CategoríaIPv6

mikrotik-fail2ban: Protegiendo nuestro RouterOS

Un excelente complemento del fail2ban ha sido integrado al RouterOS. Utilizando un syslog server creado en Python, es posible proteger a nuestros routers de manera centralizada.

El logger server solo acepta los syslogs remotos de los IP que han sido dado de alta, por lo que se puede proteger todos los routers con un solo fail2ban.

El sistema escucha en UDP los paquetes que le llegan de los syslogs de los routers configurados, el log es incorporado al auth.log y el fail2ban los captura y ejecuta una acción a proteger.

Se puede instalar facilmente a través de GIT. El proyecto esta liberado con licenciamiento MIT license.

Mas info: Proyecto GIT

NicAR con soporte de IPv6

Hoy día NIC Argentina, el administrador de los dominios de Argentina, ha anunciado el soporte de IPv6 en sus sistemas.

Es así que este ente importante se suma a la implementación del Protocolo de Internet al cual hay que ir migrando paulatinamente.

El sistema de DNS soporta IPv6 nativo, por lo que podremos asignar a “.ar” dicha capacidad.

El sitio de prueba es https://ipv6.ar, aunque por ahora no esta funcional.

Mas info en NIC Argentina

Este blog es seguro!

Hoy día luego de un de par cambios que tuve que hacer en el hosting he activado SSL al blog.

Con eso tendré varios beneficios, por un lado, Google esta subiendo el ranking a los sitios que tengan SSL activo y por otro lado la ventaja de la seguridad de la información transferida.

Que significa que el blog sea seguro SSL, indica que se encriptará la información desde el servidor hasta el navegador haciendo imposible (en teoría) poder interceptar esa información. Es la misma seguridad que se tiene cuando se compra en internet o se ingresa a un banco.

Lo he podido hacer gracias al nuevo servicio de Dreamhost que permite colocar certificados SSL utilizando SNI y con ello no es necesario tener IP públicos fijos para poder tener un sitio seguro.

Voy a tener que realizar un paso a paso de como hacerlo, porque me llevo varios intentos en generar los certificados (privados y request) de la manera que a Dreamhost le gusta, pero vale la pena.

0-day para FreePBX

A inicios del mes se descubrió una vulnerabilidad en el FreePBX, uno de los entornos web de programación de una centralita Asterisk, y que ha sido catalogado como 0-day.

Una vulnerabilidad 0-day indica que es super critica, que tiene que ser algo resuelto ahora, que se deben tomar medidas de seguridad urgente porque estamos susceptible a ataques.

Con este bug es posible tomar control administrador sin tener que autenticarnos y luego se podrá tener acceso total a la central telefónica y la posible ejecución de comandos.

La vulnerabilidad es para todas las versiones de FreePBX y como medida de contingencia hay que bloquear el acceso web a terceros de nuestra red.

Estuve leyendo un foro sobre el tema y comentan que hay detectado robots que van escaneando las redes en Internet para encontrar centrales IP vulnerable para luego atacarlas.

Como medida simple de protección es solo necesario bloquear el acceso web de la central y solo dejar los de la VoIP únicamente abierto.

  • Para esto hay que bloquear el TCP 80 para redes externas de nuestra red interna
  • Abrir unicamente y si es necesario los puertos SIP/5060 y RTP/10000-20000

Recuerden que es 0-day y si tienes una centralita asterisk de cara a internet puedes ser atacado!

Mas información sobre la vulnerabilidad en el sitio de FreePBX

El cable submarino que le brinda internet a la Argentina

Allá por el 2008 había escrito sobre un video de como se extienden los cables submarinos por el mundo y las herramientas, robots y demás que se utilizan en la tarea.

Hoy día el portal MinutoUno ha colocado un artículo que explica como le llega a la Argentina uno de los cables submarinos que tiene, particularmente habla del punto de Las Toninas, lugar donde llega la fibra óptica submarina.

