Archivos de Categoría: Voip

MUM Guatemala 2017: Suricata y FastNetMon

Hace un par de semanas se celebraron los primeros MUM -MikroTik User Meeting- del año, ésta vez fue en Ciudad de Guatemala y Bogotá.

Pude brindar mi presentación (charla) en el MUM de Guatemala (que dicho sea de paso, fue el día de mi cumpleaños), que hablé de como implementar un sistema de protección de ataque DDoS y un IPS / IDS con Suricata.

La verdad que la repercusión que tuvo mi charla fue mayor a lo que esperaba, he tenido contactos de usuarios de varios países que me felicitaban por la presentación y aportaron algunos consejos o sugerencias para que pueda mejorar la charla en un futuro.

Me enfoque principalmente en como utilizar Suricata para poder detectar intrusiones a través de las alertas de la aplicación y luego poder tomar alguna acción con dicha intrusión.

También hable de FastNetMon, de cómo protegerse de ataques DDoS y como podemos interactuar a través de un API con RouterOS para poder bloquear dicho ataque.

Creo que la repercusión de la charla fue debido a que Pavel, el creador de FastNetMon, twitteo mi charla y de ahi sus seguidores hicieron sus comentarios.

Pueden descargar el PDF de la presentación desde el siguiente enlace.

En un futuro escribiré como utilizar Suricata como IPS con RouterOS a través de un módulo que programé para automatizar la tarea.

Sugerencias y comentarios son bienvenidos.

FastNetMon: Detectando y protegiéndonos de ataques DDoS

Uno de los gajes del oficio del networking y en especial de los ISP son los ataques de Denegación de Servicio Distribuida DDoS.

Hay varias maneras de protegerse, las mejores o con mas opciones son pagas y con elevados costos de licenciamiento. Un proyecto OpenSource (GNU GPLv2) que lo inicio un amigo de Rusia (Pavel Odintsov) llamado FastNetMon es una buena opción como alternativa gratuita.

FastNetMon es un analizador de tráfico y permite detectar ataques DDoS en 2 segundos. Soporta NetFlow v5, v9. IPFIX, sFLOW v4, v5 y Port Mirror/SPAN.

Se puede detectar tráfico malicioso en la red e inmediatamente bloquear el IP con BGP Blackhole o aplicándole alguna política al IP tanto atacante como atacado. Soporta BGPv4, BGP flow spec (RFC 5575). Tiene compatibilidad con Cisco, Juniper, A10 Networks, Extreme, Brocade y MikroTik.

La integración es simple, ya que no requiere ningún cambio en la topología de la red.

Al proyecto que se encuentra alojado en GitHub, le han realizado cientos de aportes diversos programadores del mundo, haciendo hoy día una solución para detección de ataques interesante.

Mi aporte al proyecto fue la integración con MikroTik RouterOS a través de la API, pudiendo tomar cualquier acción en contramedida de un ataque DDoS.

Hoy en día se está utilizando en grandes redes, de hecho en el sitio web hay una sección de testimonios en donde empresas como ZenDesk, Tranquilhosting entre otros comentan de que manera le ha ayudado.

Pueden encontrar mas información en el sitio oficial de FastNetMon.

Bloqueando ataques SIP con Firewall MikroTik

Hace tiempo tuve la necesidad de proteger algunas centrales IP y desarrolle una serie de reglas que protegen a una central telefónica IP como un asterisk, de ataques SIP. Me la tuve que rebuscar bastante para lograr tener algo funcional.

Un usuario del foro de MikroTik ha desarrollado un par de regla simples t bastante interesantes  que permiten proteger una centralita.

La idea es mirar la primer registración sip (new) al puerto 5060 y si en 15 segundos no puede lograr el handshake (login) con el servidor -usualmente el registro llega 3 segundos como mucho-, lo coloca en una lista negra por 1 día para banear el IP.

