Linux

MTHelper: Administrando dispositivos MikroTik

Hace unos días me llego una invitación para probar MTHelper, un servicio que permite administrar dispositivos MikroTik en la nube.

La idea es poder realizar cambios en la configuración de una manera bastante simple y con una interfaz amigable.

Se pueden realizar grupos y aplicarles un tipo de configuración en particular. También se pueden ver los registrados inalámbricos, sus niveles de señales, tráfico consumido entre algunos otros parámetros.

Dispone de un sistema de notificaciones al momento que se realiza alguna alerta o comportamiento, por ejemplo que el dispositivo se vuelta offline, cuando el CPU supere cierto valor, que notifique cuando llegue a cierta temperatura, etc.

Por ahora el sistema es gratuito y su registración esta abierta, veremos que sucede mas adelante.

Mas info: MTHelper

Blocklister: obteniendo listas de firewall para RouterOS

Un servicio que encontré leyendo algunos post en el foro de MikroTik es Blocklister, un servicio que genera listas de direcciones IP compatibles con RouterOS de las principales listas de internet como ser DShield o SpamHaus.

La lista completa de sitios al momento se puede encontrar en el proyecto GIT, donde también estan disponibles los pasos para hacer la instalación del sistema.

Estas listas se actualizan cada 2 días y permiten brindarle una protección adicional al routerOS.

Su funcionamiento es bastante simple, existe un listado de listas de acuerdo a lo que queramos bloquear, como por ejemplo, sitios con ads, spyware, proxy abiertos, spamhaus, etc. Una vez que definimos la lista, ésta es importada en un address list en el MikroTik y luego le hacemos el tratamiento que queramos.

Se puede leer mas del proyecto en GitHub

Bloqueando WhatsApp con MikroTik

Son muchos los entornos en donde se necesita bloquear las redes sociales, ya sea por seguridad o para evitar el ocio.

WhatsApp es una de las aplicaciones que se suele bloquear y hay varias maneras para hacerla.

La primera de ellas es hacer una entrada estática de DNS para c.whatsapp.com que es la que se utiliza para conectarse, dicha entrada puede tener 127.0.0.1 por ej.

La otra opción es por firewall evitando que se conecten a las redes que utiliza whatapps, para ello tenemos el listado de IP oficiales de este sistema de mensajería, tanto en IPv4 como IPv6.

Para acceder a dicho listado de redes hay que ingresar en https://www.whatsapp.com/cidr.txt

Adíos a Copy.com

El servicio que utilizaba para realizar mis backups personales llamado Copy.com, una división de Barracuda, del cual hable hace un tiempo, ha decidido cesar con sus servicios.

Según el comunicado oficial, van a dejar de brindar acceso a los archivos almacenados a partir del 1 de Mayo del 2016.

Han realizado un pequeño manual de como realizar la migración de los archivos hacia otro servicio Cloud de almacenamiento como DropBox, BoxGDrive, etc.

Según indican, fue una decisión muy dura pero la tomaron para poder dedicarse y enfocarse a otros proyectos.

Es una lastima, porque el servicio era muy bueno, rápido y sobre todo que te daba 25GB de almacenamiento con la cuenta free.

Ahora estoy migrando todos mis archivos a DropBox, pero lo que lamento es que voy a perder el backup que hacia en Copy.com de mis servidores de manera automatizada; para ello deberé buscar alguna nueva alternativa.

Mas info: Copy.com

Petición para liberar el Código Fuente del The DUDE

Una excelente iniciativa se la lanzado hace unos días desde Brasil, la petición de pedirle a MikroTik que libere el código fuente de la aplicación DUDE.

DUDE es una herramienta de monitoreo de dispositivos vía SNMP / RouterOS que tiene muchas ventajas (entre algunas es gratuito), pero su desarrollo ha quedado estancado desde hace mas de 5 años.

Desde hace tiempo los usuarios de MikroTik le piden que continúen el avance de la herramienta, pero según han comentado, su desarrollo se realiza en pasatiempos y desde que se lanzó la v6 no han podido continuar su programación, ya que están enfocados en el RouterOS.

Seguramente en parte del código fuente de la aplicación estarán datos de sus protocolos propietarios que dificultarán la publicación del mismo.

La petición es vía change.org, no se si le darán relevancia, pero me sumo para que tengan noción de los usuarios de la misma y la necesidad de continuar el proyecto. Al momento de escribir este post hay unas 125 firmas de 200 que se requieren.

