Cisco

Wikileaks, la CIA y la seguridad

El día 7 de Marzo Wikileaks publico una serie de documentos en donde menciona diferentes herramientas que fueron creadas por la CIA que permite acceder a diferentes sistemas operativos como Windows, MacOS, Linux Solaris, MikroTik RouterOS entre otros.

En el caso de MikroTik, la vulnerabilidad viene por el servicio HTTPD el cual permite al exploit «ChimayRed» que pueda inyectar código malicioso al RouterOS.

Hasta que Mikrotik brindó su comunicado oficial, lo que recomendaba era cerrar el puerto del servicio www, generalmente en el 80, con firewall para que solo pueda ser accedido de redes confiables.

Luego de un par de horas, MikroTik publico su versión oficial del hecho, en donde comenta que están investigando el caso y que con la información que puso a disponibilidad Wikileaks logro aplicar un arreglo para paliar la supuesta vulnerabilidad encontrada, -que por cierto según el informe de Wikileaks solo afecta a las versiones anteriores a la v6.30.2-, y dicho arreglo verifica y restaura la estructura interna de los archivos y fue aplicado en las versiones v6.38.5 y v6.37.5 con el siguiente fix:

*) filesystem – implemented procedures to verify and restore internal file structure integrity upon upgrading;

La respuesta de MikroTik a la incidencia fue muy rápida en relación a otros vendors que si bien aún no han anunciado el arreglo, si han publicado diferentes documentos sobre sus investigaciones. El que me llamó la atención fue al nivel de detalle que brindo Cisco, en donde en su reporte informa que:

De acuerdo al análisis preliminar de acuerdo a los documentos publicados se tiene:

  • El malware existe y parece afectar a diferentes tipos de dispositivos de Cisco, entre ellos routers y switches.
  • El malware una vez instalado en el dispositivo Cisco, parece proveer un rango de funcionalidades como ser: data logging, data exfiltration, ejecutar comandos con privilegios administrativos y sin dejar ningún registro de dichos comandos ejecutados), html traffic redirection, manipulation and moficitation (insertar código html), DNS posoning, etc.
  • Los autores parecen haber gastado una gran cantidad de tiempo asegurando que las herramientas, una vez instaladas, intenten mantenerse ocultas a la detección y análisis forenses.
  • Los autores han gastado gran cantidad de recursos en la calidad de los testeos, ya que una vez instalado el malware no causan crash en el sistema.

Como se puede apreciar, uno de los principales objetivos de este «ataque de la CIA» fue Cisco y puede leerse en el Wikileaks relacionado.

Algunos usuarios de los foros indican que los tiempos de actualización y parche de Cisco ante este tipo de eventos suele ser tardía y que quienes tienen acceso a ellas a tiempo son principalmente los que tienen el soporte pago, a diferencia de MikroTik que ha publicado rápidamente para todo el mundo su parche.

En fin, son diferentes posturas subjetivas de los usuarios, lo cierto es que ha habido una movida general de los involucrados para tomar alguna medida correctiva a este malware que complica la seguridad de todo el mundo.

FastNetMon: Detectando y protegiéndonos de ataques DDoS

Uno de los gajes del oficio del networking y en especial de los ISP son los ataques de Denegación de Servicio Distribuida DDoS.

Hay varias maneras de protegerse, las mejores o con mas opciones son pagas y con elevados costos de licenciamiento. Un proyecto OpenSource (GNU GPLv2) que lo inicio un amigo de Rusia (Pavel Odintsov) llamado FastNetMon es una buena opción como alternativa gratuita.

FastNetMon es un analizador de tráfico y permite detectar ataques DDoS en 2 segundos. Soporta NetFlow v5, v9. IPFIX, sFLOW v4, v5 y Port Mirror/SPAN.

Se puede detectar tráfico malicioso en la red e inmediatamente bloquear el IP con BGP Blackhole o aplicándole alguna política al IP tanto atacante como atacado. Soporta BGPv4, BGP flow spec (RFC 5575). Tiene compatibilidad con Cisco, Juniper, A10 Networks, Extreme, Brocade y MikroTik.