Las reglas son:
/ip firewall filter add chain=forward in-interface=ether1-gateway src-address-list="SIP Hacker" action=drop
/ip firewall filter add chain=forward protocol=udp dst-port=5060 connection-state=new src-address-list="SIP Trial" in-interface=ether1-gateway action=add-src-to-address-list address-list="SIP Hacker" address-list-timeout=1d
/ip firewall filter add chain=forward src-address=0.0.0.0/0 protocol=udp dst-port=5060 in-interface=ether1-gateway connection-state=new action=add-src-to-address-list address-list="SIP Trial" address-list-timeout=00:00:15

Es una buena alternativa para hacer una protección básica de una centralita IP. Obvio que hay que se puede mejorar mucho mas, pero la base esta muy bien.

vía: MikroTik

Cambiando MAC Address en MacOS Yosemite

Hace unas semanas tuve la necesidad de hacer el cambio de la MAC Address a la interfaz inalámbrica de mi notebook y al ser la primera vez que lo necesite hacer en MacOS decidí compartirlo porque seguro que a mas de uno lo necesitará alguna vez.

He buscado por internet y hay muchísimas (según dicen) de cambiar la MAC Address de alguna de las interfaces en MacOS pero la que me dio resultado efectivo es la siguiente:

Para cambiar la MAC Address, se puede elegir una cualquiera o generar una posible con el comando:
openssl rand -hex 6 | sed 's/\(..\)/\1:/g; s/.$//'
El resultado será algo así:

b3:0c:74:bf:c7:25

Procederemos a utilizarla como MAC Address. Configuramos la interface en0 que corresponde a la wireless.


sudo /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport -z
sudo ifconfig en0 ether b3:0c:74:bf:c7:25
networksetup -detectnewhardware

Con este último comando se tomarán los cambios realizado. Luego se procede a conectar nuevamente con el AP que se desee.

MikroTikConfig: Generador de configuraciones MikroTik RouterOS

Una interesante herramienta nos ayuda a generar configuraciones básicas del RouterOS en Firewall y QoS.

Las reglas que genera las estuve estudiando y están bien en la base, en Calidad de Servicio hay que hacerles un retoque, pero nos ayuda a generar el grueso de la configuración.

El sitio web muestra una manera fácil de completar la configuración, ya que nos aparece un diagrama con imágenes para ir completando la configuración deseada.

MikroTikConfig.com

0-day para FreePBX

A inicios del mes se descubrió una vulnerabilidad en el FreePBX, uno de los entornos web de programación de una centralita Asterisk, y que ha sido catalogado como 0-day.

Una vulnerabilidad 0-day indica que es super critica, que tiene que ser algo resuelto ahora, que se deben tomar medidas de seguridad urgente porque estamos susceptible a ataques.

Con este bug es posible tomar control administrador sin tener que autenticarnos y luego se podrá tener acceso total a la central telefónica y la posible ejecución de comandos.

La vulnerabilidad es para todas las versiones de FreePBX y como medida de contingencia hay que bloquear el acceso web a terceros de nuestra red.

Estuve leyendo un foro sobre el tema y comentan que hay detectado robots que van escaneando las redes en Internet para encontrar centrales IP vulnerable para luego atacarlas.

Como medida simple de protección es solo necesario bloquear el acceso web de la central y solo dejar los de la VoIP únicamente abierto.

  • Para esto hay que bloquear el TCP 80 para redes externas de nuestra red interna
  • Abrir unicamente y si es necesario los puertos SIP/5060 y RTP/10000-20000

Recuerden que es 0-day y si tienes una centralita asterisk de cara a internet puedes ser atacado!

Mas información sobre la vulnerabilidad en el sitio de FreePBX

Servidores VPN PP2P Gratuitos

Leyendo mis feeds en feedly encuentro una increíble noticia, que la desconocía en su versión gratuita, pero hay varios servidores PPTP que te brindan acceso a un internet seguro.

Principalmente en estos sitios comentan que la idea es tener un servicio de VPN gratuito que te permita tener anonimato, seguridad y privacidad al momento que estas navegando por internet.

Este tipo de servicio debe ser muy útil para los usuarios de China y Cuba por ejemplo que tienen un internet restringido.

