Linux

MikroTikConfig: Generador de configuraciones MikroTik RouterOS

Una interesante herramienta nos ayuda a generar configuraciones básicas del RouterOS en Firewall y QoS.

Las reglas que genera las estuve estudiando y están bien en la base, en Calidad de Servicio hay que hacerles un retoque, pero nos ayuda a generar el grueso de la configuración.

El sitio web muestra una manera fácil de completar la configuración, ya que nos aparece un diagrama con imágenes para ir completando la configuración deseada.

MikroTikConfig.com

0-day para FreePBX

A inicios del mes se descubrió una vulnerabilidad en el FreePBX, uno de los entornos web de programación de una centralita Asterisk, y que ha sido catalogado como 0-day.

Una vulnerabilidad 0-day indica que es super critica, que tiene que ser algo resuelto ahora, que se deben tomar medidas de seguridad urgente porque estamos susceptible a ataques.

Con este bug es posible tomar control administrador sin tener que autenticarnos y luego se podrá tener acceso total a la central telefónica y la posible ejecución de comandos.

La vulnerabilidad es para todas las versiones de FreePBX y como medida de contingencia hay que bloquear el acceso web a terceros de nuestra red.

Estuve leyendo un foro sobre el tema y comentan que hay detectado robots que van escaneando las redes en Internet para encontrar centrales IP vulnerable para luego atacarlas.

Como medida simple de protección es solo necesario bloquear el acceso web de la central y solo dejar los de la VoIP únicamente abierto.

  • Para esto hay que bloquear el TCP 80 para redes externas de nuestra red interna
  • Abrir unicamente y si es necesario los puertos SIP/5060 y RTP/10000-20000

Recuerden que es 0-day y si tienes una centralita asterisk de cara a internet puedes ser atacado!

Mas información sobre la vulnerabilidad en el sitio de FreePBX

Access Manager: Portal Cautivo Gratuito

Buscando entre algunos radius disponibles gratuitos me encontré con Access Manager, un sistema administrador de HotSpot gratuito.

El framework esta escrito en PHP y permite levantar un Freeradius y a través del portal se podrá proveer conectividad a través de HotSpot. Se pueden aplicar políticas de ancho de banda, planes de servicios, etc.

Lo bueno que tiene es la integración con PayPal y la generación de vouchers. El sistema soporta multi routers porque es un radius, tan solo hay que relacionarlo con un router configurando el radius cliente del mismo. En MikroTik se realiza en /radius.

Hay un demo online para ver la interfaz como se administra y tiene un foro con algunos tips de la aplicación.

Access Manager: Free HotSpot Management Software

Copy: Haciendo backups en la nube

Hace unos días conocí el servicio de Copy, un sistema de almacenamiento en la nube similar a DropBox, Google Drive, etc, de la empresa Barracuda  (NYSE: CUDA)

Lo bueno que tiene es que te dan 15GB gratis, actualizables hasta 25GB a través de un sistema de invitaciones. Al momento de uno registrarse, si viene referido por alguien, le dan 5GB adicional a ambos.

Tiene un sistema para compartir muy interesante, que lo comenta el video que pongo al final del post. El nombre es Fair Storage.

Soporta todos los sistemas operativos para la instalación del cliente y su utilización es similar a los demás sistemas cloud, uno elige una carpeta en donde tendrá que colocar los archivos que quiere subir a internet. Lo interesante que tiene Copy, es que no hace falta duplicar el contenido de un directorio si queremos tenerlo en un disco local y también en la carpeta de Copy, tan solo hace falta hacer un enlace simbólico en Linux o un acceso directo en Windows para que esa carpeta ya sea sincronizada.

A su vez tiene la posibilidad de importar / sincronizar los archivos con otros sistemas como DropBox, Google Drive, Box, etc.

Para hacer backups está muy interesante, de hecho lo he empezado a implementar en el server de maquinas virtuales, en donde puse un servidor de backup con NFS y es al mismo NFS que lo sincronizo con la cuenta Copy, con lo cual el sistema de backup se hace bastante simple al trabajar con NFSNetwork File System-

El agente Linux tiene un entorno gráfico similar al de MacOS y Windows, pero adicionalmente trae un cliente de consola con lo que no hay que tener un servidor X para poder utilizarlo.

Con solo ejecutar una linea de comando colocando las entradas correspondiente, el cliente se conecta al servicio Copy con los datos ingresados y sincroniza la carpeta designada.

Los pasos para la instalación y ejecución de Copy en consola directamente son:

Descargar el agente de Linux:
wget https://copy.com/install/linux/Copy.tgz --no-check-certificate
Descomprimimos el archivo descargado
tar xvzf Copy.tgz
Ingresamos al directorio de la arquitectura respectiva del server
cd copy/x86_64
Ejecutamos el agente con los siguientes datos de entrada
./CopyConsole -u=correo_electronico_de_la_cuenta_copy -r=/directorio_a_sincronizar -p=password_de_la_cuenta_copy
Obtendremos algo así:

Using profile /root/.copy/config.ini
User from cmdline xx@xx.net
Root from cmdline /srv
Password from cmdline
Starting copy...success
Logged in as user: 'xx@xx.net' Copy folder is: '/srv'
Press enter to exit
Syncing 2.5 GB (Uploading @ 248 kB/sec)

Eso es todo, ahora tenemos un sistema de backup en la nube que con la capacidad que te brinda Copy en relación a otros sistemas similares, es una buena opción de Backup Cloud.

