Linux

IPv6 Week en Brasil..

Interesante propuesta ha tenido la comunidad de internet de Brasil los cuales han coordinado para el 6 al 12 de Febrero del 2012 que los principales proveedores de contenido, Hosting, WISP y demás participantes de Internet puedan testear sus sistemas corriendo con IPv6.

Ya hay un antecedente de estos testeos a nivel mundial el cual se realizo el 8 de Junio del 2011 con una gran participación de la comunidad. En esta oportunidad lo realizarán en Brasil; entre los proveedores que ya han confirmado su presencia son Globo, IG, KingHost, Telefonica, Terra, UOL entre otros.

Algo interesante es que los participantes del Campus Party  Brasil tendrán una conectividad IPv6 nativa para utilizar.

Ojala se pueda coordinar algo así en Argentina, donde algunos ISP ya están brindando conectividad IPv6 a sus usuarios.

Más info en IPv6 Brasil.

MutiTail: Monitoreando logs con colores

Los que me conocen saben que soy un amante de los Logs y las estadísticas, tengo todos mis sitios monitoreándolos online y en tiempo real, puedo saber de que paí­s viene un visitante, el navegador, si es un visitante que regresa o uno nuevo, cuanto tiempo permance en el sitio, etc etc.

También me gusta revisar los syslog de los servidores en tiempo real, como ser llamadas de la CentralIP, servidor SMTP, accesos a HotSpot, Login de sitios web, etc, todo eso lo tengo centralizando en un servidor de SysLog único y desde allá­ los reviso (si, lo sé, no digas nada, soy un enfermo por los logs, si lo sé….pero no me puedo contener).

Para poder diferenciar los diferentes reportes y que tengan resaltes de los datos mas relevantes es que utilizo la herramienta MultiTail, la cual es una maravilla para el administrador de sistema. Sus capacidades son muchí­simas, desde ponerles colores de acuerdo al servicio (smtpd, asterisk, cron, postfix), ver varios logs en un solo, entre algunos. Seguir leyendo…

MikroTik RouterOS BruteForcer

Hace tiempo que tengo en favoritos el siguiente script, el cual puede tener uso para algo bueno ó también para hacer algo malo. Es una herramienta que hace un ataque por fuerza bruta para intentar recuperar la contraseña de un equipo RouterOS y no deseamos hacer un netinstall.

La herramienta intenta hacer un login vía web para encontrar la combinación que hace la contraseña. Para protegerse de este ataque basta con cerrar el puerto 80 con una regla de firewall para que no sea vulnerable a este ataque.

vía: Google y Pastebin

KProxy: Saltando las restricciones de filtrado

Existen algunas redes que tienen como política de seguridad filtrar los sitios ociosos  como Youtube, Facebook, Twitter entre otros.

La forma que generalmente se utiliza es utilizar un filtrado de URL y utilizar un webproxy para su filtrado, algo que sirve si se esta utilizando el puerto 80 el cual es http y su contenido no esta encriptado. Ahora viene la tarea difícil para el administrador de la red porque existe un sitio que se está utilizando muchísimo en algunos entornos que hace de proxy web, el cual hace de intermediario para poder ingresar a algún sitio prohibido.

El gran problema que hay para bloquearlo es que este servicio llamado KProxy utiliza un certificado SSL para la conexión http logrando que la información vaya encriptada y la cual sea imposible de detectarla, logrando tener seguridad y anonimato en la red.

Tiene un servicio gratuito con ciertos limites que son anunciado en el sitio pero mientras estuve probando el sistema no me aparecieron. En caso de toparse con esos limites, ofrecen un servicio pago de VPS personal para poder navegar sin dejar rastros. Este último servicio se utiliza en países que tienen restricciones a sitios como Irán o China para poder acceder a esos contenidos bloqueados.

En las FAQ del sitio indican que tienen varias URL para acceder como ser www.kproxy.com, server1.kproxy.com, server2.kproxy.com …. server8.kproxy.com los cuales responden a diferentes IP de rangos varios. El que tenga lo último mencionado hace difícil la tarea de bloquearlo ya que si bien es simple bloquear a nivel de URL los *.kproxy.com, es complicado y administrativamente costoso el bloquear por IP ya que va cambiando constantemente respondiendo con diferentes rangos.

Pueden obtener mas información y probar el servicio en KProxy.com

Dreamhost VPS Manager

Dreamhost es el servidor que utilizo de hosting para los diferentes sitios que tengo, algunos mios, otros de algunos amigos y clientes que tienen su blog. En general tiene un buen servicio, no me puedo quejar, porque siempre su soporte ha respondido en tiempo y forma al momento que tuvo algún problema.

Desde hace un año y medio aproximadamente migre a MKE Solutions a un VPS dentro de la misma empresa ya que empezaba a tener una carga mayor y aumento de necesidad de recursos, lo cual fue la mejor elección. Hace un par de semanas el sitio de MKE Solutions empezó a tener algunos cortes en los cuales no estaba disponible. Cuando sucedía eso tampoco podía acceder por SSH; me contacte con el soporte y me dijo que habían colocado una nueva política de script que los sitios que consuman mas memoria RAM que la que tienen seteada (configurada en el VPS) se reinician automáticamente, lo que hace que por el lapso de unos minutos el sitio no este disponible.

