Linux

PortKnocking en Linux

Recientemente me toco tener que acceder a un router que tenía Port Knocking activo y recordé que no tenía ninguna aplicación para Linux que hiciera ese trabajo, ya que hacía mucho que no lo utilizaba. Por suerte solo hizo falta realizar una sola linea para la instalación de una herramienta desde el repositorio de Ubuntu.

Para instalar la herramienta:

sudo apt-get install knockd

Para utilizarlo:

# knock
usage: knock [options] <host> <port[:proto]> [port[:proto]] ...
options:
-u, --udp            make all ports hits use UDP (default is TCP)
-v, --verbose        be verbose
-V, --version        display version
-h, --help           this help
example:  knock myserver.example.com 123:tcp 456:udp 789:tcp

Listado de IPs por bloques de pa�ses

Un excelente sitio llamado Country IP Blocks contiene el listado de IPs por bloques organizados por países. Posee los valores de checksum MD5 para conocer la ultima versión de la información.

Se hacer consultas seleccionando 2 valores, primero el formato en que queremos obtener el listado de IP y segundo el país a utilizar. Este sitio es muy útil para cuando se realice ruteo o control de tráfico internacional.

Un ejemplo de exportación de .htaccess allow para Argentina:

order deny,allow
# Country: ARGENTINA
# ISO Code: AR
# Total Networks: 552
# Total Subnets: 11,314,944
allow from 24.232.0.0/16
allow from 66.60.0.0/18
allow from 140.191.0.0/16
allow from 157.92.0.0/16
allow from 161.190.0.0/16
allow from 163.10.0.0/16
allow from 167.252.0.0/16
allow from 168.83.0.0/16
allow from 168.96.0.0/16
allow from 168.101.0.0/16
allow from 168.226.0.0/16 Seguir leyendo…

4 redes nuevas delegadas

Las asignaciones de los últimos rangos de IPv4 que quedan disponibles están siendo delegados a las entidades más rápido de lo que se pensaba. Hoy día se han asignado 4 clases /8 a 2 entidades.

5/8 & 37/8  RIPE            2010-11  whois.ripe.net ALLOCATED
23/8 & 100/8  ARIN            2010-11  whois.arin.net ALLOCATED

Estás clases deben ser eliminadas de los filtros de bogons para que puedan ser ruteadas en internet. El paso a IPv6 se deberá realizar pronto, al día de hoy quedan 93 días para que se agoten las IPs. En las últimas presentaciones del MUM se han publicado algunas opciones para la utilización de IPv6 en redes MikroTik.

Existe un tutorial en el wiki, que espero traducir pronto para que se pueda tener noción en la migración hacía redes IPv6. Pronto novedades!

Menos del 5% de IPv4 disponibles

En el día de ayer, 18 de Octubre, la entidad IANA ha asignado 2 clases /8 las cuales son las siguientes:

36/8  APNIC            2010-10  whois.apnic.net ALLOCATED
42/8  APNIC            2010-10  whois.apnic.net ALLOCATED

Estas nuevas clases deberán ser eliminada de los filtros Bogons porque ahora ya serán utilizadas en Internet. Las nuevas listas de redes Bogons a filtrar se pueden descargar directamente desde el sitio de Team CYMRU en diferentes formatos, entre ellos para Cisco y MikroTik.

Con esta nueva asignación hacía APNIC, han quedado solamente 12 clases /8 disponibles, lo que significa un 4,69% libre. Según las predicciones el año que viene -2011- ya no quedarán más IP IPv4 disponibles, con lo cual la migraciones hacía IPv6 es inminente.

Estamos preparando los nuevos entrenamientos de MikroTik RouterOS para incorporarle IPv6 para los cursos del año entrante, cuando tengamos la información y la compatibilidad con otros vendors lo agregaremos al temario del curso básico. Con esto trataremos de hacer las fácil las migraciones de las redes actuales hacía los nuevos direccionamientos.

Pueden leer mas información sobre los bloques disponibles en el sitio de NRO.

Supout.rif reader offline

Como saben, existe un lector del archivo supout.rif desde el sitio de MikroTik directamente.Este archivo es generado en el RouterOS, el cual recopila información relevante del router, para luego enviarla el soporte de MikroTik y con ello recibir algún tipo de ayuda oficial.

Lo que existe ahora es una pequeña aplicación en Perl que permite leer la información que contiene el archivo desde nuestro PC sin necesidad de hacerlo desde nuestra cuenta de MikroTik.

