mikrotikexpert

MAC-Telnet server para Linux

En MikroTik RouterOS tenemos el servicio de MAC-Telnet, el cual nos permite ingresar a un router MikroTik -que tenga habilitado el servicio- tan solo con la MAC-Address y sin necesidad de tener IP.

Esta opción es muy útil cuando se quiere configurar un router que viene seteado de fabrica sin IP, ó cuando perdemos conectividad con algún dispositivo y estamos en el mismo segmento de red, entre algunas de sus utilidades. Tiene la desventaja que al ser en Capa 2OSI– no tiene corrección de errores y por lo tanto no es seguro para transferir un archivo, pero si lo es para un acceso general.

Ya habíamos comentado que un grupo le había hecho ingeniería inversa al protocolo y habían creado un MAC-Telnet cliente nativo para Linux, pues bien, estos mismos amigos han portado el MAC-Telnet Server para ser instalado en un Linux y poder tener acceso a un servidor vía MAC.

El siguiente es un ejemplo de un MAC-Telnet a un Ubuntu desde un MikroTik:

[admin@Holmenveien] > tool mac-telnet 1c:6f:65:2c:98:b7
Login: haakon
Password:
Trying 1C:6F:65:2C:98:B7...
Connected to 1C:6F:65:2C:98:B7
Linux haakon-kontorpc 2.6.35-23-generic-pae #41-Ubuntu SMP Wed Nov 24 10:35:46 UTC 2010 i686 GNU/Linux
Ubuntu 10.10

Welcome to Ubuntu!
* Documentation:  https://help.ubuntu.com/

haakon@haakon-kontorpc:~$ w
01:32:52 up 24 days, 22:48,  2 users,  load average: 0.53, 0.61, 0.57
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
haakon   tty7     :0               01Dec10 24days 26:29m  3.17s gnome-session
haakon   pts/0    0:c:42:3e:20:c2  01:32    0.00s  0.15s  0.00s w

 

Los pasos de la instalación y configuración son muy simples, se puede bajar el código fuente o un paquete DEB para Debian/Ubuntu.

Mas información en el sitio lunatic.

Radius Manager v3.9.0 disponible

Uno de los radius más potente del mercado y que tiene plena compatibilidad con MikroTik  ha publicado un nuevo release el pasado 17 de Marzo.

La empresa DMASoftLab es la creadora de este producto, el cual permite tener todo el control sobre los usuarios, sea cual sea el protocolo que se utilice (PPPoE, HotSpot, DHCP).

Para trabajar son HotSpot soporta el pago vía tarjeta de crédito y utiliza varios sistemas de pagos como PayPal o Authorize.net para administrar los tiempos y pagos para brindar un servicio pre-pago de conectividad.

Su licencia no es costosa en relación a las prestaciones que posee el radius.

Puede ser descargado desde su sitio oficial. También se puede ver una demo de su panel de administración y el de usuarios.
Seguir leyendo…

La raz�n de porque hay que poner siempre todo a tierra

En uno de los blog que sigo encontré el siguiente video y que realmente para los que estamos en el mundo del networking es de mucha utilidad, ya que nos da una idea del porque siempre se debe utilizar cables mallados y las puestas a tierra con sistemas de protección ESD.

Cuando se producen tormentas eléctricas se suelen quemar los puertos ethernet o las tarjetas inalámbricas en nuestros AP, es normal si no tenemos una instalación correcta con todas sus tomas a tierra.

El siguiente video muestra un cable UTP con un RJ45 que está haciendo un arco voltaico durante una tormenta eléctrica, según comenta el cable va hacía la punta de la torre.

video://www.youtube.com/watch?v=bzr349f380g

Está es una de las razones por la cual Ubiquiti ha gastado mucho tiempo y ha empezado a fabricar su propia linea de cables llamada TougCable.

Vía: 3dbwireless

Propuesta de LACNIC para las IPv4 restantes

Se ha enviado a la lista de distribución de LACNIC un PDF con el Manual de Políticas sobre el agotamiento del espacio de direcciones IPv4.

Este manual hace referencia a como serán las nuevas asignaciones de las direcciones IPv4 luego de que se hayan agotado las mismas. En ella se aclara al solicitante el procedimiento para la asignación de bloques IPv4 recuperados por parte de LACNIC.

