Archivos de Categoría: Linux

MUM Guatemala 2017: Suricata y FastNetMon

Hace un par de semanas se celebraron los primeros MUM -MikroTik User Meeting- del año, ésta vez fue en Ciudad de Guatemala y Bogotá.

Pude brindar mi presentación (charla) en el MUM de Guatemala (que dicho sea de paso, fue el día de mi cumpleaños), que hablé de como implementar un sistema de protección de ataque DDoS y un IPS / IDS con Suricata.

La verdad que la repercusión que tuvo mi charla fue mayor a lo que esperaba, he tenido contactos de usuarios de varios países que me felicitaban por la presentación y aportaron algunos consejos o sugerencias para que pueda mejorar la charla en un futuro.

Me enfoque principalmente en como utilizar Suricata para poder detectar intrusiones a través de las alertas de la aplicación y luego poder tomar alguna acción con dicha intrusión.

También hable de FastNetMon, de cómo protegerse de ataques DDoS y como podemos interactuar a través de un API con RouterOS para poder bloquear dicho ataque.

Creo que la repercusión de la charla fue debido a que Pavel, el creador de FastNetMon, twitteo mi charla y de ahi sus seguidores hicieron sus comentarios.

Pueden descargar el PDF de la presentación desde el siguiente enlace.

En un futuro escribiré como utilizar Suricata como IPS con RouterOS a través de un módulo que programé para automatizar la tarea.

Sugerencias y comentarios son bienvenidos.

Bienvenido 2017…

Ya comenzó el 2017 y pasó mucho tiempo desde la última vez que escribí algo. Este inicio de año largo con todo, estuve por los MUMs de Guatemala y Bogotá durante la semana pasada y aún no logro ponerme al día.

Durante estos MUMs pude encontrarme con muchos amigos y conocidos “del palo”  y la pasamos muy bien. Pude conocer también gente de Bangladesh que no tiene nada que ver con el rubro y poder compartir un buen intercambio cultural.

Tuve la suerte de pasar el día de mi cumpleaños en el MUM de Guatemala y también tuve la suerte de ganarme un router de regalo en la rifa final del evento. La pase muy bien.

A nivel de proyectos tengo varios, uno de ellos es iniciar con los entrenamientos de IPv6. MikroTik ya tiene disponible desde hace unos meses atrás la certificación y uno de los objetivos es que en poco tiempo poder iniciar a impartir estas certificaciones.

Estoy trabajando también en una implementación de IPS para Suricata que permita trabajar con el MikroTik directamente. La idea es que haya un agente que este monitoreando las alertas del Suricata y en caso de detectar algún tipo de ataque en particular, poder bloquearlo al IP directamente desde el MikroTik.

La idea es tenerlo listo para la semana que viene y escribiré, si el tiempo lo permite, un post especial para que pueda ser implementado.

Espero este sea un post que haga el puntapié inicial para poder incorporar actividad a este blog.

FastNetMon: Detectando y protegiéndonos de ataques DDoS

Uno de los gajes del oficio del networking y en especial de los ISP son los ataques de Denegación de Servicio Distribuida DDoS.

Hay varias maneras de protegerse, las mejores o con mas opciones son pagas y con elevados costos de licenciamiento. Un proyecto OpenSource (GNU GPLv2) que lo inicio un amigo de Rusia (Pavel Odintsov) llamado FastNetMon es una buena opción como alternativa gratuita.

FastNetMon es un analizador de tráfico y permite detectar ataques DDoS en 2 segundos. Soporta NetFlow v5, v9. IPFIX, sFLOW v4, v5 y Port Mirror/SPAN.

Se puede detectar tráfico malicioso en la red e inmediatamente bloquear el IP con BGP Blackhole o aplicándole alguna política al IP tanto atacante como atacado. Soporta BGPv4, BGP flow spec (RFC 5575). Tiene compatibilidad con Cisco, Juniper, A10 Networks, Extreme, Brocade y MikroTik.

La integración es simple, ya que no requiere ningún cambio en la topología de la red.

Al proyecto que se encuentra alojado en GitHub, le han realizado cientos de aportes diversos programadores del mundo, haciendo hoy día una solución para detección de ataques interesante.

Mi aporte al proyecto fue la integración con MikroTik RouterOS a través de la API, pudiendo tomar cualquier acción en contramedida de un ataque DDoS.

Hoy en día se está utilizando en grandes redes, de hecho en el sitio web hay una sección de testimonios en donde empresas como ZenDesk, Tranquilhosting entre otros comentan de que manera le ha ayudado.

Pueden encontrar mas información en el sitio oficial de FastNetMon.

APK para limpiar los Ubiquiti infectados

Desde hace unos días se están infectando a nivel mundial los dispositivos de Ubiquiti que tienen un firmware desactualizado.

Esta infección la realiza un virus llamado “mother fucker” que explota una vulnerabilidad que fue solucionada el año pasado y que quienes no hayan actualizado, estan susceptible al ataque.

En un artículo que escribí en MKE Solutions hablo un poco mas del tema.

Hay varias opciones para hacer la limpieza pero una interesante es un APK para Android que permite realizar la limpieza de los dispositivos desde el mismo smartphone.

Aunque no es una APP oficial, los usuarios que la han probado dicen que funciona a la maravilla. Yo no uso Android por lo que no he podido usarla.

El APK se puede descargar directamente o se puede ingresar al proyecto app-ubnt-virus-cleaner en GitHub

MTHelper: Administrando dispositivos MikroTik

Hace unos días me llego una invitación para probar MTHelper, un servicio que permite administrar dispositivos MikroTik en la nube.

La idea es poder realizar cambios en la configuración de una manera bastante simple y con una interfaz amigable.

