Ya es hora de dar parte después de tanto tiempo.

Dado que tanto diego como yo no tenemos demasiado tiempo para dedicarselo al proyecto decidimos dejar el concurso así que no envíamos la documentación pertinente por lo que nos quedamos fuera directamente.

Pero el proyecto sigue, eso sí, muy despacito.

Así que lo de cambiar a la forja nada de nada. Seguiremos usando google code hasta que se harten de nosotros

Ah, felicitaciones a los finalistas de este año

Nos estamos estableciendo en el nuevo repositorio en la forja de rediris así que próximamente en la siguiente url encontrareis los fuentes:

https://forja.rediris.es/svn/csl2-isknocking

Update Lo de migrar al otro repositorio se va a retrasar ya que tenemos algunas pegas que resolver primero. De momento seguimos con el de google code.

Google ofrece de manera semi-gratuita un servicio de análisis estadístico del uso de un sitio web con el que he podido comprobar que la página del proyecto en google code acumula 55 visitas desde noviembre. No es un número para tirar cohetes, pero da idea de que el mundo no se ha olvidado de nosotros ya que no todas las visitas provienen de gente del concurso de software libre.

La siguiente estadística lo ilustra:

Y donde además se puede ver como se reparten los sistemas operativos teniendo más visitas desde windows que desde linux, pero como usan firefox no importa (yo este post lo estoy escribiendo desde mi windows).

Quizás estas estadísticas nos ayuden a notar a lo largo de la evolución del concurso y del proyecto si nuestros esfuerzos atraen la atención de la comunidad o no.

Saludos.

En las últimas semanas me he dedicado a mover carpetas del svn de aquí para allá y a renombrar archivos para ajustarlo más a como tendría que estar ordenado separando el código nuevo refactorizado del antiguo que aún sigue en su carpeta.

La librería IptablesNet, antes llamada NetfilterFirewall, ahora pasa a llamarse IptablesSharp, nombre mucho más acorde ya que funciona principalmente sobre mono y el otro nombre induce a pensar lo contrario.

Así que ahora que está el código ordenado seguiré tirando código hasta que nos movamos al svn de la forja.

Con respecto al svn del año pasado vamos a eliminarlo, ya que el código quedará subido en el nuevo svn y no es plan de tener dicho código duplicado, aunque cualquiera que lo quiera ver lo tiene para descartar en el wiki de googlecode.

Saludos.

Ya es una noticia tardía, pero ya ha comenzado la segunda edición del Concurso Universitario de Software Libre en el cual participamos de nuevo este año con un nuevo nombre: iSharpKnocking

Nuestros objetivos son en parte algunos de los objetivos no finalizados del año pasado, más algunos que no habíamos ni siquiera tomado en cuenta, más las cosas que se nos han ido ocurriendo por el camino.

Para empezar terminaremos el refactoring y documentación que estaba planeado para la base de código para seguir con la librería que nos permite modificar las reglas de iptables desde código manejado.

A todo lo que hay que hacer hay que unir el handicap de que no tengo conexión en casa por lo que sólo puedo acceder al correo y a subir código cuando estoy en la escuela :S (la culpa es de telefónica que no me pone línea en mi casa), pero a cambio tengo ilusión y ganas de seguir adelante con el proyecto el cual será mi última actividad como alumno este curso académico ya que me queda poco para acabar la carrera.

Un saludos a todos los nuevos y antiguos participantes

Debido a la gran cantidad de spam que ha vuelto a entrar en este santo blog a través del sistema de trackback de los comentarios los hemos desactivado totalmente.

De cualquier modo tampoco nadie comentaba nada , así que todos contentos.

Saludos.

PD: Malditos spammers ...

Nos hemos propuesto volver a participar en el concurso de software libre este año y para ello hemos elegido para participar otro nombre para nuestro proyecto, ya que son muchas las mejoras planeadas. Así que tras una dura deliberación ha sido iSharpKnocking, con el cual participaremos, si nos dejan, en la segunda edición del concurso.

A muchos les parecerá extraño que queramos participar habiendo estado en la final del año pasado y pensarán que los 15 minutos de fama ya pasaron. Pero en nuestro caso es una forma de reafirmar la existencia y continuidad de este proyecto y de promover el concurso de software libre, además de que nos gusta lo que hacemos y que el resultar ganadores del concurso nunca fue ni será nuestro objetivo (y ser finalistas menos ).

