mikrotikexpert

Reporte de Avast: Campaña de criptomoneda vulnerando MikroTik

La empresa de seguridad / antivirus Avast ha publicado un reporte que habla de MikroTik y de la manera que fueron explotadas las vulnerabilidades del Sistema Operativo para poder hacer minería.

Según el reporte hasta el 15 de Octubre, Avast bloqueo unas 22 millones peticiones para la campaña de minería JS:InfectedMikroTik.

mikrotik-router-attacks-blocked-by-avast

En el ranking tenemos a Brasil y Polonia como los países con más infectados, le siguen Indonesia y Argentina.

El informe es muy completo y detallado, en donde podemos conocer la manera que fue expandiéndose e infectando a los usuarios. 

Vale la pena leerlo y conocer más al detalle la situación de seguridad.

Presentación MUM Asunción, Paraguay 2017

Hace una par de semanas asistí al MikroTik User Meeting de Asunción del Paraguay que se realizó a finales de Julio.

Allí hable sobre como «Utilizar MikroTik RouterOS como IPS» utilizando varias herramientas de código abierto.

Una de ellas es Suricata y las otras son dos proyectos que he creado en GitHub que son:

IPS-MikroTik-Suricata: Módulo que se conecta a la DB del Suricata en búsqueda de ciertos patrones y al encontrarlo, agrega el IP Address atacante a un Router MikroTik vía API.

WebPanel-IPS-MikroTik-Suricata: Webpanel para administración del modulo conector.

La presentación la pueden descargar en PDF y el video puede ser visto desde el canal de Youtube de MikroTik.

Agregando Emojis al SSID de MikroTik RouterOS

El utilizar los Emojis hoy es día es muy común y hay cientos de aplicaciones que lo hacen. Una de las características de RouterOS es que permite agregarle al SSID emojis directamente.

Para poder realizarlo hay que convertir el Emojis a Unicode. Una de las formas de hacerlo es utilizando la Tabla de Unicode o utilizar el conversor online.

Una vez que ya tenemos los caracteres convertidos a Unicode lo configuramos por console en la interfaz inalámbrica.
/interface wireless set wlan0 ssid="\F0\9F\98\84"

Blocklister: obteniendo listas de firewall para RouterOS

Un servicio que encontré leyendo algunos post en el foro de MikroTik es Blocklister, un servicio que genera listas de direcciones IP compatibles con RouterOS de las principales listas de internet como ser DShield o SpamHaus.

La lista completa de sitios al momento se puede encontrar en el proyecto GIT, donde también estan disponibles los pasos para hacer la instalación del sistema.

Estas listas se actualizan cada 2 días y permiten brindarle una protección adicional al routerOS.

Su funcionamiento es bastante simple, existe un listado de listas de acuerdo a lo que queramos bloquear, como por ejemplo, sitios con ads, spyware, proxy abiertos, spamhaus, etc. Una vez que definimos la lista, ésta es importada en un address list en el MikroTik y luego le hacemos el tratamiento que queramos.

Se puede leer mas del proyecto en GitHub

Petición para liberar el Código Fuente del The DUDE

Una excelente iniciativa se la lanzado hace unos días desde Brasil, la petición de pedirle a MikroTik que libere el código fuente de la aplicación DUDE.

DUDE es una herramienta de monitoreo de dispositivos vía SNMP / RouterOS que tiene muchas ventajas (entre algunas es gratuito), pero su desarrollo ha quedado estancado desde hace mas de 5 años.

Desde hace tiempo los usuarios de MikroTik le piden que continúen el avance de la herramienta, pero según han comentado, su desarrollo se realiza en pasatiempos y desde que se lanzó la v6 no han podido continuar su programación, ya que están enfocados en el RouterOS.

Seguramente en parte del código fuente de la aplicación estarán datos de sus protocolos propietarios que dificultarán la publicación del mismo.

La petición es vía change.org, no se si le darán relevancia, pero me sumo para que tengan noción de los usuarios de la misma y la necesidad de continuar el proyecto. Al momento de escribir este post hay unas 125 firmas de 200 que se requieren.

Petición de Liberar el código de DUDE

mikrotik-fail2ban: Protegiendo nuestro RouterOS

Un excelente complemento del fail2ban ha sido integrado al RouterOS. Utilizando un syslog server creado en Python, es posible proteger a nuestros routers de manera centralizada.

El logger server solo acepta los syslogs remotos de los IP que han sido dado de alta, por lo que se puede proteger todos los routers con un solo fail2ban.

El sistema escucha en UDP los paquetes que le llegan de los syslogs de los routers configurados, el log es incorporado al auth.log y el fail2ban los captura y ejecuta una acción a proteger.

Se puede instalar facilmente a través de GIT. El proyecto esta liberado con licenciamiento MIT license.

Mas info: Proyecto GIT

TikScan un scanner inalámbrico para MikroTik

Una de las funcionalidades que se les ha solicitado a la gente de MikroTik  es la posibilidad de realizar un escaneo a nivel inalámbrico sin perder conectividad / que la interfaz inalámbrica se deshabilite tal como ocurre actualmente via Winbox.

Un usuario de MikroTik ha creado una aplicación para iPhone llamada TikScan que permite realizar un escaneo durante un cierto intervalo y luego devolvernos el reporte de los SSID, señales y demás información encontrada.

La aplicación utiliza SSH para conectarse con el router por lo que dicho servicio debe estar habilitado.

Otras opciones del app es generar un reporte de las señales incluyendo las coordenadas GPS y luego enviarla por correo.

Pueden ver mas sobre la aplicación y un video de su funcionamiento.

Entrenamientos MikroTik RouterOS y Ubiquiti en Rio Cuarto, Argentina

En febrero se brindarán varias certificaciones MikroTik y Ubiquiti en la ciudad de Río Cuarto, Argentina.

El cronograma queda definido:

UCWA (Ubiquiti AirMAX): 19 y 20 de Febrero
MTCNA (Inicial): 23 al 25 de Febrero
MTCTCE (Control de Tráfico): 26 y 27 de Febrero

Las inscripciones ya están abiertas y los cupos son limitados. Podrán encontrar mas información en Academia de Entrenamientos o en el AulaVirtual.

Aumentando el tamaño de la Tabla ARP en MikroTik RouterOS

Muchas veces tenemos anormalidades en el comportamiento de nuestros routers y debemos buscar el motivo para poder solucionarlo.

Les comparto un TIP que es para tenerlo en cuenta por si alguna vez es necesario. Muchas veces tenemos que el CPU en los cores se eleva mucho cuando tenemos redes grandes. Eso se puede deber a muchos factores y uno de ellos es el tamaño de la tabla ARP.

La tabla ARP es la base de datos (por así decirlo) donde se almacenan todas las MAC Address e IP Address de todos los host con lo que se tiene conectividad en Capa 2 (mismo segmento).

Por defecto el tamaño viene en 8291 y como comente en algunos casos ese tamaño es poco. En caso de necesitarlo se podrá modificarlo desde consola con el siguiente comando:

/ip settings set max-arp-entries=XXXXX

Espero que les sea de ayuda.