Por otro lado, lo que estuve leyendo en los foros, estos servicios gratuitos de VPN (Varios en EE.UU y Canada) son utilizados para acceder a servicios solo disponibles en Estados Unidos, por ejemplo NetFlix y algunos servicios de música. Según comentan configurando la VPN uno puede acceder a las últimas novedades en películas y series que están disponibles en USA.

Lo que no ésta permitido en ellos es la utilización de Bittorrent y P2P, pero el resto esta abierto. Se tiene aproximadamente unos 5mbps de bajada y 1.5mbps de subida en la mayoría de los servicios, pero varían en algunos de ellos.

Los servicios que encontré y recomiendan son HotFreeVPN (Cánada) y FreeVPNHosting (USA) que utilizan un acceso por PPTP con usuario y contraseñas simples.

Interesante recursos que nos puede servir en algún momento.

Network Simulator con MikroTik

Cuando inicie con MikroTik los primeros laboratorios que realizaba los hacía con virtualización. Utilizando Vmware o Virtualbox luego corría una maquina con RouterOS y así iba levantado tantas como me hicieran falta para hacer la implementación.

Luego con el correr el tiempo y con el bajo costo de los RouterBOARD como el RB750 o RB450 se pudieron armar los laboratorios ya en un formato mas cercano a la realidad, porque podíamos utilizar todos los routers que nos hicieran falta.

En el último MUM de Indonesia, hubo una presentación buenísima que habla sobre como realizar un Network Simulator con MikroTik.

Puntualmente menciona con que herramientas se puede lograr una mejor virtualización y habla de GNS3, QEMU y MikroTik.

Lo bueno que tiene, es que enseña como levantar una máquina virtual con Qemu y MikroTik, y luego con una aplicación poder levantar una interface unida al GNS3 y poder realizar laboratorios con simulación de Ciscos, MikroTik, etc.

Por suerte la presentación esta en inglés, porque si hubiese sido en indonesio, no se hubiese entendido nada. Es de recomendable lectura para quienes están en ambiente de educación o aprendiendo de redes y necesiten realizar diferentes laboratorios de simulación multimarca.

Presentación MikroTik Network Simulator por Rofiq Fauzo. MUM ID 2013

Cisco publicará el código fuente de H.264 y pagará por las regalias

Una noticia que le será de utilidad a la comunidad en si, Cisco planea abrir el código fuente del códec H.264 y proveer un módulo binario que podrá ser descargado gratuitamente.

De está manera, Cisco le proveerá el código completamente libre y podrá ser utilizado sin pagar por el “uso” de patentes, porque él se hará cargo, a la comunidad en general.

Se puede leer mas sobre la noticia en el siguiente enlace.

Aplicación SIP para iPhone con g729

Hace un tiempo me volví nuevamente para el lado de Apple, cambie el dañado Samsung S3 al iPhone 5. No me termine de acostumbrar al S3, se me cayó al piso y se daño la pantalla.

Averigüe por el arreglo / repuesto y en Argentina es carísimo  casi lo mismo que lo pague al teléfono (lo saque en compañía subsidiado).

Al ver que la inversión era similar a lo que pagaría por un iPhone 5 en USA, decidí aprovechar la ocasión y hacerlo.

Debo decir que estoy mas que conforme con el teléfono, la estabilidad y rapidez del iOS en relación a Android se hace notar; el uso de la batería es normal (1 / 1.5días) de acuerdo al uso, con ayuda de APP para administrar la carga y consumo.

A nivel de las aplicaciones, de las que mas necesito es la VoIP, en Android utilizaba CSip que anda bien y tiene G729 para utilizar directamente. Pensé que podía encontrar algo así para iPhone pero me fije que todos los clientes SIP que vienen no traen el G729 directamente y siempre va con el pago de la licencia por el códec sin posibilidad de utilizar la versión free del mismo.

Hasta que llegue a Denwa Lite, un cliente SIP simple pero que tiene G729 para utilizar directamente. Es muy útil este codec cuando se está en redes publicas por el ancho de banda suele ser mínimo y con un códec de mayor consumo se complica hablar por telefono.

Con ésta aplicación deje de lado las otras que venía probando. Lo interesante que tiene es que es gratis y está disponible en el App Store.

 

Página 1 de 812345...Última »