MikroTik

MTUroute: Comprobando el MTU entre dos hosts

MTUroute es una aplicación muy útil que utiliza el protocolo ICMP para buscar el MTU máximo entre un host y tu PC. También incluye un modo al estilo traceroute  el cual ayuda a visualizar el MTU.

La forma de trabajar de esta herramienta es enviando varios paquetes ICMP con el bit do-not-fragment seteado (sin fragmentación) y de varios tamaños (payload), así dentro del path de la red, si en algún lugar tiene el MTU es más pequeño que el paquete que hemos enviado, éste será descartado (dropeado).

Su explicación técnica del funcionamiento se encuentra en el sitio oficial de la aplicación, lo que si podemos comentar que es de mucha utilidad al momento que tenemos inconvenientes para ingresar a los sitios HTTPS o el MSN (messenger) debido a problemas de MTU: Con ésta herramienta fácilmente se encuentra el tamaño óptimo  del paquete para evitar la fragmentación.

Este aplicativo puede ser decargado del sitio oficial, al momento de escribir este post el último release fue del 8/8/11 en la versión 2.5.

Inicio del entrenamiento en Rosario

Hoy día se ha iniciado la primer jornada del entrenamiento de MikroTik RouterOS que estamos impartiendo en Rosario, Argentina.

A esta jornada han asistido varios participantes que ya han tomado el entrenamiento en otras oportunidades, lo que me hace poner contento, ya que vienen a fijar los conceptos y/o expandirlos a lo que ya tienen y algunos comentan que se animarán a rendir el exámen de certificación.

Veremos como va el tema en el transcurso de la semana…

Nuevo RB750C

Hay varios modelos nuevos de RouterBOARD pero uno es el mas llamativo de todos, es el RB750C (la C viene de cake -pastel-). Este nuevo modelo incluye:

  • 5 puertos 10/100/1000 Mbtis, sin funcionalidad Ethernet.
  • Led Power, NAND activity, 5 Etherner LEDs, fácilmente configurable, tan solo hace falta comer y luego cambiar los colores de las guindas
  • No requiere de licencia MikroTik RouterOS
  • Ultra Bajo consumo de energía (zero para ser exacto)
  • Vida Util: 3 días sin refrigeración
Este ha sido el regalo que le brindaron a un amigo del foro de MikroTik, bastante original no?

MikroTik Center, el Centro de Entrenamiento de MKE Solutions

Tengo el orgullo de presentar el nuevo sitio que se incorpora a MKE Solutions y es MikroTikCenter.com, Centro de Entrenamientos de MikroTik RouterOS, un portal en donde se podrán llevar todo lo referido a los entrenamientos que impartimos, pudiendo realizar desde la registración, confirmar reserva, recibir información, entre otras opciones que dispone.

El sitio fue desarrollado desde cero por un servidor (aka yo) durante un par de semanas y ha logrado automatizar el proceso de registración y emisión de certificados, al igual que llevar la asistencia y acreditación de las licencias a los participantes de los entrenamientos, mejorando el sistema para hacerlo mas eficiente a nivel general.

El servidor está disponible en IPv4 e IPv6, siendo este último las primeras pruebas de servidores en producción con el doble direccionamiento. Para verificar con que protocolo se están conectando se pueden fijar al pie del sitio aparece el IP publico suyo.

Este es el primer anuncio, si bien no ha sido publicado oficialmente -que se hará la semana que viene- quería compartir la noticia.

Comentarios y sugerencias con bienvenidos.

MikroTikCenter – Centro de Entrenamientos de MKE Solutions

 

Accediendo a sitios IPv6 v�a SixXS

Estamos en la ola del IPv6 y existen algunos sitios que solamente pueden ser accedido si estamos utilizando ese protocolo, pues si no tenemos aún la capacidad de utilizarlo nos podemos valer de un servicio llamado SixXS (tunnel broker) que tiene muchas herramientas para trabajar con este protocolo.

