MikroTik

MTHelper: Administrando dispositivos MikroTik

Hace unos días me llego una invitación para probar MTHelper, un servicio que permite administrar dispositivos MikroTik en la nube.

La idea es poder realizar cambios en la configuración de una manera bastante simple y con una interfaz amigable.

Se pueden realizar grupos y aplicarles un tipo de configuración en particular. También se pueden ver los registrados inalámbricos, sus niveles de señales, tráfico consumido entre algunos otros parámetros.

Dispone de un sistema de notificaciones al momento que se realiza alguna alerta o comportamiento, por ejemplo que el dispositivo se vuelta offline, cuando el CPU supere cierto valor, que notifique cuando llegue a cierta temperatura, etc.

Por ahora el sistema es gratuito y su registración esta abierta, veremos que sucede mas adelante.

Mas info: MTHelper

Blocklister: obteniendo listas de firewall para RouterOS

Un servicio que encontré leyendo algunos post en el foro de MikroTik es Blocklister, un servicio que genera listas de direcciones IP compatibles con RouterOS de las principales listas de internet como ser DShield o SpamHaus.

La lista completa de sitios al momento se puede encontrar en el proyecto GIT, donde también estan disponibles los pasos para hacer la instalación del sistema.

Estas listas se actualizan cada 2 días y permiten brindarle una protección adicional al routerOS.

Su funcionamiento es bastante simple, existe un listado de listas de acuerdo a lo que queramos bloquear, como por ejemplo, sitios con ads, spyware, proxy abiertos, spamhaus, etc. Una vez que definimos la lista, ésta es importada en un address list en el MikroTik y luego le hacemos el tratamiento que queramos.

Se puede leer mas del proyecto en GitHub

Bloqueando WhatsApp con MikroTik

Son muchos los entornos en donde se necesita bloquear las redes sociales, ya sea por seguridad o para evitar el ocio.

WhatsApp es una de las aplicaciones que se suele bloquear y hay varias maneras para hacerla.

La primera de ellas es hacer una entrada estática de DNS para c.whatsapp.com que es la que se utiliza para conectarse, dicha entrada puede tener 127.0.0.1 por ej.

La otra opción es por firewall evitando que se conecten a las redes que utiliza whatapps, para ello tenemos el listado de IP oficiales de este sistema de mensajería, tanto en IPv4 como IPv6.

Para acceder a dicho listado de redes hay que ingresar en https://www.whatsapp.com/cidr.txt

De Cisco a MikroTik, listado de comandos BGP.

En el mundo del networking hay muchas marcas de routers disponibles y uno de los principales vendors es Cisco quien acapara una gran cuota del mercado.

Hoy en día MikroTik se está metiendo de a poco en el mercado de los carriers y su implementación en entornos de interconexión se ha incrementado últimamente.

Un sitio especializado del tema networking llamado StubArea51 ha creado una lista de comandos para BGP que permite la traducción de sintaxis Cisco a MikroTik RouterOS.

La captura de pantalla es la siguiente:

Cisco To MikroTik

Recomiendo la lectura de dicho artículo porque da detalles especiales en puntos a tener en cuenta al momento de aplicar ciertos comandos.

Vía: MikroTik

Ejecutando Winbox en OS X 10.11 El Capitan

En el día de ayer se largó la posibilidad de poder actualizar el MacOS Yosemite a El Capitan de manera gratuita por los usuarios de dicho sistema operativo.

Si bien yo aún no actualizo mi sistema, tengo un amigo que si lo ha hecho y ha tenido un problema al actualizar y querer ejecutar el Winbox con emulación de Wine.

No es el primero que tiene problema, ya que algunos usuarios del foro de MikroTik están reportando el mismo inconveniente. Por suerte uno de ellos se ya puesto a investigar y ha encontrado la solución.

La misma esta comentada en el hilo del foro de MikroTik que abrió el usuario con algunas capturas de pantallas.

Yo en unos días mas, cuando tenga conocimiento de la estabilidad de El Capital, decidiré a actualizar mi sistema, por lo pronto, lo dejo como esta.

Ver Hilo foro MikroTik

Petición para liberar el Código Fuente del The DUDE

Una excelente iniciativa se la lanzado hace unos días desde Brasil, la petición de pedirle a MikroTik que libere el código fuente de la aplicación DUDE.

DUDE es una herramienta de monitoreo de dispositivos vía SNMP / RouterOS que tiene muchas ventajas (entre algunas es gratuito), pero su desarrollo ha quedado estancado desde hace mas de 5 años.

Desde hace tiempo los usuarios de MikroTik le piden que continúen el avance de la herramienta, pero según han comentado, su desarrollo se realiza en pasatiempos y desde que se lanzó la v6 no han podido continuar su programación, ya que están enfocados en el RouterOS.