No va a ser fácil ya que ahora disponemos de menos tiempo libre, pero tenemos ilusión por conseguir las metas que nos propusimos en su momento y que aún no se han materializado.

Si se quiere realizar un seguimiento del proyecto lo mejor es leer/rssear este blog, seguir el wiki en Google Code y/o descargar la versión test 0.1 para trastear con ella y ponernos unos cuantos issues .

Respecto al código fuente estamos haciendo muchos cambios últimamente para modularizar el código que tenemos y permitirnos más flexibilidad. De modo que una estructura básica de modulos es actualmente:

• IptablesNet: Librería para interactuar con iptables en c# aprovechando las características de tipado fuerte para resolver la mayoría de errores en tiempo de compilación.
• Developer: Librería de elementos comunes que pueden ser reutilizados en cualquier proyecto.
• SharpKnocking.Daemon: Servicio de captura de llamadas y análisis.
• SharpKnocking.Doorman: Manager de configuración y gestor de llamadas.
• SharpKnocking.PortKnocker: Aplicación cliente para llamadas.

El código fuente se puede obtener del repositorio svn en Google Code o del repositorio svn en la forja de rediris, aunque este último lo tenemos un poco abandonado de momento, pero lo actualizaremos habitualmente cuando comencemos a avanzar.

Un saludo para todos y esperemos pasarlo igual de bien que el año pasado.

El equipo del Sharpknocking está contento de anunciar a Diego (manrash) como nuevo miembro.

¡Bienvenido y a programar! XDXDXDXD

Y el proyecto sigue adelante.

Durante este largo tiempo de silencio hemos estado muy ocupados poniendo en pié nuestras bases existenciales y refactorizando el código de la primera versión de SharpKnocking ya que nuestros futuros requerimientos no encajaban con la base de código. Pero nuestro tiempo libre ha escaseado mucho este verano, por lo que nos ha pillado el siguiente curso

También estrenamos nueva versión de jaws pasando de la 0.5.3 a la 0.7.3 y la verdad es que hemos notado el cambio, ¡adiós spammers de referers y comentarios!

Aún estamos un poco aturdidos por el mes de septiembre, pero ya iremos recuperando el ritmo.

Ha llegado el verano y es hora de organizarnos para ver en que gastaremos las energías dedicadas al proyecto.

Desde la final del concurso hemos estado rumiando la idea de refactorizar el código actual ya que son muchas las cosas que tienen que ir entrando y la base de código actual no se ajusta adecuadamente a lo que queremos hacer, por lo que durante este verano planeamos refactorizar profundamente el código hasta quedar satisfechos.

También tenemos otra pequeña novedad, estrenamos lista de correo de desarrollo: http://mail.ilikecoffee.net/mailman/listinfo/sharpknocking-devel_ilikecoffee.net

Invitamos a todos los que están interesados a que la sigan para estar al tanto del estado del proyecto o que nos escriban para cualquier otra cosa. Pero tengo que avisar de que vamos a escribir en inglés, ya que queremos intentar llegar a la mayor cantidad de gente posible con éste proyecto y a que el inglés es el lenguaje de facto para la mayoría de proyectos de software libre.

También invito a aquellos que se atrevan a probar SharpKnocking 0.1 en sus máquinas a que nos dejen los bugs en el tracker o que los manden a la lista, preferiblemente en inglés (aunque sea patatero, no hay problema mientras se entienda).

Saludos.

Bueno, ya han pasado varios días, pero es que estamos muy liados haciendo cosas que fuimos dejando aparcadas antes de la final y nos estamos comenzando a meter en época de parciales tras lo cual llega la época de examenes.

Obtuvimos el segundo premio de nuestra categoría en el concurso siendo el primero para el otro proyecto participante: Porting de Gcc a la arquitectura del microcontrolador 16f877.

Tanto Luís como yo estamos contentos con los resultados así como seguimos planeando nuevas caracteristicas para la siguiente release de SharpKnocking que estamos empezando a planificar para algún día entre Julio y Septiembre.