Entre esas herramientas que tiene disponible hay un gateway (IPv6Gate) para acceder a sitios IPv6 vía IPv4 ó IPv4 vía IPv6. La forma de utilizarlo es muy simple y acá hay algunos ejemplos:

Supongamos que nosotros queremos acceder a la CNN, normalmente (vía IPv4) colocaríamos www.cnn.com, para acceder a este sitio web vía IPv6Gate deberemos agregarle un sufijo .sixxs.org al hostname para indicarle al gateway que queremos acceder vía IPv6 quedando:

http://www.cnn.com.sixxs.org

Podemos acceder a cualquier sitio siempre que agreguemos el sufijo que hemos comentado; otro ejemplo sería si queremos acceder a MKE Solutions vía IPv6, entonces quedaría:

http://mikrotikexpert.com.sixxs.org

Hay muchas mas herramientas para utilizar en este portal, que por cierto es un tunel broker el cual nos da un rango de IPv6 para poder utilizarlo en nuestra red.

Mas información en el sitio oficial.

Ataques a una central Asterisk

Últimamente estoy trabajando bastante con centrales IP y algunas de ellas están basadas en Asterisk. Al momento de exponer las centrales contra Internet (acceso con IP Públicos) es muy probable que la misma empiece a tener ataques de escaneadores que buscan servidores SIP y luego intentan obtener acceso para hacer llamadas.

Uno de los escaneadores mas conocidos es Sipvicious, el cual permite escanear a servidores SIP con el mismo concepto tradicional del ataque wardialing (que consistia en hacer llamadas a una serie de números de teléfonos de manera automática, tratando de encontrar los modems conectados y permitiendo la conexión contra algún servidor, algo común que se realizaba en los ’80 y 90’s)

Con esta herramienta es posible identificar las extensiones de las PBX, escanear un gran rango de extensiones, escanear por extensiones usando un lista (archivo) que posea posibles extensiones. Otra de las opciones que tiene es poder escanear utilizando diferentes pedidos de SIP ya que no todas las PBX tienen el mismo comportamiento y también permite resumir un ataque en caso de que se interrumpa.

En un blog que encontré Googleando explica de manera muy simple como utilizar esta herramienta, desde su instalación, configuración e inicios en la detección de una PBX y luego su ataque. Cabe recalcar que es muy simple su utilización para realizar los escaneos.

Como medida para defenderse de este ataque tenemos varias cosas para hacer, la primera es utilizar password fuertes para evitar que se puedan hackear  las extensiones  con estos ataques y luego la utilicen para hacer llamadas.

La herramienta fail2ban es de vital importancia en las centrales, porque nos permite denegar el registro de un cliente si ha intentado loguearse cierta cantidad de veces con datos erróneos.  En la central también es posible colocar una sentencia en el archivo sip_custom.conf con la opción «alwaysauthreject=yes» el cual previene que Asterisk le responda al sip scanner cuales son los números de las extensiones válidas. En Asterisk los pasos son los siguientes:

Editar el archivo /etc/asterisk/sip_custom.conf y agregar la linea

alwaysauthreject=yes

Otra forma de protegerse de estos ataques es colocando un firewall delante de la central, yo utilizo un MikroTik RouterOS con varias reglas de protecciones de ataques que he ido creando a medida que me protegía de los mismo realizando un snifeo del tráfico, algo que dejaré explicado mas adelante.

Es importante proteger las centrales, porque los ataques según las estadísticas han aumentado mucho en los últimos años y han generado perdidas por millones de dólares.

Mas info: Sysadminman y Sipvicious

Comunicado de MKE Solutions

Amigos: Debido a que están surgiendo algunas confusiones, les transcribo un comunicado generado desde MKE Solutions:

 

No se visualiza correctamente? ingrese a la versión online
4 Julio 2011

MKE Solutions

COMUNICADO ESPECIAL DE
MKE Solutions


Estimados suscriptores:

MKE SolutionsMikroTik Expert– es una empresa radicada en Río Cuarto, Argentina que está certificada por MikroTik como Entidad Certificadora Oficial y brinda soluciones de conectividad a nivel mundial.

Asimismo desde hace 3 años, es la primer y principal base del conocimiento en Español en documentación y novedades relacionadas con MikroTik y sus productos, logrando durante este lapso un prestigio que nos posiciona como una de las empresas con mayor reconocimiento en el mercado mundial tanto por nuestros entrenamientos como nuestras soluciones.

El motivo de esta aclaración es para informarles que hace un par de meses atrás apareció una nueva empresa en el mercado cuyo nombre puede dar a la confusión con el nuestro, ya que solo difiere en una letra. Esta empresa (Mikrotik Xperts), que también brinda entrenamientos se encuentra ubicada en Ecuador y no tiene relación alguna con nosotros.

