Archivos de Categoría: Programación

MUM Guatemala 2017: Suricata y FastNetMon

Hace un par de semanas se celebraron los primeros MUM -MikroTik User Meeting- del año, ésta vez fue en Ciudad de Guatemala y Bogotá.

Pude brindar mi presentación (charla) en el MUM de Guatemala (que dicho sea de paso, fue el día de mi cumpleaños), que hablé de como implementar un sistema de protección de ataque DDoS y un IPS / IDS con Suricata.

La verdad que la repercusión que tuvo mi charla fue mayor a lo que esperaba, he tenido contactos de usuarios de varios países que me felicitaban por la presentación y aportaron algunos consejos o sugerencias para que pueda mejorar la charla en un futuro.

Me enfoque principalmente en como utilizar Suricata para poder detectar intrusiones a través de las alertas de la aplicación y luego poder tomar alguna acción con dicha intrusión.

También hable de FastNetMon, de cómo protegerse de ataques DDoS y como podemos interactuar a través de un API con RouterOS para poder bloquear dicho ataque.

Creo que la repercusión de la charla fue debido a que Pavel, el creador de FastNetMon, twitteo mi charla y de ahi sus seguidores hicieron sus comentarios.

Pueden descargar el PDF de la presentación desde el siguiente enlace.

En un futuro escribiré como utilizar Suricata como IPS con RouterOS a través de un módulo que programé para automatizar la tarea.

Sugerencias y comentarios son bienvenidos.

FastNetMon: Detectando y protegiéndonos de ataques DDoS

Uno de los gajes del oficio del networking y en especial de los ISP son los ataques de Denegación de Servicio Distribuida DDoS.

Hay varias maneras de protegerse, las mejores o con mas opciones son pagas y con elevados costos de licenciamiento. Un proyecto OpenSource (GNU GPLv2) que lo inicio un amigo de Rusia (Pavel Odintsov) llamado FastNetMon es una buena opción como alternativa gratuita.

FastNetMon es un analizador de tráfico y permite detectar ataques DDoS en 2 segundos. Soporta NetFlow v5, v9. IPFIX, sFLOW v4, v5 y Port Mirror/SPAN.

Se puede detectar tráfico malicioso en la red e inmediatamente bloquear el IP con BGP Blackhole o aplicándole alguna política al IP tanto atacante como atacado. Soporta BGPv4, BGP flow spec (RFC 5575). Tiene compatibilidad con Cisco, Juniper, A10 Networks, Extreme, Brocade y MikroTik.

La integración es simple, ya que no requiere ningún cambio en la topología de la red.

Al proyecto que se encuentra alojado en GitHub, le han realizado cientos de aportes diversos programadores del mundo, haciendo hoy día una solución para detección de ataques interesante.

Mi aporte al proyecto fue la integración con MikroTik RouterOS a través de la API, pudiendo tomar cualquier acción en contramedida de un ataque DDoS.

Hoy en día se está utilizando en grandes redes, de hecho en el sitio web hay una sección de testimonios en donde empresas como ZenDesk, Tranquilhosting entre otros comentan de que manera le ha ayudado.

Pueden encontrar mas información en el sitio oficial de FastNetMon.

APK para limpiar los Ubiquiti infectados

Desde hace unos días se están infectando a nivel mundial los dispositivos de Ubiquiti que tienen un firmware desactualizado.

Esta infección la realiza un virus llamado “mother fucker” que explota una vulnerabilidad que fue solucionada el año pasado y que quienes no hayan actualizado, estan susceptible al ataque.

En un artículo que escribí en MKE Solutions hablo un poco mas del tema.

Hay varias opciones para hacer la limpieza pero una interesante es un APK para Android que permite realizar la limpieza de los dispositivos desde el mismo smartphone.

Aunque no es una APP oficial, los usuarios que la han probado dicen que funciona a la maravilla. Yo no uso Android por lo que no he podido usarla.

El APK se puede descargar directamente o se puede ingresar al proyecto app-ubnt-virus-cleaner en GitHub

Blocklister: obteniendo listas de firewall para RouterOS

Un servicio que encontré leyendo algunos post en el foro de MikroTik es Blocklister, un servicio que genera listas de direcciones IP compatibles con RouterOS de las principales listas de internet como ser DShield o SpamHaus.

La lista completa de sitios al momento se puede encontrar en el proyecto GIT, donde también estan disponibles los pasos para hacer la instalación del sistema.

Estas listas se actualizan cada 2 días y permiten brindarle una protección adicional al routerOS.