Petición de Liberar el código de DUDE

Bloqueando ataques SIP con Firewall MikroTik

Hace tiempo tuve la necesidad de proteger algunas centrales IP y desarrolle una serie de reglas que protegen a una central telefónica IP como un asterisk, de ataques SIP. Me la tuve que rebuscar bastante para lograr tener algo funcional.

Un usuario del foro de MikroTik ha desarrollado un par de regla simples t bastante interesantes  que permiten proteger una centralita.

La idea es mirar la primer registración sip (new) al puerto 5060 y si en 15 segundos no puede lograr el handshake (login) con el servidor -usualmente el registro llega 3 segundos como mucho-, lo coloca en una lista negra por 1 día para banear el IP.

Las reglas son:
/ip firewall filter add chain=forward in-interface=ether1-gateway src-address-list="SIP Hacker" action=drop
/ip firewall filter add chain=forward protocol=udp dst-port=5060 connection-state=new src-address-list="SIP Trial" in-interface=ether1-gateway action=add-src-to-address-list address-list="SIP Hacker" address-list-timeout=1d
/ip firewall filter add chain=forward src-address=0.0.0.0/0 protocol=udp dst-port=5060 in-interface=ether1-gateway connection-state=new action=add-src-to-address-list address-list="SIP Trial" address-list-timeout=00:00:15

Es una buena alternativa para hacer una protección básica de una centralita IP. Obvio que hay que se puede mejorar mucho mas, pero la base esta muy bien.

vía: MikroTik

mikrotik-fail2ban: Protegiendo nuestro RouterOS

Un excelente complemento del fail2ban ha sido integrado al RouterOS. Utilizando un syslog server creado en Python, es posible proteger a nuestros routers de manera centralizada.

El logger server solo acepta los syslogs remotos de los IP que han sido dado de alta, por lo que se puede proteger todos los routers con un solo fail2ban.

El sistema escucha en UDP los paquetes que le llegan de los syslogs de los routers configurados, el log es incorporado al auth.log y el fail2ban los captura y ejecuta una acción a proteger.

Se puede instalar facilmente a través de GIT. El proyecto esta liberado con licenciamiento MIT license.

Mas info: Proyecto GIT

TikScan un scanner inalámbrico para MikroTik

Una de las funcionalidades que se les ha solicitado a la gente de MikroTik  es la posibilidad de realizar un escaneo a nivel inalámbrico sin perder conectividad / que la interfaz inalámbrica se deshabilite tal como ocurre actualmente via Winbox.

Un usuario de MikroTik ha creado una aplicación para iPhone llamada TikScan que permite realizar un escaneo durante un cierto intervalo y luego devolvernos el reporte de los SSID, señales y demás información encontrada.

La aplicación utiliza SSH para conectarse con el router por lo que dicho servicio debe estar habilitado.

Otras opciones del app es generar un reporte de las señales incluyendo las coordenadas GPS y luego enviarla por correo.

Pueden ver mas sobre la aplicación y un video de su funcionamiento.

Entrenamientos MikroTik RouterOS y Ubiquiti en Rio Cuarto, Argentina

En febrero se brindarán varias certificaciones MikroTik y Ubiquiti en la ciudad de Río Cuarto, Argentina.

El cronograma queda definido:

UCWA (Ubiquiti AirMAX): 19 y 20 de Febrero
MTCNA (Inicial): 23 al 25 de Febrero
MTCTCE (Control de Tráfico): 26 y 27 de Febrero

Las inscripciones ya están abiertas y los cupos son limitados. Podrán encontrar mas información en Academia de Entrenamientos o en el AulaVirtual.

Este blog es seguro!

Hoy día luego de un de par cambios que tuve que hacer en el hosting he activado SSL al blog.

Con eso tendré varios beneficios, por un lado, Google esta subiendo el ranking a los sitios que tengan SSL activo y por otro lado la ventaja de la seguridad de la información transferida.

Que significa que el blog sea seguro SSL, indica que se encriptará la información desde el servidor hasta el navegador haciendo imposible (en teoría) poder interceptar esa información. Es la misma seguridad que se tiene cuando se compra en internet o se ingresa a un banco.

Lo he podido hacer gracias al nuevo servicio de Dreamhost que permite colocar certificados SSL utilizando SNI y con ello no es necesario tener IP públicos fijos para poder tener un sitio seguro.

Voy a tener que realizar un paso a paso de como hacerlo, porque me llevo varios intentos en generar los certificados (privados y request) de la manera que a Dreamhost le gusta, pero vale la pena.