Archivos de Categoría: Ubuntu

MUM Guatemala 2017: Suricata y FastNetMon

Hace un par de semanas se celebraron los primeros MUM -MikroTik User Meeting- del año, ésta vez fue en Ciudad de Guatemala y Bogotá.

Pude brindar mi presentación (charla) en el MUM de Guatemala (que dicho sea de paso, fue el día de mi cumpleaños), que hablé de como implementar un sistema de protección de ataque DDoS y un IPS / IDS con Suricata.

La verdad que la repercusión que tuvo mi charla fue mayor a lo que esperaba, he tenido contactos de usuarios de varios países que me felicitaban por la presentación y aportaron algunos consejos o sugerencias para que pueda mejorar la charla en un futuro.

Me enfoque principalmente en como utilizar Suricata para poder detectar intrusiones a través de las alertas de la aplicación y luego poder tomar alguna acción con dicha intrusión.

También hable de FastNetMon, de cómo protegerse de ataques DDoS y como podemos interactuar a través de un API con RouterOS para poder bloquear dicho ataque.

Creo que la repercusión de la charla fue debido a que Pavel, el creador de FastNetMon, twitteo mi charla y de ahi sus seguidores hicieron sus comentarios.

Pueden descargar el PDF de la presentación desde el siguiente enlace.

En un futuro escribiré como utilizar Suricata como IPS con RouterOS a través de un módulo que programé para automatizar la tarea.

Sugerencias y comentarios son bienvenidos.

FastNetMon: Detectando y protegiéndonos de ataques DDoS

Uno de los gajes del oficio del networking y en especial de los ISP son los ataques de Denegación de Servicio Distribuida DDoS.

Hay varias maneras de protegerse, las mejores o con mas opciones son pagas y con elevados costos de licenciamiento. Un proyecto OpenSource (GNU GPLv2) que lo inicio un amigo de Rusia (Pavel Odintsov) llamado FastNetMon es una buena opción como alternativa gratuita.

FastNetMon es un analizador de tráfico y permite detectar ataques DDoS en 2 segundos. Soporta NetFlow v5, v9. IPFIX, sFLOW v4, v5 y Port Mirror/SPAN.

Se puede detectar tráfico malicioso en la red e inmediatamente bloquear el IP con BGP Blackhole o aplicándole alguna política al IP tanto atacante como atacado. Soporta BGPv4, BGP flow spec (RFC 5575). Tiene compatibilidad con Cisco, Juniper, A10 Networks, Extreme, Brocade y MikroTik.

La integración es simple, ya que no requiere ningún cambio en la topología de la red.

Al proyecto que se encuentra alojado en GitHub, le han realizado cientos de aportes diversos programadores del mundo, haciendo hoy día una solución para detección de ataques interesante.

Mi aporte al proyecto fue la integración con MikroTik RouterOS a través de la API, pudiendo tomar cualquier acción en contramedida de un ataque DDoS.

Hoy en día se está utilizando en grandes redes, de hecho en el sitio web hay una sección de testimonios en donde empresas como ZenDesk, Tranquilhosting entre otros comentan de que manera le ha ayudado.

Pueden encontrar mas información en el sitio oficial de FastNetMon.

mikrotik-fail2ban: Protegiendo nuestro RouterOS

Un excelente complemento del fail2ban ha sido integrado al RouterOS. Utilizando un syslog server creado en Python, es posible proteger a nuestros routers de manera centralizada.

El logger server solo acepta los syslogs remotos de los IP que han sido dado de alta, por lo que se puede proteger todos los routers con un solo fail2ban.

El sistema escucha en UDP los paquetes que le llegan de los syslogs de los routers configurados, el log es incorporado al auth.log y el fail2ban los captura y ejecuta una acción a proteger.

Se puede instalar facilmente a través de GIT. El proyecto esta liberado con licenciamiento MIT license.

Mas info: Proyecto GIT

0-day para FreePBX

A inicios del mes se descubrió una vulnerabilidad en el FreePBX, uno de los entornos web de programación de una centralita Asterisk, y que ha sido catalogado como 0-day.

Una vulnerabilidad 0-day indica que es super critica, que tiene que ser algo resuelto ahora, que se deben tomar medidas de seguridad urgente porque estamos susceptible a ataques.

Con este bug es posible tomar control administrador sin tener que autenticarnos y luego se podrá tener acceso total a la central telefónica y la posible ejecución de comandos.

La vulnerabilidad es para todas las versiones de FreePBX y como medida de contingencia hay que bloquear el acceso web a terceros de nuestra red.

