoom), de la explicación y de la documentación de la web del proyecto espero que podais comprender mejor el proceso. Para ver las capturas de pantalla a las que se habla durante el podcast pasarós por la documentación del proyeco GatV2. Finalmente el podcast: El podcast dur alrededor de 1h, así pues Jorge me ha ayudado a hacer una tabla de contenidos del mismo así pues, podeis ir directamente al minuto que os interesa del podcast gracias a la siguiente información: Presentación: 0-1m44s Historia: 1m44s – 3m En que consiste: 3m – 8m15s Los componentes: 8m15s – 24m20s Como funciona: 24m20s – 42m49s WebUI del DSPAM: 42m49 – 55m55s Despedida y cierre: 55m55s – 56m56s En los próximos dias publicaremos (Jorge y yo) el podcast dividido en pequeños MP3 en l página del proyecto GatV2 para mayor comodidad de los interesados en el proyecto. | 8/5/08 | Free | View In iTunes |
|
8 |
podcast 1×11: desafio networking [el problema] | Reading time: < 1 minute Hablando sobre el problema del articulo sobre el desafio de networking. También aprovecho para enlazar una buena referencia sobre como comprender los problemas de secuencias TCP: TCP Analyze Sequence Numbers Silly Window Syndrome Window scale option Espero haberme explicado bien y haber podido describir el problema algo mejor que en el articulo anterior, ya que no es sencillo describir un problema tan inusual. | 7/29/08 | Free | View In iTunes |
|
9 |
podcast 1×10: La solució als problemes de Twitter | Reading time: 1 – 2 minutes Aquest podcast és un experiment entre el Pau Freixes i jo mateix parlant sobre com es podria solucionar els grans problemes de disponibilitat de twitter. Fa molt de temps que dono voltes en com es podria solucionar tota la problemàtica de twitter via un backend de jabber i xmpp. Aquest esquema descriu una mica la idea que s’explica al blog: NOTA: a partir d’ara ja no posaré més música de fons als podcast i intentaré no fer gens o quasi gens de post-producció al que gravo. Ja que ni se’m dona bé ni tinc ganes d’invertir el temps en fer coses qu no m’aporten ni em motiven. Crec que el que intento transmetre ja queda clar. | 7/5/08 | Free | View In iTunes |
|
10 |
podcast 1×09: sistema de autentcació unificat (single-sign-on) | Reading time: < 1 minute Perseguint el paradigme de la SSO dins de l'empesa avui intentaré explicar el següent esquema: Disclaimer: si alguna cosa és incoherent o no funciona hem sap greu, he fet el que he pogut. | 6/19/08 | Free | View In iTunes |
| Total: 10 Episodes |