Nuestro calendario de entrenamientos y el abanico de soluciones se encuentran disponibles en el sitio web http://mikrotikexpert.com y nuestro correo de contacto es: info@mikrotikexpert.com

Nos vemos obligado a aclarar ésta situación debido a confusiones dadas tanto por nuestros entrenamientos así como de correos electrónicos no recibidos.

Le agradecemos por confiar en nosotros y estamos disponibles para cualquier consulta.

«Copian Sancho, señal que cabalgamos»

Si desea mas información, ingrese a nuestro sitio web

 

MKE Solutions | info@mikrotikexpert.com |
Tel. +54 358 4210029 – +57 1 3819546 – +34 924 469010 |
Ud. recibe este correo porque está registrado en www.mikrotikexpert.com

Port Knocking con ICMP en MikroTik

La técnica de Port Knocking es muy utilizada para segurizar los router y de la cual hemos comentado varias maneras de implementarla; con una aplicación de Linux para trabajar con TCP y UDP (SYN) y también con Layer7 siguiendo algún patrón en especial para detectar el intento de acceso.

En esta oportunidad encontré una nueva manera de implementarla que es muy ingeniosa, se trata de enviar un paquete ICMP pero con un tamaño en especial y así poder detectar el intento de acceso, colocando el IP origen a una lista para luego aceptarle sus peticiones.

El paso a paso está en este artículo (original inglés)  y he decido tomar el mismo y traducirlo al español ya que será de utilidad para todos.

Partimos de la idea que vamos a permitir el acceso vía SSH de un Address List llamado AllowKnock; a ésta lista agregaremos los IP que nos envién un paquete ICMP con cierto tamaño en particular. Vamos a definir el tamaño de 5000 bytes pero teniendo en cuenta lo siguiente:

Tamaño del paquete (bytes) + 28 = Tamaño total del paquete (bytes)(28 bytes es el encabezado)

Sabiendo lo anterior y utilizando el tamaño de 5000 bytes tenemos:

5000 + 28 = 5028

Los pasos para crear las reglas son:

Ahora agregamos la nueva regla que acepte el SSH:

Ahora para testearlo hacemos:

Y eso es todo, excelente técnica!!

Vía: Datapels

Como crear una «manual queue»

En el foro de MikroTik hay un hilo en donde un usuario pide información de como crear una «manual queue«, irónicamente otro usuario le respondió lo siguiente:

Acá hay un ejemplo de mi «manual queue»:

Cómo puede observar, Ubuntu tiene prioridad sobre FreeBSD en ese momento. Puedes crear tu propia ‘manual queue’ poniendo los manuales en tu escritorio, uno por uno. El largo de la queue depende del tamaño del escritorio :P.

Una manera irónica de responder, lo que deja esto aparte de una risa, es que siempre es necesario leer antes lo esencial de un producto o solución que queramos utilizar antes de preguntar, ya que seguramente ha sido explicado antes. Si bien la manera mas fácil de encontrar algo es preguntarlo en algún foro pero el buscar esa información en un manual, foro ó Google nos ayuda luego a encontrar otras cosas que están relacionada con el tema e incrementa el conocimiento sobre el mismo.

Otra manera de contestar que suele ser utilizada en los foros es «Let me google that for you«, en donde le invitamos indirectamente alguien que utilice Google antes de hacer las preguntas.

 

Equipos de Ubiquiti homologados en Argentina

Hace poco leía que en Brasil se homologo el NanoStation M5 y su correspondiente certificado. Me vino la duda de que equipos están homologados en Argentina y busque en la base de datos que tiene disponible el público en el sitio de la Comisión Nacional de Comunicaciones (CNC), la entidad administradora.

Según el listado los equipos de Ubiquiti que están homologados son:

  • Rocket M5 AirMax: PMax 0.5w (Vencimiento 08/09/2013)
  • Nanostation M5 Airmax: PMax 0.5w (Vencimiento 08/09/2013)
  • NanoStation 2: PMax: 398mw (Vencimiento 02/09/2011)
  • NanoStation 5: PMax: 250mw (Vencimiento 02/09/2011)
  • XtremeRange5: PMax: 630mw  (Vencimiento 27/07/2013)

Mas información relacionado con la homologación en el sitio de la CNC