La política de reiniciar el servidor cuando sucede esto es para asegurarse que no haya alguna aplicación que este corriendo y que consuma mucha memoria dejando inestable el sistema, reiniciando se liberan todos los procesos. El problema que el aumento de la memoria tiene un costo y el no conocer la cantidad de memoria que requiere el sitio, en este caso maneja el sitio de MKE Solutions, el sistema de newsletter y algunos sitios internos que trabajamos que se utilizan para trabajar, como paneles de algunos clientes que usan el WebPanelView entre otros hacen que no se pueda mesurar la cantidad necesaria.

Buscando encontré un script llamado Dreamhost VPS ManagerPSManager– el cual permite manejar los tamaños de memoria RAM de los VPS de Dreamhost automáticamente a través de un API. De esta manera se puede temporariamente aumentar la memoria RAM cuando hay un pico de tráfico y luego bajarla cuando no haya actividad en el sitio logrando bajar los costos del hosting en momentos ociosos.

Para su instalación es necesario obtener un API key, que se adquiere desde el panel de Dreamhost y luego se hace la instalación del PSManager, la cual es muy simple y hay una guía de como hacer paso a paso los procesos hasta su configuración. Allí mismo indican los diferentes parámetros que se pueden retocar en el archivo de configuración de acuerdo a nuestro gusto. Hay que tener algunas precauciones a tener en cuenta para evitar una penalización por parte de Dreamhost ya que solo permite tener 30 cambios de tamaño de memoria por VPS por día, con lo que hay que ser cuidadoso. De todos modos el PSManager no hará mas de 10 cambios en 8 horas para evitar problemas.

Además permite indicar vía Twitter o Identi.ca los cambios de los ajustes de memoria RAM a medida que se vayan seteando, así poder tener una idea de sus valores.

Se puede descargar su código fuente ya que esta liberada con licencia GNU-GPL v3. Más información en su sitio oficial.

Sistema de administración de equipos MikroTik y Ubiquiti

Una idea genial que se han propuesto algunos usuarios de los foros de Ubiquiti y MikroTik es la creación de un sistema de administración vía web para los CPE / Clientes y la red en general en los dispositivos de ambas marcas nombradas. El grupo que desarrolla el producto esta a full time y están buscando alguien que se encargue de la parte de la interface. Han enunciado diferentes razones para el proyecto y algunas de ellas son:

No hay una herramienta que haga la labor de administrar el sistema, existen soluciones como el Radius Manager o p0werc0de pero están enfocados al billing/hotspot y el ispadmin tiene sus limitaciones. Es por ello que, a la aplicación que están desarrollando, la dividen en 2, un lado administrador y un lado cliente.

La parte administradora podrá dar el aprovisionamiento a sus clientes, actualizaciones y agregado de APs, CPEs, IP, Firewall, Rutas, Vlans, seteos wireless AP, gráficos, etc. Del lado cliente se podrá cambiar algunos valores como password, ethernet CPE, VPN, DHCP, Firewall, DNS server, Port Forwards, Trafico, etc..

Todo se logrará a través de una interfaz web en php (front end) y todos los cambios se aplicarán en tiempo real a travez de una conexión tipo API o SSH. Luego cualquiera podrá agregar la parte del billing como lo desee.

Por ahora dicen que no tendrá costo (mientras este en beta) pero luego aún no esta decidido. Se pleanea tener disponible una beta testing para noviembre o antes de navidad.

La información al respecto de este desarrollo lo pueden encontrar en el hilo del foro de MikroTik.

Vía: MikroTik

Accediendo a sitios IPv6 v�a SixXS

Estamos en la ola del IPv6 y existen algunos sitios que solamente pueden ser accedido si estamos utilizando ese protocolo, pues si no tenemos aún la capacidad de utilizarlo nos podemos valer de un servicio llamado SixXS (tunnel broker) que tiene muchas herramientas para trabajar con este protocolo.

Entre esas herramientas que tiene disponible hay un gateway (IPv6Gate) para acceder a sitios IPv6 vía IPv4 ó IPv4 vía IPv6. La forma de utilizarlo es muy simple y acá hay algunos ejemplos:

Supongamos que nosotros queremos acceder a la CNN, normalmente (vía IPv4) colocaríamos www.cnn.com, para acceder a este sitio web vía IPv6Gate deberemos agregarle un sufijo .sixxs.org al hostname para indicarle al gateway que queremos acceder vía IPv6 quedando:

http://www.cnn.com.sixxs.org

Podemos acceder a cualquier sitio siempre que agreguemos el sufijo que hemos comentado; otro ejemplo sería si queremos acceder a MKE Solutions vía IPv6, entonces quedaría:

http://mikrotikexpert.com.sixxs.org

Hay muchas mas herramientas para utilizar en este portal, que por cierto es un tunel broker el cual nos da un rango de IPv6 para poder utilizarlo en nuestra red.