El cable del cual habla el artículo es el de Level3, uno de los carrier mas grande del mundo, el cual hace unos años compro a Global Crossing, otro gran carrier que por cierto tenía presencia mundial y varios cables submarinos por ahí; al momento de la compra / fusión, Level3 aumento su tamaño y su red también.

En la nota se comenta que el cable de fibra óptica tiene unos 7cm de diámetro con 4 pares de pelos -fibra óptica- que logran transferir unos 1.6TB por segundo. También informa sobre que sucede cuando se corta un cable y como es el proceso de detectar dicho corte y su reparación. Por suerte en Argentina si se llega a cortar uno de los cables submarinos internacionales del Atlántico, tenemos contingencia por el lado del Pacifico vía Chile.

Esta buena la nota para leerla y enterarnos uno poco mas sobre como nos llega el internet a nuestro país.

Vía MinutoUno

Servidores VPN PP2P Gratuitos

Leyendo mis feeds en feedly encuentro una increíble noticia, que la desconocía en su versión gratuita, pero hay varios servidores PPTP que te brindan acceso a un internet seguro.

Principalmente en estos sitios comentan que la idea es tener un servicio de VPN gratuito que te permita tener anonimato, seguridad y privacidad al momento que estas navegando por internet.

Este tipo de servicio debe ser muy útil para los usuarios de China y Cuba por ejemplo que tienen un internet restringido.

Por otro lado, lo que estuve leyendo en los foros, estos servicios gratuitos de VPN (Varios en EE.UU y Canada) son utilizados para acceder a servicios solo disponibles en Estados Unidos, por ejemplo NetFlix y algunos servicios de música. Según comentan configurando la VPN uno puede acceder a las últimas novedades en películas y series que están disponibles en USA.

Lo que no ésta permitido en ellos es la utilización de Bittorrent y P2P, pero el resto esta abierto. Se tiene aproximadamente unos 5mbps de bajada y 1.5mbps de subida en la mayoría de los servicios, pero varían en algunos de ellos.

Los servicios que encontré y recomiendan son HotFreeVPN (Cánada) y FreeVPNHosting (USA) que utilizan un acceso por PPTP con usuario y contraseñas simples.

Interesante recursos que nos puede servir en algún momento.

Se agotaron las IPv4 y ahora?

Según las proyecciones de LACNIC, la entidad que administra las políticas de registro de direcciones de Internet para America Latina y Caribe (que es la que tiene influencia en nuestra zona) indica que para Junio las direcciones IP de IPv4 se agotarán.

Esto hará que de manera inevitable los ISP vayan acomodando sus redes en la implementación de IPv6 para poder seguir teniendo crecimientos en sus redes. Son varias las prácticas y buenas recomendaciones que se han ido mencionadas en los encuentros de LACNIC en donde indican como deberán hacer frente a la problemática.

Una vez que los IPv4 se agoten, la adopción de IPv6 es inminente, pero para poder hacerlo es necesario saber como realizar la implementación y que la misma sea escalable.

Existen algunas soluciones alternativas temporarias para hacer frente, como por ejemplo la implementación de NAT  para seguir creciendo, pero ésta solución no es escalable y es restrictiva a largo plazo.

Un número interesante es que el 60% de las organizaciones de la región LACNIC tienen asignado un bloque de IPv6, pero no todas las tienen en funcionamiento por varios motivos. Es necesario que progresivamente se vayan incorporando las nuevas tecnologías para poder disponer de un crecimiento  futuro sólido.

A modo personal, he implementado varias redes con IPv6, pero la gran problemática que se tiene es que los carriers (proveedor de proveedores) por lo general no disponen de soporte para IPv6 en sus redes, por lo que uno termina utilizando algún tunnel broker para hacer la terminación.

En la misma sintonía tenemos que no todos los clientes de un ISP tienen soporte completo para IPv6, con lo cual también hay que tener en cuenta ese punto. De nada serviría tener IPv6 en el backbone si al cliente final no se lo  podemos entregar.