Se pueden realizar grupos y aplicarles un tipo de configuración en particular. También se pueden ver los registrados inalámbricos, sus niveles de señales, tráfico consumido entre algunos otros parámetros.

Dispone de un sistema de notificaciones al momento que se realiza alguna alerta o comportamiento, por ejemplo que el dispositivo se vuelta offline, cuando el CPU supere cierto valor, que notifique cuando llegue a cierta temperatura, etc.

Por ahora el sistema es gratuito y su registración esta abierta, veremos que sucede mas adelante.

Mas info: MTHelper

Blocklister: obteniendo listas de firewall para RouterOS

Un servicio que encontré leyendo algunos post en el foro de MikroTik es Blocklister, un servicio que genera listas de direcciones IP compatibles con RouterOS de las principales listas de internet como ser DShield o SpamHaus.

La lista completa de sitios al momento se puede encontrar en el proyecto GIT, donde también estan disponibles los pasos para hacer la instalación del sistema.

Estas listas se actualizan cada 2 días y permiten brindarle una protección adicional al routerOS.

Su funcionamiento es bastante simple, existe un listado de listas de acuerdo a lo que queramos bloquear, como por ejemplo, sitios con ads, spyware, proxy abiertos, spamhaus, etc. Una vez que definimos la lista, ésta es importada en un address list en el MikroTik y luego le hacemos el tratamiento que queramos.

Se puede leer mas del proyecto en GitHub

Bloqueando WhatsApp con MikroTik

Son muchos los entornos en donde se necesita bloquear las redes sociales, ya sea por seguridad o para evitar el ocio.

WhatsApp es una de las aplicaciones que se suele bloquear y hay varias maneras para hacerla.

La primera de ellas es hacer una entrada estática de DNS para c.whatsapp.com que es la que se utiliza para conectarse, dicha entrada puede tener 127.0.0.1 por ej.

La otra opción es por firewall evitando que se conecten a las redes que utiliza whatapps, para ello tenemos el listado de IP oficiales de este sistema de mensajería, tanto en IPv4 como IPv6.

Para acceder a dicho listado de redes hay que ingresar en https://www.whatsapp.com/cidr.txt

Adíos a Copy.com

El servicio que utilizaba para realizar mis backups personales llamado Copy.com, una división de Barracuda, del cual hable hace un tiempo, ha decidido cesar con sus servicios.

Según el comunicado oficial, van a dejar de brindar acceso a los archivos almacenados a partir del 1 de Mayo del 2016.

Han realizado un pequeño manual de como realizar la migración de los archivos hacia otro servicio Cloud de almacenamiento como DropBox, BoxGDrive, etc.

Según indican, fue una decisión muy dura pero la tomaron para poder dedicarse y enfocarse a otros proyectos.

Es una lastima, porque el servicio era muy bueno, rápido y sobre todo que te daba 25GB de almacenamiento con la cuenta free.

Ahora estoy migrando todos mis archivos a DropBox, pero lo que lamento es que voy a perder el backup que hacia en Copy.com de mis servidores de manera automatizada; para ello deberé buscar alguna nueva alternativa.

Mas info: Copy.com

Petición para liberar el Código Fuente del The DUDE

Una excelente iniciativa se la lanzado hace unos días desde Brasil, la petición de pedirle a MikroTik que libere el código fuente de la aplicación DUDE.

DUDE es una herramienta de monitoreo de dispositivos vía SNMP / RouterOS que tiene muchas ventajas (entre algunas es gratuito), pero su desarrollo ha quedado estancado desde hace mas de 5 años.

Desde hace tiempo los usuarios de MikroTik le piden que continúen el avance de la herramienta, pero según han comentado, su desarrollo se realiza en pasatiempos y desde que se lanzó la v6 no han podido continuar su programación, ya que están enfocados en el RouterOS.

Seguramente en parte del código fuente de la aplicación estarán datos de sus protocolos propietarios que dificultarán la publicación del mismo.

La petición es vía change.org, no se si le darán relevancia, pero me sumo para que tengan noción de los usuarios de la misma y la necesidad de continuar el proyecto. Al momento de escribir este post hay unas 125 firmas de 200 que se requieren.

Petición de Liberar el código de DUDE

Bloqueando ataques SIP con Firewall MikroTik

Hace tiempo tuve la necesidad de proteger algunas centrales IP y desarrolle una serie de reglas que protegen a una central telefónica IP como un asterisk, de ataques SIP. Me la tuve que rebuscar bastante para lograr tener algo funcional.

Un usuario del foro de MikroTik ha desarrollado un par de regla simples t bastante interesantes  que permiten proteger una centralita.

La idea es mirar la primer registración sip (new) al puerto 5060 y si en 15 segundos no puede lograr el handshake (login) con el servidor -usualmente el registro llega 3 segundos como mucho-, lo coloca en una lista negra por 1 día para banear el IP.

Las reglas son:
/ip firewall filter add chain=forward in-interface=ether1-gateway src-address-list="SIP Hacker" action=drop
/ip firewall filter add chain=forward protocol=udp dst-port=5060 connection-state=new src-address-list="SIP Trial" in-interface=ether1-gateway action=add-src-to-address-list address-list="SIP Hacker" address-list-timeout=1d
/ip firewall filter add chain=forward src-address=0.0.0.0/0 protocol=udp dst-port=5060 in-interface=ether1-gateway connection-state=new action=add-src-to-address-list address-list="SIP Trial" address-list-timeout=00:00:15

Es una buena alternativa para hacer una protección básica de una centralita IP. Obvio que hay que se puede mejorar mucho mas, pero la base esta muy bien.

vía: MikroTik

Página 1 de 2112345...1020...Última »