Les paso mi referido para que uds obtengan 5GB mas (total 20GB) y a mi me brinde 5GB mas por haberlos referido (negocio para todos).

https://copy.com?r=1aBMYu

El video del sistema Fair Storage:

App gratis de iPhone para PortKnocking

Encontré esta aplicación gratuita para iPhone / iPad que permite realizar un Port Knocking TCP o UDP.

Recordando que Port Knocking es la técnica que nos permite tener cerrado nuestros accesos SSH / Winbox o el servicio que queramos de manera publica, y solo estará disponible para quien tenga la combinación correcta de puertos para brindarle acceso. Algo que hemos explicado en otro post.

La herramienta KnockOnD, como dije es gratuita y tiene varias opciones de configuración personalizadas. Se puede leer mas en el App Store.

 

Servidores VPN PP2P Gratuitos

Leyendo mis feeds en feedly encuentro una increíble noticia, que la desconocía en su versión gratuita, pero hay varios servidores PPTP que te brindan acceso a un internet seguro.

Principalmente en estos sitios comentan que la idea es tener un servicio de VPN gratuito que te permita tener anonimato, seguridad y privacidad al momento que estas navegando por internet.

Este tipo de servicio debe ser muy útil para los usuarios de China y Cuba por ejemplo que tienen un internet restringido.

Por otro lado, lo que estuve leyendo en los foros, estos servicios gratuitos de VPN (Varios en EE.UU y Canada) son utilizados para acceder a servicios solo disponibles en Estados Unidos, por ejemplo NetFlix y algunos servicios de música. Según comentan configurando la VPN uno puede acceder a las últimas novedades en películas y series que están disponibles en USA.

Lo que no ésta permitido en ellos es la utilización de Bittorrent y P2P, pero el resto esta abierto. Se tiene aproximadamente unos 5mbps de bajada y 1.5mbps de subida en la mayoría de los servicios, pero varían en algunos de ellos.

Los servicios que encontré y recomiendan son HotFreeVPN (Cánada) y FreeVPNHosting (USA) que utilizan un acceso por PPTP con usuario y contraseñas simples.

Interesante recursos que nos puede servir en algún momento.

Se agotaron las IPv4 y ahora?

Según las proyecciones de LACNIC, la entidad que administra las políticas de registro de direcciones de Internet para America Latina y Caribe (que es la que tiene influencia en nuestra zona) indica que para Junio las direcciones IP de IPv4 se agotarán.

Esto hará que de manera inevitable los ISP vayan acomodando sus redes en la implementación de IPv6 para poder seguir teniendo crecimientos en sus redes. Son varias las prácticas y buenas recomendaciones que se han ido mencionadas en los encuentros de LACNIC en donde indican como deberán hacer frente a la problemática.

Una vez que los IPv4 se agoten, la adopción de IPv6 es inminente, pero para poder hacerlo es necesario saber como realizar la implementación y que la misma sea escalable.

Existen algunas soluciones alternativas temporarias para hacer frente, como por ejemplo la implementación de NAT  para seguir creciendo, pero ésta solución no es escalable y es restrictiva a largo plazo.

Un número interesante es que el 60% de las organizaciones de la región LACNIC tienen asignado un bloque de IPv6, pero no todas las tienen en funcionamiento por varios motivos. Es necesario que progresivamente se vayan incorporando las nuevas tecnologías para poder disponer de un crecimiento  futuro sólido.

A modo personal, he implementado varias redes con IPv6, pero la gran problemática que se tiene es que los carriers (proveedor de proveedores) por lo general no disponen de soporte para IPv6 en sus redes, por lo que uno termina utilizando algún tunnel broker para hacer la terminación.

En la misma sintonía tenemos que no todos los clientes de un ISP tienen soporte completo para IPv6, con lo cual también hay que tener en cuenta ese punto. De nada serviría tener IPv6 en el backbone si al cliente final no se lo  podemos entregar.

En fin, son varios los puntos a tener en cuenta, pero hay que ir siendo previsores y dar el paso siguiente en la implementación de IPv6.

Hay un parte de prensa de LACNIC con algunas preguntas y respuestas que podemos leer para tener idea de como viene la cosa.

Port Knocking con un paquete cifrado.

Ya se conocen las diferentes manera de implementar Port Knocking, desde golpeteos en diferentes puertos, enviar información via UDP o enviar un ICMP con cierto tamaño.

Vía Twitter encontré una nueva manera de hacerlo, la misma se trata de enviar un paquete con un cifrado especial realizado con llave pública y privada.

Se realiza con la implementación del Firewall Knock Operator el cual permite la implementación de certificados y la apertura de puerto de acuerdo a un paquete especial que se le envie.

Están descriptos los pasos y las herramientas necesarias para poder usar esta modalidad, que para mi gusto es un poco rebuscada pero es funcional igual.

Vía: Vampii

Tabla de Subneteo para IPv4

Muchas veces tenemos que trabajar realizando subneteo en alguna red, una tabla completa en PDF está disponible, la cual tiene con particionamiento desde un /29 hasta /16.

También muestra las capas del Modelo OSI.

Se puede descargar completa en PDF