En fin, son varios los puntos a tener en cuenta, pero hay que ir siendo previsores y dar el paso siguiente en la implementación de IPv6.

Hay un parte de prensa de LACNIC con algunas preguntas y respuestas que podemos leer para tener idea de como viene la cosa.

DNS de Google hackeados

El 16 de Marzo y durante 22 minutos, los DNS públicos de Google estuvieron hackeados, afectando a muchos usuarios de Internet que usan sus servicios.

Los Google Public DNS son unos de los servicios mas utilizados por lo usuarios internautas, cerca de 150 billones de peticiones maneja por día.

Según reporto BGPMON, durante 22 minutos millones usuarios de Internet, incluyendo entidades financieras, gobiernos, etc estuvieron redireccionados a BT (British Multinational Telecommunications Service Company) división Latinoamerica en Venezuela y Brasil.

 

El ataque se produjo a través de una vulnerabilidad en el protocolo BGP, el cual es el utilizado por los proveedores de Internet para intercambiar sus rutas y hacer posible que Internet funcione como lo hace. Los hackers pudieron re-rutear el tráfico de internet hacia los routers que ellos designaron.

Esta no es la primera vez que hackean los servidores DNS Públicos Google, en el 2010 fue atacado y redireccionado su trafico hacia Rumania y Austria.

Estos tipos de ataques deben llamar la atención a los administradores de los proveedores de Internet, los cuales no han tomado las políticas de filtrado de redes de manera correcta y han ayudado a que éste ataque sea posible.

Pueden leer un poco mas en TheHackerNews

Probando UniFI con IPv6

Con que faltan pocos meses para que se terminen las IPv4, el paso a implementar IPv6 en los ISP y redes en general es inminente.

Son varios los usuarios que están compartiendo sus experiencias con este nuevo protocolo y uno de ellos particularmente muestra como realizo una red wifi con UniFi y sobre la cual le desplegó una red IPv6.

Lo bueno que tiene éste artículo, es que muestra las capturas de pantalla de configuración de IPv6 de diferentes routers, como ser el ASUS RT-N51U, OpenWRT y MikroTik.

Será cuestión que de a poco uno vaya acostumbrándose a las nuevas nomenclaturas del direccionamiento de 128bit que tiene IPv6.

En mi caso, ya tengo varias redes con IPv6 implementadas, una de ellas es la de MKE Solutions, en donde todos nuestros servidores están disponibles en ambos protocolos. También he realizado algunas implementaciones de BGP con éste protocolo, cosa que estuvo un poco complejo, porque no todos los carriers soportan IPv6.

El artículo está disponible en klseet.com

Network Simulator con MikroTik

Cuando inicie con MikroTik los primeros laboratorios que realizaba los hacía con virtualización. Utilizando Vmware o Virtualbox luego corría una maquina con RouterOS y así iba levantado tantas como me hicieran falta para hacer la implementación.

Luego con el correr el tiempo y con el bajo costo de los RouterBOARD como el RB750 o RB450 se pudieron armar los laboratorios ya en un formato mas cercano a la realidad, porque podíamos utilizar todos los routers que nos hicieran falta.

En el último MUM de Indonesia, hubo una presentación buenísima que habla sobre como realizar un Network Simulator con MikroTik.

Puntualmente menciona con que herramientas se puede lograr una mejor virtualización y habla de GNS3, QEMU y MikroTik.

Lo bueno que tiene, es que enseña como levantar una máquina virtual con Qemu y MikroTik, y luego con una aplicación poder levantar una interface unida al GNS3 y poder realizar laboratorios con simulación de Ciscos, MikroTik, etc.

Por suerte la presentación esta en inglés, porque si hubiese sido en indonesio, no se hubiese entendido nada. Es de recomendable lectura para quienes están en ambiente de educación o aprendiendo de redes y necesiten realizar diferentes laboratorios de simulación multimarca.

Presentación MikroTik Network Simulator por Rofiq Fauzo. MUM ID 2013