La integración es simple, ya que no requiere ningún cambio en la topología de la red.

Al proyecto que se encuentra alojado en GitHub, le han realizado cientos de aportes diversos programadores del mundo, haciendo hoy día una solución para detección de ataques interesante.

Mi aporte al proyecto fue la integración con MikroTik RouterOS a través de la API, pudiendo tomar cualquier acción en contramedida de un ataque DDoS.

Hoy en día se está utilizando en grandes redes, de hecho en el sitio web hay una sección de testimonios en donde empresas como ZenDesk, Tranquilhosting entre otros comentan de que manera le ha ayudado.

Pueden encontrar mas información en el sitio oficial de FastNetMon.

De Cisco a MikroTik, listado de comandos BGP.

En el mundo del networking hay muchas marcas de routers disponibles y uno de los principales vendors es Cisco quien acapara una gran cuota del mercado.

Hoy en día MikroTik se está metiendo de a poco en el mercado de los carriers y su implementación en entornos de interconexión se ha incrementado últimamente.

Un sitio especializado del tema networking llamado StubArea51 ha creado una lista de comandos para BGP que permite la traducción de sintaxis Cisco a MikroTik RouterOS.

La captura de pantalla es la siguiente:

Cisco To MikroTik

Recomiendo la lectura de dicho artículo porque da detalles especiales en puntos a tener en cuenta al momento de aplicar ciertos comandos.

Vía: MikroTik

Cisco compro OpenDNS

A finales del mes pasado se realizó una operación de relevancia para el mundo el networking y la seguridad, Cisco compro a OpenDNS por U$S 635 Millones de dólares.

OpenDNS es uno de los principales servicios de DNS del mundo, a su vez tiene agregados de seguridad adicionales para monitorear los pedidos, permitir o no el acceso a sitios de porno, ocio, etc. Un servicio para Familias y Escuelas también tiene disponible este servicio.

Con esta adquisición los empleados de OpenDNS pasan a pertenecer al Grupo de Seguridad para Empresas.

OpenDNS seguirá ofreciendo el mismo servicio gratuito.

Vìa: SecurityWeek

8 de Junio: Día mundial de IPv6

Como todos los 8 de Junio se festejará el día mundial del IPv6. la idea es que ese día se utilice como pruebas para quienes deseen testear la implementación a este protocolo.

Este año a su vez Lacnic, ISOC. NIC.br, CloudFlare y Cisco invitan a participar remotamente de este evento a través de una charla sobre IPv6. La agenda y el registro está disponible en el siguiente enlace.

También Lacnic ha puesto a disposición un Curso introductorio de IPv6, el cual tendrá la modalidad autoasistida, será en español y requiere de aproximadamente 20 hs de dedicación para poder familirializarse con los conceptos de este protocolo

Se puede conocer mas de este curso y su matriculación en el siguiente enlace.

Es bueno tener en cuenta ir estudiando sobre este protocolo porque en un par de años será mandatorio que trabajemos con IPv6 si queremos hacer que nuestras redes tengan escalabilidad.

El cable submarino que le brinda internet a la Argentina

Allá por el 2008 había escrito sobre un video de como se extienden los cables submarinos por el mundo y las herramientas, robots y demás que se utilizan en la tarea.

Hoy día el portal MinutoUno ha colocado un artículo que explica como le llega a la Argentina uno de los cables submarinos que tiene, particularmente habla del punto de Las Toninas, lugar donde llega la fibra óptica submarina.

El cable del cual habla el artículo es el de Level3, uno de los carrier mas grande del mundo, el cual hace unos años compro a Global Crossing, otro gran carrier que por cierto tenía presencia mundial y varios cables submarinos por ahí; al momento de la compra / fusión, Level3 aumento su tamaño y su red también.