Contiene muchísima información, desde el booteo, interfaces que levanta, drivers, etc. Hasta hace un tiempo estaba disponible desde el foro de MikroTik pero al parecer ahora el hilo ha sido eliminado, por suerte pude copiar el código y lo pego a continuación.

Script para hacer Backups autom�tico en DUDE

Lamentablemente la aplicación DUDE no tiene una herramienta centralizada para resguardar los backups de la configuración en un solo lugar. Cada vez que tenemos que hacer un backup debemos entrar al DUDE (ya sea vía Web o Cliente) y crear la exportación.

Por suerte un usuario del foro de MikroTik ha creado un script bash que permite guardar mendiante una petición vía wget los backups de los DUDE que tengamos configurado. En principio utiliza 3 herramientas.

  • Bourne shell (sh)
  • awk
  • wget

Lo que hace es una petición via wget para crear el backup y luego hace la descarga del XML. Hay que informar del usuario con privilegios, el password e IP del servidor; también es necesario determinar el tiempo en el cual hará la tarea.

Está testeado en FREEBSD 6.2, RouterOS 3.28 (X86) y Dude 3.4 según especificaciones del autor, yo lo he testeado con Linux Mint 9, RouterOS 3,30 (x86) y Dude 3.5 y no he tenido problemas.

La herramienta va por su segundo release ya que tuvo unos fixes desde su creación:

------------------------------------------------
* ver 1.0 - first public release
* ver 1.1 - fixed work with cron

Puede ser descargada desde el foro de MikroTik.

Radius Manager v3.8.0 disponible

El día 16 de Julio se ha publicado la versión v3.8.0 del servidor radius de DMA Softlab, Radius Manager. Los archivos de instalación pueden ser descargados si se tiene una suscripción activa y desde el portal.

El licenciamiento a partir de ésta versión han cambiado por una nueva política de precios.

Los cambios son:

FEATURE LIST

*** v 3.8.0 *** 2010-07-16 ***
NEW FEATURES:
-discount billing periods (hours of day)
-definable time periods when connection is allowed
-reseller system
-pfSense captive portal support
-automatically synchronized clients.conf (ACP)
-controllable RADIUS service activity (ACP)
-superuser can assign users to managers in ACP
-prepaid card activation option (SMS)
-user definable PIN code length, optional password for cards
-improved PDF card printing (background picture, PIN, password, valid till field)
-invoice instead of receipt (online payments)
-completely reorganized invoice browsing system
-PayPal Website Payments Standard support (Credit Card and balance payment)
-DPS Payment Express support (Credit Card)
-resellers can change services immediately (ACP)
-users can change services immediately (UCP)
-NASes are assigned to services instead of users
-optimized user list view
-installer support for Debian
-user groups introduced
-find users by group, email, country, state
-user definable sim-use values of cards and IAS templates
-improved ACP menu system
-reopen closed sessions if they are active again (online users list is always in sync with NAS)
-only superuser can access syslog, system informations and CTS report
-SMS verification of IAS accounts

BUGFIXES:
-ACP manager password change problem fixed
-card system time unit problem fixed (broken in 3.7.0)
-IAS Netcash CC payment system fixed (broken in 3.7.0)
-PayPal gateway problems fixed (broken in 3.7.0)
-allow generating classic prepaid cards for free (price = 0)
-wrong language selection in ACP / system settings fixed
-CSV download problem fixed
-mass emails are sent for regular and Hotspot MAC users only
-UCP / change service: the current service is not listed anymore
-ACP / new user deposit field added
-mass mailer supports external SMTP relay
-rm_allowednases index problem fixed
-useradd UNIX command instead of adduser (Debian compatibility)
-IAS price cannot be zero
-in next services static IP is not used, supporting expired account redirection
-completely revorked invoice storage system with less redundancy
-completely revorked credits adding system
-add additional credits price problem fixed (broken in 3.7.0)
-postpaid (batch) billing total amount problem fixed
-UCP purchase service vulnerability fixed
-traffic summary calculation problem fixed
-resellers are forced to create new accounts with zero initial credits
-change service resets the caps (if enabled)

OpenDNS FamilyShield: Protecci�n parental

Muchas veces se necesita bloquear el acceso a sitios pornos, consolas, phishing entre otros y son complicadas las herramientas que hay disponible y otras son costosas.

