MikroTik

Ubiquiti: NanoStation2

La gente de Ubiquiti ha lanzado una serie de productos CPE indoor/outdoor muy interesante, llamado NanoStation2. Se trata de un CPE que permite ser Cliente Bridge y que tiene como procesador  un Atheros  AR2316 SOC, MIPS 4KC, 180MHz con 16MB SDRam y 4Mb de Flash.  Tiene como potencia 26dBm y una sensibilidad de -97dBm.

Tiene una antena integrada de 10dBi con dual polarización, se han realizados pruebas que dan 25mbps TCP de Throughput .

Pesa 400 gramos y también esta la solución de 5Ghz llamada NanoStation5.

El sistema operativo que tiene es el AirOS un desarrollo de Ubiquiti al cual estoy investigando para escribir un poco acerca de el. También esta disponible el datasheet para mas información.

Sería interesante saber si se le puede cambiar el sistema operativo y ponerle un Mikrotik, ya que tiene un costo de alrededor  de u$s 79, todo ya integrado, que es un buen precio.

RapidShare: Limitando ancho de banda

Una idea bastante ingeniosa para los que quieran limitar el ancho de banda de Rapidshare a un valor diferente del que se puede tener para el trafico web normal es haciendo lo siguiente:

Primero cargar el script que se encuentra al final de este post, lo que hace el script es toma los IP que se tengan en la tabla de dns con la cadena rapidshare, a eso lo agrega a una lista temporaria (address-list). Lo siguiente para hacer es hacer un mangle de esos ips con una marca y luego sencillamente hacer un queue para esa marca de flujo para limitarle el ancho de banda que se requiera

Seguir leyendo…

Mikrotik Layer7: Regex actualizados

En el sitio del proyecto Layer7 hosteado en sourceforge, los desarrolladores del sistema han actualizado la lista de algunos de los matcheadores (regex) para detectar los protocolos cuando queremos marcar trafico con la nueva versión de Mikrotik V3.

Han cambiado algunos como el de ssh pero también se han agregados otros tantos, es interesante porque continuamente colocan una actualización de los regex con lo que nos ayuda a poder detectar los nuevos y/o cambios que se generan en internet.

Layer7 Protocol  20-enero-08

Mikrotik: Nueva versi�n y con checksum MD5

Hoy salió la versión v3.2 de Mikrotik con algunos cambios en su changelog, pero una cosa interesante que han incorporado es que se tiene un checksum MD5, esto sirve para saber si el paquete que se baja es efectivamente el original creado por Mikrotik o si tiene alguna modificación, esto es útil ya que ahora como están los torrent del RouterOS, podemos asegurarnos que estamos con el archivo correcto.

Routerboard RB1000: Next generation

Ya esta listo el RB1000 para venderse, se han entregado algunos routers para que hagan pruebas y testeos, es increíble lo que este router puede hacer, tiene un procesador PPC8547 de 1.3ghz pero Powerpc networking processor. Puede aguantar unos 400.000 pps y unos 3.2gbps de throughput en full duplex.

Tiene interfaces ethernet de Gigabit, tiene 2 compact flash, una para el sistema operativo y otra puede ser para backups, guardar las base de datos del usermanager o el trabajo del Dude. También se han testado con CF para hacer un cache del webproxy con buenos resultados, ya que las última versiones de estos dispositivos de almacenamiento son bastante rápidos de acceso R/W. Hasta hay CF de 64Gb.

Tienen como alimentación con power jack de 12DC, unos 512mb de ram y viene con licencia Level6 del RouterOS, mide 14cm por 16cm.

Ahí esta un RB1000 con un case indoor.

Han hecho varios testeos de perfomance de todos los Routerboard  disponibles que la pueden bajar, están en formato pdf y divido en 2 partes, la primera parte medida en PPS y la segunda en MBPS.

Mikrotik News 6

Ha salido a la vida la nueva edición de la revista bisemanal de Mikrotik, en esta tocan temas como:

  • winbox interface improvements
  • new hardware announcements
  • MPLS/VPLS
  • RouterOS v3 is here
  • New training system and new MUM!

Pueden bajarla directamente del Wiki. 

Interesante el nuevo sistema de entrenamiento que va a implementar la gente de Mikrotik ya que son training específicos de un tema en particular, no tocando varios servicios del RouterOS sino ver en detalle un tema en particular.

Port Knocking: An�lisis e implementaci�n

Hay una técnica de seguridad llamada port knocking, que no la voy a explicar porque la gente de HispaSec hizo un excelente artículo sobre la descripción del sistema. Yo lo utilizo en mis routers para cuando viajo pueda tener accesos a los mismos, ya que no se cual es la dirección IP porque es dinámica.

En Mikrotik se puede implementar este sistema, hace mucho tiempo que en el wiki están los pasos para poder implementarlo, es una buena opción al momento de la seguridad.

A continuación pego parte del artículo de Hispasec, que es la parte descriptiva, pero vale la pena leer el artículo completo ya que tiene algunos conceptos interesantes.

¿Qué es "Port Knocking"?

Todos hemos visto películas en las que alguien golpea cierta secuencia en la puerta de una taberna y si la secuencia era correcta el tabernero abre una rendija para solicitar una clave verbal. Si la secuencia de llamada no era correcta, ninguna medida se toma y el interesado cree que la taberna se halla cerrada. El concepto de "Port Knocking" es exactamente análogo.

En informática, este concepto consiste en enviar paquetes a ciertos puertos en un orden específico con el fin de abrir un puerto en concreto. Este último puerto se halla cerrado por un cortafuegos siempre y cuando no se realice el barrido de puertos siguiendo la secuencia particular. De esta forma, si un atacante efectúa un escaneo del sistema, el puerto aparecerá cerrado aun estando el servicio asociado a él en funcionamiento, el cortafuegos hace un simple DROP si no se ha efectuado la secuencia de barrido previa.

Tomemos como ejemplo un demonio sshd escuchando en el puerto 22/TCP. Elegimos como secuencia de barrido la sucesión 43, 6540 y 82. El puerto 22 se abrirá si, y solo si, un usuario inicializa conexiones TCP hacia los puertos 43, 6540 y 82 en ese orden exacto. En caso contrario el usuario recibirá como respuesta un RST/ACK cuando intenta comenzar una conexión hacia el puerto 22.

Si la secuencia correcta de inicializaciones ha sido efectuada, el puerto 22 se abrirá durante un lapso de tiempo determinado y únicamente para la IP que completó la secuencia previa. Una vez el puerto 22 se halle abierto, se pueden llevar a cabo medidas adicionales de autenticación.

Mikrotik: Vlan Q-in-Q

Mikrotik en su versión v3 tiene un agregado bastante importante si estamos utilizando Vlans en nuestra red, es la posibilidad de tener Vlans sobre vlans, esto permite que administrativamente sea muy sencillo algunos escenarios.

Un ejemplo es poder distribuir tagges Vlans sobre múltiples switches y hacer un escenario multihop.

Una de las ventajas de Vlans que utilizan menos encabezados que las VPNs. 

Estoy escribiendo un reseña sobre Vlans y Q-in-Q, para poder hacerlo mas entendible al tema. 

Script para changeip.org

Recientemente fue actualizada la versión del script para el Mikrotik que permite tener un sistema parecido al de Dyndns llamado changeip.org.

Este sistema permite tener una entrada dns  cuando tenemos una IP variable. Esta Script actualizada sirve para la versión 3 de Mikrotik, la misma esta disponible en el wiki de Mikrotik.