En la nota se comenta que el cable de fibra óptica tiene unos 7cm de diámetro con 4 pares de pelos -fibra óptica- que logran transferir unos 1.6TB por segundo. También informa sobre que sucede cuando se corta un cable y como es el proceso de detectar dicho corte y su reparación. Por suerte en Argentina si se llega a cortar uno de los cables submarinos internacionales del Atlántico, tenemos contingencia por el lado del Pacifico vía Chile.

Esta buena la nota para leerla y enterarnos uno poco mas sobre como nos llega el internet a nuestro país.

Vía MinutoUno

Cisco publicará el código fuente de H.264 y pagará por las regalias

Una noticia que le será de utilidad a la comunidad en si, Cisco planea abrir el código fuente del códec H.264 y proveer un módulo binario que podrá ser descargado gratuitamente.

De está manera, Cisco le proveerá el código completamente libre y podrá ser utilizado sin pagar por el «uso» de patentes, porque él se hará cargo, a la comunidad en general.

Se puede leer mas sobre la noticia en el siguiente enlace.

Cisco libera el protocolo EIGRP

Una excelente noticia para el mundo del networking, Cisco a anunciado que abrirá el acceso del protocolo Enhanced Interior Gateway Routing Protocol (EIGRP).

La idea de la empresa es abrirlo como un standart  y que pueda ser implementado por diferentes vendors para aplicarlo en entornos multimarca.

Ahora las diferentes compañías de networking podrán implementar libremente el EIGRP en sus equipos y así lograr tener interoperatibilidad con miles de redes corriendo éste protocolo hoy en día.

Está noticia ha sido compartida con MikroTik a través de algunos usuarios del foro, que le están pidiendo a la empresa que lo incorpore en su RouterOS.

Pueden leer las FAQ (preguntas y respuestas) de la liberación del protocolo en el sitio de Cisco.

World IPv6 day: El cambio se aproxima

El agotamiento de las IPv4 tiene fecha y es menos de 1 mes, el colapso ha llegado y es necesario un cambio en las redes para poder ir creciendo. Es por ello que los grandes generadores de contenido (Google, Facebook, Yahoo, Akamai entre otras organizaciones) se han propuesto brindar su contenido sobre IPv6 por 24 horas en una especie de «test drive».

La fecha clave será el 8 de Junio del 2011 y tiene como objetivo motivar a las empresas, ISPs, organizaciones, servidores de hosting que vayan preparándose para trabajar en IPv6 y así ir realizando pruebas para una transición IPv4 > IPv6 satisfactoria.

Para saber si tenemos conectividad IPv6 y si además nuestro proveedor la soporta tenemos el sitio test-ipv6.com que nos brinda un test completo para saber el estado de nuestra conectividad.

Pueden leer mas información sobre el evento en el sitio de Internet Society y en el blog oficial de Google.

IPv6 al alcance de su mano….

Antes de finalizar el año no quería dejar de hacer algunas pruebas de laboratorio con IPv6, porque es algo que amerita, ya que el año entrante (2011) será el año del nuevo direccionamiento de red.

Debo admitir que al inicio pensé que iba a ser mas complicado la utilización e implementación de este protocolo, pero nada mas lejos de la verdad, lo que podido realizar en un par de minutos y al momento de escribir este post estoy trabajando con IPv6, accediendo a ésta red a través de un túnel.

El escenario como lo tengo ahora es un MikroTik RouterOS corriendo con la v4.16 (no he probado las versiones Release Candidate que si bien tienen muchísimos agregados y funciones para IPv6, éstas no son del todo estable y han reportado graves problemas y fallos en sus últimas versiones). En este router tengo en funcionamiento la red híbrida IPv4 e IPv6, a esta última la tengo configurada con los datos que me brindó Hurricane Electric, el cual me asigno un /48 para mi direccionamiento interno (que son unas 65536 subredes para mi solito) y los datos del router que me brindara la conectividad IPv6.

Seguir leyendo…