Estuve leyendo un foro sobre el tema y comentan que hay detectado robots que van escaneando las redes en Internet para encontrar centrales IP vulnerable para luego atacarlas.

Como medida simple de protección es solo necesario bloquear el acceso web de la central y solo dejar los de la VoIP únicamente abierto.

  • Para esto hay que bloquear el TCP 80 para redes externas de nuestra red interna
  • Abrir unicamente y si es necesario los puertos SIP/5060 y RTP/10000-20000

Recuerden que es 0-day y si tienes una centralita asterisk de cara a internet puedes ser atacado!

Mas información sobre la vulnerabilidad en el sitio de FreePBX

Access Manager: Portal Cautivo Gratuito

Buscando entre algunos radius disponibles gratuitos me encontré con Access Manager, un sistema administrador de HotSpot gratuito.

El framework esta escrito en PHP y permite levantar un Freeradius y a través del portal se podrá proveer conectividad a través de HotSpot. Se pueden aplicar políticas de ancho de banda, planes de servicios, etc.

Lo bueno que tiene es la integración con PayPal y la generación de vouchers. El sistema soporta multi routers porque es un radius, tan solo hay que relacionarlo con un router configurando el radius cliente del mismo. En MikroTik se realiza en /radius.

Hay un demo online para ver la interfaz como se administra y tiene un foro con algunos tips de la aplicación.

Access Manager: Free HotSpot Management Software

Copy: Haciendo backups en la nube

Hace unos días conocí el servicio de Copy, un sistema de almacenamiento en la nube similar a DropBox, Google Drive, etc, de la empresa Barracuda  (NYSE: CUDA)

Lo bueno que tiene es que te dan 15GB gratis, actualizables hasta 25GB a través de un sistema de invitaciones. Al momento de uno registrarse, si viene referido por alguien, le dan 5GB adicional a ambos.

Tiene un sistema para compartir muy interesante, que lo comenta el video que pongo al final del post. El nombre es Fair Storage.

Soporta todos los sistemas operativos para la instalación del cliente y su utilización es similar a los demás sistemas cloud, uno elige una carpeta en donde tendrá que colocar los archivos que quiere subir a internet. Lo interesante que tiene Copy, es que no hace falta duplicar el contenido de un directorio si queremos tenerlo en un disco local y también en la carpeta de Copy, tan solo hace falta hacer un enlace simbólico en Linux o un acceso directo en Windows para que esa carpeta ya sea sincronizada.

A su vez tiene la posibilidad de importar / sincronizar los archivos con otros sistemas como DropBox, Google Drive, Box, etc.

Para hacer backups está muy interesante, de hecho lo he empezado a implementar en el server de maquinas virtuales, en donde puse un servidor de backup con NFS y es al mismo NFS que lo sincronizo con la cuenta Copy, con lo cual el sistema de backup se hace bastante simple al trabajar con NFSNetwork File System-

El agente Linux tiene un entorno gráfico similar al de MacOS y Windows, pero adicionalmente trae un cliente de consola con lo que no hay que tener un servidor X para poder utilizarlo.

Con solo ejecutar una linea de comando colocando las entradas correspondiente, el cliente se conecta al servicio Copy con los datos ingresados y sincroniza la carpeta designada.

Los pasos para la instalación y ejecución de Copy en consola directamente son:

Descargar el agente de Linux:
wget https://copy.com/install/linux/Copy.tgz --no-check-certificate
Descomprimimos el archivo descargado
tar xvzf Copy.tgz
Ingresamos al directorio de la arquitectura respectiva del server
cd copy/x86_64
Ejecutamos el agente con los siguientes datos de entrada
./CopyConsole -u=correo_electronico_de_la_cuenta_copy -r=/directorio_a_sincronizar -p=password_de_la_cuenta_copy
Obtendremos algo así:

Using profile /root/.copy/config.ini
User from cmdline xx@xx.net
Root from cmdline /srv
Password from cmdline
Starting copy...success
Logged in as user: 'xx@xx.net' Copy folder is: '/srv'
Press enter to exit
Syncing 2.5 GB (Uploading @ 248 kB/sec)

Eso es todo, ahora tenemos un sistema de backup en la nube que con la capacidad que te brinda Copy en relación a otros sistemas similares, es una buena opción de Backup Cloud.

Les paso mi referido para que uds obtengan 5GB mas (total 20GB) y a mi me brinde 5GB mas por haberlos referido (negocio para todos).

https://copy.com?r=1aBMYu

El video del sistema Fair Storage:

Network Simulator con MikroTik

Cuando inicie con MikroTik los primeros laboratorios que realizaba los hacía con virtualización. Utilizando Vmware o Virtualbox luego corría una maquina con RouterOS y así iba levantado tantas como me hicieran falta para hacer la implementación.