Desde aquí quiero mandar un gran saludo para todos los finalistas del concurso (que bien lo pasamos) y esperamos ver como todos nuestros proyectos crecen juntos

Hoy he arreglado un bug muy muy feo que impedía la correcta comunicación entre el cliente de configuración, Doorman y el demonio KnockingDaemon y que provocaba que no se pudiese usar correctamente el modo interactivo.

Estando esto andando puede que nos quede una presentación curiosa en la final hehe.

Saludos.

PD: He subido unas cuantas capturas a la galería de imágenes

Pues sí, quien lo diría, finalistas tras lo accidentado de la última época del desarrollo. Ahora mismo estoy preparando el resumen del proyecto y pronto nos pondremos a preparar la presentación.

Y bueno, algún bug corregiremos para que se vea bien bonita la presentación.

Saludos, y gracias.

En el espacio que te da google tienen implementado un wiki muy simple para la creación de contenidos junto con el sistema de creación de issues. Es todo muy simple e intuitivo así que hecharle un vistazo para ver el estado actual del proyecto es cuestión de minutos.

Ahí, tenemos colgado un tgz con la versión 0.1 y hemos estado creando algunas páginas en el wiki y recopilando ideas de cosas por hacer en la página de TODO.

La url es:

http://code.google.com/p/sharpknocking

Ya he subido a la forja el código de la última versión en el que corregimos un montón de fallos y que debería haber subido este lunes pero al final debido a un cúmulo de circunstancias y hechos desafortunados no pudo ser.

Esta versión debe ser considerada la 0.1 de la suite SharpKnocking y está compuesta por:

• Demonio KnockingDaemon que permanece a la escucha de los paquetes entrantes y busca secuencias de llamada. Actualmente los paquetes son udp con un payload de 8 bytes.
• Manager Doorman. Permite crear las secuencias que aceptará el daemon. Se comunica con el daemon para hacerle recargar las secuencias activas y para comenzar el modo interactivo (no implementado del todo).
• Llamador PortKnocker. Permite abrir un puerto remotamente usando una secuencia de llamada que tiene que haber sido previamente creada y aplicada con Doorman y luego exportada para poder ser usada por PortKnocker.

Actualmente el sistema permite "cerrar" totalmente un sistema y dar acceso a las ips desde las cuales se reciban llamadas correctas para un puerto dado cada vez.

Las cosas que encabezan la lista de todo son:

• Timeout de acceso: Tras un tiempo que se quite la regla que da acceso a una ip. Hay una regla que permitirá que siga el acceso para las conexiónes establecidas por lo que si se realizá una conexión el usuario no lo notará.
• Detección de intentos de accesos duplicados. Si alguien llama estando ya el acceso concedido se meterá una regla duplicada (el comando iptables lo permite sin chistar). Eso no es buena cosa.
• Estadísticas de uso. Guardaremos información de los paquetes válidos obtenidos en la captura y sobre las secuencias correctas que se vayan recibiendo.
• Pensar en maneras de mejorar la seguridad. Hay que hacer que sea muy dificil adivinar las secuencias de knocking y detectar que un sistema está usando SharpKnocking.
• Rango de puertos protegido. Puede ser intersante que el SharpKnocking se aplique sólo a un cierto rango de puertos.
• Terminar de implementar el modo interactivo. Si el doorman está abierto permite un modo interactivo en el que se le pide al administrador su permiso para dar acceso a los que realizan llamadas.
• ...

Un saludo a todos y suerte.

Ya he terminado con el automata para detección de secuencias y he refactorizado el demonio de knocking que estaba algo falto de atención por mi parte. Tras depurarlo un poco y resolver unas cuantas incidencias varias todas las aplicaciones funcionan de por sí.

También hemos realizado un poco de tratamiento de excepciones para intentar evitar que el firewall se quede con las reglas que introducimos restaurando un backup de las mismas que realizamos al principio del inicio del daemon.

Ahora queda el paso final, testear los programas en funcionamiento y buscarles las cosquillas para que no peten cuando menos oportuno es

Pues nada, sin duda en el periodo final de la codificación de un proyecto para su evaluación es sin duda el momento ideal para que el repositorio se caiga.

Esperemos que se arregle pronto, pero de mientras, para poder seguir trabajando nos hemos mudado a Google Code https://sharpknocking.googlecode.com/svn/trunk/. En cuanto la forja del concurso está operativa, pasaremos allí los cambios.