Seguramente en parte del código fuente de la aplicación estarán datos de sus protocolos propietarios que dificultarán la publicación del mismo.

La petición es vía change.org, no se si le darán relevancia, pero me sumo para que tengan noción de los usuarios de la misma y la necesidad de continuar el proyecto. Al momento de escribir este post hay unas 125 firmas de 200 que se requieren.

Petición de Liberar el código de DUDE

Algunos datos interesantes

Desde hace tiempo tengo en favoritos algunos enlaces que mencionan datos interesantes que a continuación los compartiré.

Oficialmente MikroTik ha comprobado el perfomance de los CCRs trabajando con túneles IPSEC y surgieron los siguientes resultados:

CCR1036:
El máximo throughput alcanzado fue de 3.2Gbps con 34 túneles (full duplex)
1.8Gbps con 16 túneles
820Mbps con un GRE over IPSec (full duplex)

CCR1009:
1.6Gbps con 8 túneles full duplex
520Mbps con un GRE over IPSec (full duplex)

Los testeos fueron realizados con el traffic-generator y tamaños de paquetes de 1470 byte.

Bloqueando ataques SIP con Firewall MikroTik

Hace tiempo tuve la necesidad de proteger algunas centrales IP y desarrolle una serie de reglas que protegen a una central telefónica IP como un asterisk, de ataques SIP. Me la tuve que rebuscar bastante para lograr tener algo funcional.

Un usuario del foro de MikroTik ha desarrollado un par de regla simples t bastante interesantes  que permiten proteger una centralita.

La idea es mirar la primer registración sip (new) al puerto 5060 y si en 15 segundos no puede lograr el handshake (login) con el servidor -usualmente el registro llega 3 segundos como mucho-, lo coloca en una lista negra por 1 día para banear el IP.

Las reglas son:
/ip firewall filter add chain=forward in-interface=ether1-gateway src-address-list="SIP Hacker" action=drop
/ip firewall filter add chain=forward protocol=udp dst-port=5060 connection-state=new src-address-list="SIP Trial" in-interface=ether1-gateway action=add-src-to-address-list address-list="SIP Hacker" address-list-timeout=1d
/ip firewall filter add chain=forward src-address=0.0.0.0/0 protocol=udp dst-port=5060 in-interface=ether1-gateway connection-state=new action=add-src-to-address-list address-list="SIP Trial" address-list-timeout=00:00:15

Es una buena alternativa para hacer una protección básica de una centralita IP. Obvio que hay que se puede mejorar mucho mas, pero la base esta muy bien.

vía: MikroTik

Cambiando MAC Address en MacOS Yosemite

Hace unas semanas tuve la necesidad de hacer el cambio de la MAC Address a la interfaz inalámbrica de mi notebook y al ser la primera vez que lo necesite hacer en MacOS decidí compartirlo porque seguro que a mas de uno lo necesitará alguna vez.

He buscado por internet y hay muchísimas (según dicen) de cambiar la MAC Address de alguna de las interfaces en MacOS pero la que me dio resultado efectivo es la siguiente:

Para cambiar la MAC Address, se puede elegir una cualquiera o generar una posible con el comando:
openssl rand -hex 6 | sed 's/\(..\)/\1:/g; s/.$//'
El resultado será algo así:

b3:0c:74:bf:c7:25

Procederemos a utilizarla como MAC Address. Configuramos la interface en0 que corresponde a la wireless.


sudo /System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport -z
sudo ifconfig en0 ether b3:0c:74:bf:c7:25
networksetup -detectnewhardware

Con este último comando se tomarán los cambios realizado. Luego se procede a conectar nuevamente con el AP que se desee.

MUM en Miami, USA 2015

Hoy día iniciamos el entrenamiento MTCNA en la ciudad de Miami, Estados Unidos. Estoy muy contento con la convocatoria que hubo, porque este es el primer entrenamiento que brindamos en USA y sabiendo que hay muchas opciones, los profesionales que quieren capacitarse nos eligen.

Durante el Jueves y Viernes de esta semana se celebrará el MikroTik User Meeting, el encuentro de usuarios de MikroTik, en donde ya hay mas de 500 personas confirmadas de mas de 75 países. Este es uno de los eventos mas esperados, ya que se cumplen 10 años desde el inicio de este tipo de encuentros.

Estaré subiendo algunas fotos en mi Flickr que iré sacando, al igual que en mi cuenta de Twitter iré tuiteando cuando tenga alguna novedad.

Esperamos conocer los nuevos productos que serán mencionados por MikroTik, algunos de ellos ya fueron anunciados en el MUM de Praga de hace unas semanas atrás y otros, según se comenta, serán anunciados en este evento.

Realmente estoy muy contento por el desembarco de MKE Solutions en este país, porque luego de un gran esfuerzo estamos atacando un nuevo mercado.