Su funcionamiento es bastante simple, existe un listado de listas de acuerdo a lo que queramos bloquear, como por ejemplo, sitios con ads, spyware, proxy abiertos, spamhaus, etc. Una vez que definimos la lista, ésta es importada en un address list en el MikroTik y luego le hacemos el tratamiento que queramos.

Se puede leer mas del proyecto en GitHub

12 Añitos de blogging

El 1 de Marzo este blog cumplió otro añito mas de vida y llegó a la suma de 12 años; un gran número!

Feliz cumpleblog, a mi descuidado pero querido blog,

hidden-tear: un ransomware open source

Hace unos días mi amigo Gabriel de SerInformatica me paso un enlace de un proyecto muy interesante, es un ransomware que tiene muchas funcionalidades.

No es que quiera hacer apología de esto, pero me pareció interesante el código y la manera que funciona esta herramienta. Como se sabe un ransomware es un aplicación que encripta los archivos de un sistema y luego para desencriptar esa información se requiere una llave.

Lo interesante de esto son las funcionalidades que se puede lograr tener. Creo que la mas interesantes es la de poder saltarse los principales antivirus y su pequeño tamaño.

Se puede ver mas información de la aplicación en el proyecto de GitHub y allí mismo ahondar en detalles interesantísimos que dispone.

La misma tiene un aviso legal que el mismo está destinado para propósitos de educación.

hidden-tear

De Cisco a MikroTik, listado de comandos BGP.

En el mundo del networking hay muchas marcas de routers disponibles y uno de los principales vendors es Cisco quien acapara una gran cuota del mercado.

Hoy en día MikroTik se está metiendo de a poco en el mercado de los carriers y su implementación en entornos de interconexión se ha incrementado últimamente.

Un sitio especializado del tema networking llamado StubArea51 ha creado una lista de comandos para BGP que permite la traducción de sintaxis Cisco a MikroTik RouterOS.

La captura de pantalla es la siguiente:

Cisco To MikroTik

Recomiendo la lectura de dicho artículo porque da detalles especiales en puntos a tener en cuenta al momento de aplicar ciertos comandos.

Vía: MikroTik

Primer Campus Party en Argentina

Por primera vez en Argentina se realizará en Febrero del 2016 el Campus Party Argentina. Este es el evento mas importante del mundo de la tecnología, innovación, emprendimiento, creatividad y ocio digital.

Este evento se ha venido realizando en diferentes países del mundo; tengo amigos que han participados en estos eventos y me han comentado que es alucinante.

Cómo comente es la primera vez que se realiza en Argentina y es una buena oportunidad para poder participar y que no te la cuenten, sino vivirla.

Se podrá obtener mas información del evento en el sitio web oficial; también se puede registrar para poder asistir.

Mas info: Campus Party Argentina

 

Algunos datos interesantes

Desde hace tiempo tengo en favoritos algunos enlaces que mencionan datos interesantes que a continuación los compartiré.

Oficialmente MikroTik ha comprobado el perfomance de los CCRs trabajando con túneles IPSEC y surgieron los siguientes resultados:

CCR1036:
El máximo throughput alcanzado fue de 3.2Gbps con 34 túneles (full duplex)
1.8Gbps con 16 túneles
820Mbps con un GRE over IPSec (full duplex)

CCR1009:
1.6Gbps con 8 túneles full duplex
520Mbps con un GRE over IPSec (full duplex)

Los testeos fueron realizados con el traffic-generator y tamaños de paquetes de 1470 byte.

8 de Junio: Día mundial de IPv6

Como todos los 8 de Junio se festejará el día mundial del IPv6. la idea es que ese día se utilice como pruebas para quienes deseen testear la implementación a este protocolo.

Este año a su vez Lacnic, ISOC. NIC.br, CloudFlare y Cisco invitan a participar remotamente de este evento a través de una charla sobre IPv6. La agenda y el registro está disponible en el siguiente enlace.

También Lacnic ha puesto a disposición un Curso introductorio de IPv6, el cual tendrá la modalidad autoasistida, será en español y requiere de aproximadamente 20 hs de dedicación para poder familirializarse con los conceptos de este protocolo

Se puede conocer mas de este curso y su matriculación en el siguiente enlace.

Es bueno tener en cuenta ir estudiando sobre este protocolo porque en un par de años será mandatorio que trabajemos con IPv6 si queremos hacer que nuestras redes tengan escalabilidad.

Página 1 de 612345...Última »