Mas información en el sitio oficial.

Ataques a una central Asterisk

Últimamente estoy trabajando bastante con centrales IP y algunas de ellas están basadas en Asterisk. Al momento de exponer las centrales contra Internet (acceso con IP Públicos) es muy probable que la misma empiece a tener ataques de escaneadores que buscan servidores SIP y luego intentan obtener acceso para hacer llamadas.

Uno de los escaneadores mas conocidos es Sipvicious, el cual permite escanear a servidores SIP con el mismo concepto tradicional del ataque wardialing (que consistia en hacer llamadas a una serie de números de teléfonos de manera automática, tratando de encontrar los modems conectados y permitiendo la conexión contra algún servidor, algo común que se realizaba en los ’80 y 90’s)

Con esta herramienta es posible identificar las extensiones de las PBX, escanear un gran rango de extensiones, escanear por extensiones usando un lista (archivo) que posea posibles extensiones. Otra de las opciones que tiene es poder escanear utilizando diferentes pedidos de SIP ya que no todas las PBX tienen el mismo comportamiento y también permite resumir un ataque en caso de que se interrumpa.

En un blog que encontré Googleando explica de manera muy simple como utilizar esta herramienta, desde su instalación, configuración e inicios en la detección de una PBX y luego su ataque. Cabe recalcar que es muy simple su utilización para realizar los escaneos.

Como medida para defenderse de este ataque tenemos varias cosas para hacer, la primera es utilizar password fuertes para evitar que se puedan hackear  las extensiones  con estos ataques y luego la utilicen para hacer llamadas.

La herramienta fail2ban es de vital importancia en las centrales, porque nos permite denegar el registro de un cliente si ha intentado loguearse cierta cantidad de veces con datos erróneos.  En la central también es posible colocar una sentencia en el archivo sip_custom.conf con la opción «alwaysauthreject=yes» el cual previene que Asterisk le responda al sip scanner cuales son los números de las extensiones válidas. En Asterisk los pasos son los siguientes:

Editar el archivo /etc/asterisk/sip_custom.conf y agregar la linea

alwaysauthreject=yes

Otra forma de protegerse de estos ataques es colocando un firewall delante de la central, yo utilizo un MikroTik RouterOS con varias reglas de protecciones de ataques que he ido creando a medida que me protegía de los mismo realizando un snifeo del tráfico, algo que dejaré explicado mas adelante.

Es importante proteger las centrales, porque los ataques según las estadísticas han aumentado mucho en los últimos años y han generado perdidas por millones de dólares.

Mas info: Sysadminman y Sipvicious

Port Knocking con ICMP en MikroTik

La técnica de Port Knocking es muy utilizada para segurizar los router y de la cual hemos comentado varias maneras de implementarla; con una aplicación de Linux para trabajar con TCP y UDP (SYN) y también con Layer7 siguiendo algún patrón en especial para detectar el intento de acceso.

En esta oportunidad encontré una nueva manera de implementarla que es muy ingeniosa, se trata de enviar un paquete ICMP pero con un tamaño en especial y así poder detectar el intento de acceso, colocando el IP origen a una lista para luego aceptarle sus peticiones.

El paso a paso está en este artículo (original inglés)  y he decido tomar el mismo y traducirlo al español ya que será de utilidad para todos.

Partimos de la idea que vamos a permitir el acceso vía SSH de un Address List llamado AllowKnock; a ésta lista agregaremos los IP que nos envién un paquete ICMP con cierto tamaño en particular. Vamos a definir el tamaño de 5000 bytes pero teniendo en cuenta lo siguiente:

Tamaño del paquete (bytes) + 28 = Tamaño total del paquete (bytes)(28 bytes es el encabezado)

Sabiendo lo anterior y utilizando el tamaño de 5000 bytes tenemos:

5000 + 28 = 5028

Los pasos para crear las reglas son:

Ahora agregamos la nueva regla que acepte el SSH:

Ahora para testearlo hacemos:

Y eso es todo, excelente técnica!!

Vía: Datapels

Jitsi: Cliente SIP multiplataforma

Encontré un cliente SIP multiplataforma llamado Jitsi el cual tiene muchas opciones que lo hacen destacar de los otros clientes similares.

Yo siempre he utilizado Twinkle como cliente y nunca he tenido problemas, pero el otro día tuve la necesidad de hacer una videoconferencia SIP y tuve que recurrir a buscar una nueva alternativa ya que Twinkle no soporta Video.

Así fue que llegue a Jitsi un cliente que soporta varios protocolos como SIP, XMPP/Jabber, AIM; Windows Live, Yahoo! etc. todo en un solo. Esta escrito en Java por varios desarrolladores de diferentes partes del mundo desde Estados Unidos, Brasil, Bulgaria, China, India, entre algunos.

Una de las fuertes principales que tiene soporte de IPv6, siendo el primer cliente SIP en soportarlo.

Puede ser descargado de su sitio oficial y además consultar su documentación en la configuración de sus protocolos y soportes de seguridad ZRTP y SRTP.