En otro orden de cosas, muchos cambios en todo. Ya tenemos makefiles para el proyecto, generados automáticamente por Monodevelop (en los últimos tiempos ha visto mejoras significativas en cuanto a features, por cierto). Se comprueba que se están ejecutando las cosas, los permisos necesarios para ejecutar los programas, y muchos otros cambios, por lo que esta cogiendo el punto de cocción necesario para que este presentable.

¡Suerte a todos, y saludos!

Nos vamos acercando a la recta final del desarrollo de los proyectos, así que habrá que ir comentando un poco como va la cosa.

¿Recuerdan que se comentó que se usarían reglas del firewall en conjunción con ulogd para monitorizar los paquetes que nos interesan? Pues bueno, eso resultó ser un completo fracaso, dado que los plugins de salida que ofrecía ulogd no nos daba toda la información sobre el payload del paquete que nosotros necesitamos (o necesitábamos o pensamos necesitar )

Total, que hubo que descartarlo y buscarse otra solución (sobre lo cual juraría haber posteado ya en este nuestro blog, pero bueno, debe ser un momento de deja vú o como se diga )

Nuestro salvador en este aspecto ha sido tcpdump. Este programa es un programa analizador de tráfico de red, en consola. Un wrapper de libpcap, si mal no lo tengo entedido. La cuestión es que durante las últimas dos semanas moví mi foco de trabajo de la interfaz gráfica hacia las entrañas del daemon de reconocimiento de secuencias.

Y he hecho un buen trabajo creo, pues he creado la infraestructura que permite tratar la información ofrecida por tcpdump, convertirla a un formato sencillo de utilizar y enviarlo a un sistema de autómatas para la detección de secuencias.

Del algoritmo concreto que usarán estos autómatas se encargará Miguel Ángel, pues yo vuelvo a mis interfaces para integrar la comunicación entre el daemon y la interfaz de configuración, hacer un icono de notificación que viva alegremente en el área de notificación (no tan trivial como debería) y supongo que algo más.

Así que nada, más noticias pronto.

SharpKnocking.NetfilterFirewall es el namespace donde están todas las clases que he realizado para interactual con iptables.

El siguiente fragmento de código es usado para insertar al principio de la cadena input una regla que redirija todos los paquetes a una cadena llamada SharpKnocking-INPUT donde están las reglas que aceptarín o denegarán el paquete en función de si le hemos dado acceso o no. Es un ejemplo de como usar la librería para alterar las reglas del firewall.

De tal modo que al ejecutar un programa con ese trozo de código para inicializar las líneas nos quedaría el siguiente conjunto de reglas (muestro la salida del comando iptables-save):

Así es como vamos a dejar las reglas del cortafuegos al inicio (también podríamos conservar las existentes e insertar nuestra cadena delante de las existentes). Sobre la marcha podremos ir añadiendo las ips aceptadas antes del drop final de la cadena y puede que incluyamos la opción de insertar nuestrar reglas sin eliminar las existentes.

NetfilterFirewall es el nombre del proyecto, dentro de la solución que hemos creado en monodevelop, donde estamos programando lo necesario para gestionar las reglas a través de iptables.

En el momento actual la librería es capaz de crear una jerarquía de objetos que representa al siguiente fichero de configuración de iptables en el formato de iptables-restore:

Aún queda mucho camino por recorrer. Netfilter permite definir dos puntos de extensión para las reglas del firewall (match extensions y "target extensions") y yo he implementado la lógica para soportar eso programáticamente pero sólo he definido algunas de las extensiones que vienen en el paquete de netfilter (porque son bastantes). Así que cualquier regla que las use no podrá ser manipulada adecuadamente y de momento habrá que limitarse a crear reglas con las extensiones soportadas.

Estas clases no dependen de otras partes del proyecto así que podrían ser usadas fácilmente por otros proyectos. Si se diera el caso ayudaría mucho a mejorarla que alguien se pusiera a utilizarla.

Por lo pronto vamos a centrarnos en la captura y análisis de paquetes para la detección de llamadas y la modificación de reglas para permitir/denegar accesos a los servicios.

Me despido y sigo picando código.

Saludos.