Luego con el correr el tiempo y con el bajo costo de los RouterBOARD como el RB750 o RB450 se pudieron armar los laboratorios ya en un formato mas cercano a la realidad, porque podíamos utilizar todos los routers que nos hicieran falta.

En el último MUM de Indonesia, hubo una presentación buenísima que habla sobre como realizar un Network Simulator con MikroTik.

Puntualmente menciona con que herramientas se puede lograr una mejor virtualización y habla de GNS3, QEMU y MikroTik.

Lo bueno que tiene, es que enseña como levantar una máquina virtual con Qemu y MikroTik, y luego con una aplicación poder levantar una interface unida al GNS3 y poder realizar laboratorios con simulación de Ciscos, MikroTik, etc.

Por suerte la presentación esta en inglés, porque si hubiese sido en indonesio, no se hubiese entendido nada. Es de recomendable lectura para quienes están en ambiente de educación o aprendiendo de redes y necesiten realizar diferentes laboratorios de simulación multimarca.

Presentación MikroTik Network Simulator por Rofiq Fauzo. MUM ID 2013

Stunnel: Encriptando las conexiones

Hace poco estuve programando una aplicación para el manejo de usuarios, dominios y base de datos en PHP y utilizando el servidor web interno que tiene PHP para ejecutarla.

El problema que tiene el web interno es que http y no soporta encriptación son TLS/SSL. Por el diseño de la aplicación no la puedo ejecutar dentro de un apache, por lo que utilizo otro server web.

El inconveniente que vaya todo en texto plano, es que al manejar contraseñas e información sensible, ésta puede ser expuesta e interceptada.

Buscando un poco encontre Stunnel, una herramienta que permite hacer túneles SSL. La idea de manera simple es hacer que Stunnel levante con encriptación en algún puerto del servidor. Cuando alguien se intente conectar a ese puerto con SSL, éste internamente lo conectará con el servicio que hayamos configurado y toda la información va encriptada. Se puede visualizar de manera fácil como un proxy para agregar SSL -encriptación por certificados-. Con lo mencionado anteriormente puedo hacer que un tráfico HTTP pueda ser cifrado en HTTPs de manera simple.

Los pasos de la instalación son bastante simples, lo que hay que hacer es instalar la aplicación, crear un certificado y configurar stunel para conectarse con alguna aplicación internamente.

Para instalar la aplicación (ejemplo en Debian/Ubuntu):

apt-get install stunnel
Para crear un certificado:
$> openssl req -new -x509 -days 3650 -nodes -out stunnel.pem -keyout stunnel.pem
$> cp stunnel.pem /etc/stunnel/

Esto nos creará dos certificados, uno privado y otro publico, en un solo archivo llamado stunnel.pem

Archivo de configuración:

nano /etc/stunnel/stunnel.conf

cert = /etc/stunnel/stunnel.pem

[http]
accept = 443
connect = 80

Con este ejemplos estamos configurando que el stunnel acepte conexiones en el puerto 443 y la redireccione hacia el puerto 80.

Habilitando el servicio

nano /etc/default/stunnel4

ENABLED=1

Reiniciando el servicio

/etc/init.d/stunnel4 restart

Entrenamiento Ubiquiti AirMAX en Rio Cuarto, Argentina

Se brindará un entrenamiento y certificación de Ubiquiti AirMAX en la ciudad de Rio Cuarto, Córdoba, Argentina.

La fecha elegida será del 17 al 18 de Marzo y los cupos son limitados.

Pueden saber mas del entrenamiento en MKE Solutions

Filtrado de pornografía y contenido con Squid

Uno de mis colegas me ha comentado de una herramienta llamada Diladele de QuintoLabs que se ve bastante interesante. Es una aplicación que corre con Squid y que permite realizar el filtrado de la pornografía, descargas entre algunas opciones que dispone.

Corre como un parent proxy en el Squid (similar a los antivirus) y puede ser utilizado para bloquear contenido ilegal, explícito y pornografía de una manera simple.

Entre otras de las capacidades que dispone es la de bloquear la publicidad con un AdBlock y las descargas de archivos de audio, vídeos y aplicaciones.

El precio es casi simbólico por su uso comercial y gratuito para uno solo.

Hay una versión de descarga para una máquina virtual y que pueda ser colocada en producción en pocos pasos.

Página 1 de 712345...Última »