OpenDNS tiene un servicio gratuito llamado FamilyShield y permite bloquear sitios de adultos, proxy y sitios anónimos (que suelen utilizarse como un bypass de los filtros webs), phishing y algunos malwares.

Es un servicio destinado a las escuelas, empresas y hogares que requieren de una internet segura para sus hijos o entorno. El listado de filtros web se refrescan todos los días ya que tienen una actualización 24/7 de los sitios web adultos.

Como dijimos el servicio es gratuito y solo hace falta configurar los dns de OpenDNS en nuestra PC ó en el router en caso que tengamos una red interna. Luego se puede administrar las peticiones que queramos creando una cuenta en OpenDNS y accediendo al panel de configuración.

Los dns que hay que setear son 208.67.222.222 y 208.67.220.220

Pueden informarse mas en FamilyShield.

ACTUALIZACION: Por error puse mal los dns para FamilyShield que son: 208.67.222.123 y 208.67.220.123

Norton Public DNS

Recientemente la empresa Norton ha decidido ingresar al mundo de las opciones de DNS públicos, en este caso con un sistema que esta en beta, que no tiene grandes innovaciones.

La forma de utilizarlo es la misma que tenemos con OpenDNS o con Google Public DNS, es decir, que debemos setear los DNS primarios y secundarios en la configuración de red en nuestro sistema operativo o dispositivo.

Aún no tiene algún servicio que le de un valor agregado a la mera resolución, pero habrá que esperar un poco más porque es un servicio reciente. OpenDNS es la otra opción que hay, que esa si permite tener algunos valores agregados, entre ellos antiphishing, pornografía entre otros.

Se puede chequear el estado de los servidores y servicios; también un listado de preguntas y respuestasFAQ- está disponible en el sitio oficial.

Los DNS a utilizar son: 198.153.192.1 y 198.153.194.1

Las direcciones IP son algo difícil de recordar si lo comparamos con el 8.8.8.8 de Google, pero es una buena opción para utilizarlo en caso de algún escenario que lo amerite.

Radius Manager v3.8.0 beta7 publicado

Recientemente ha sido publicada una nueva versión del uno de los mejores servidores RADIUS del mercado –Radius Manager de DMA Softlab del cual ya hemos hablado en otras oportunidades.

El nuevo changelog trae lo siguiente:

*** v 3.8.0 *** 2010-07-05 ***
NEW FEATURES:
-discount billing periods (hours of day)
-definable time periods when connection is allowed
-reseller system
-pfSense captive portal support
-automatically synchronized clients.conf (ACP)
-controllable RADIUS service activity (ACP)
-superuser can assign users to managers in ACP
-prepaid card activation option (SMS)
-user definable PIN code length, optional password for PIN codes
-improved PDF card printing (background picture, PIN, password, valid till field)
-invoice instead of receipt (online payments)
-completely reorganized invoice browsing system
-PayPal Website Payments Standard support (Credit Card and balance payment)
-DPS Payment Express support (Credit Card)
-resellers can change services immediately (ACP)
-users can change services immediately (UCP)
-NASes are assigned to services instead of users
-optimized user list view
-install.sh supports Debian directly
-user groups introduced
-find users by group, email, country, state
-user definable sim-use values of cards and IAS templates
-improved ACP menu system

BUGFIXES:
-ACP manager password change problem fixed
-card system time unit problem fixed (broken in 3.7.0)
-IAS Netcash CC payment system fixed (broken in 3.7.0)
-PayPal gateway problems fixed (broken in 3.7.0)
-allow generating classic prepaid cards for free (price = 0)
-wrong language selection in ACP / system settings fixed
-CSV download problem fixed
-mass emails are sent for regular and Hotspot MAC users only
-UCP / change service: the current service is not listed anymore
-ACP / new user deposit field added
-mass mailer supports external SMTP relay
-rm_allowednases index problem fixed
-useradd UNIX command instead of adduser (Debian compatibility)
-IAS price cannot be zero
-in next services static IP is not used, supporting expired account redirection
-completely revorked invoice storage system with less redundancy
-completely revorked credits adding system
-add additional credits price problem fixed (broken in 3.7.0)
-postpaid (batch) billing total amount problem fixed
-UCP purchase service vulnerability fixed

Para descargarlo y probarlo se debe tener una cuenta del sitio ya que esta disponible para los registrados la descarga del mismo.