Las ventajas de este manual es que se aclara a la persona que va a hacer solicitud de bloques el procedimiento que debe realizar, permitiendo así aprovechar los rangos actuales de IPv4 que se poseen y para tener equidad. Esto llevará a la implementación de IPv6.

Según se comenta, las asignaciones serán:

1. Se efectuarán distribuciones solamente de bloques mayores ó iguales a /24 y menores ó iguales a /22.
2. No se realizarán distribuciones a organizaciones que dispongan de direccionesIPv4 y no estén utilizando direcciones IPv6.
3. Se realizarán asignaciones de bloques /24 a Infraestructuras Críticas sin ningún otro requerimiento que ser una Infraestructura Crítica de acuerdo a lo definido por las políticas de LACNIC. Estas organizaciones podrán recibir hasta un bloque /22 si demuestran su necesidad en los siguientes 12 meses.
4. Las organizaciones que reciban direcciones IPv4 de LACNIC de bloques recuperados no podrán recibir futuras distribuciones ó asignaciones de IPv4 de LACNIC.
5. Las mismas políticas aplican a bloques que sean recuperados más de una vez

El documento se puede descargar completo en formato PDF.

De vuelta a la rutina

Ayer regresé a Río Cuarto luego de estar unos días por México, particularmente en Miahuatlan, Oaxaca. Si bien fuí a desarrollar un proyecto de una Central IP, también tuve la oportunidad de compartir unos días con mis amigos y pasear un rato.

Ya había ido el año pasado a esta ciudad y especialmente a San José del Pacifico, un lugar hermoso, que tiene una magia particular entre la frondosa vegetación y la cabañas a la ladera de la montaña, realmente un lugar increíble.

En cuanto al trabajo que se desarrollo fue la primer Central IP que implemento pero para dar un servicio de telefonía pública con numeración directa, trabajando con lineas digitales (E1) y análogas, además de algunos proveedores SIP para rutear llamadas a ciertos destinos. El sistema también tiene todo lo relacionado con el Billing, es decir, la tarea de registrar las llamadas y luego a través de un cuadro tarifario se encarga de llevar los gastos que produce cada usuario para poder cobrarle luego el abono. Permite tener usuarios con servicio prepago y postpago lo cual brinda otros nichos de negocios.

Este tipo de proyectos es lo que se viene en el futuro, ya que las comunicaciones están cada vez mas accesibles y se esta abriendo la cancha para nuevos jugadores en todo lo referente a la telefonía IP.

Pronto estaré subiendo las fotos al flickr del viaje. Por ahora seguiré poniéndome al día con los pendientes.

 

Vulnerabilidad 0day de Windows: Protegiendo con MikroTik RouterOS

Hace un par de días Microsoft tuvo que liberar un parche de seguridad 0day (indica que lo tuvo que sacar de apuro porque es crítico y no puede esperar al martes de parches) por una vulnerabilidad en un componente SMB de Windows.

Este bug se encuentra en el driver mrxsmb.dll y permite tomar el control de la PC vulnerable para luego hacer algún ataque DoS cuando sea requerido. Según los reportes indican que el exploit trabaja solo en el mismo segmento de red (pero ésto no ha sido verificado aún).

Para los proveedores que tienen sus redes bridgeadas este tipo de vulnerabilidades es un grave problema para la red, ya que un usuario infectado puede contagiar a todos los usuarios que tenga a su alcance, si es que la red no esta filtrada.

La forma para protegerse es bloquear los puertos 135 al 139 y 445 tanto TCP como UDP dentro del firewall, en el caso de MikroTik y de usar bridge se debe hacer en el firewall del bridge. El router demo de MKE Solutions tiene un listado de reglas que sirven para bloquear este tipo de ataques.

Vía: ISC

Tama�o de redes en IPv6

Desde hace tiempo estoy recopilando información sobre IPv6 y encontré un post muy útil que habla sobre los tamaños de la redes que quiero apuntarlo en el blog y compartirlo.

Uno ya esta familiarizado con las máscaras de redes en IPv4 pero hay que tener en cuenta que aunque sean de igual valor absoluto (con IPv6), su valor real es muy diferente, a tener en cuenta:

/128 1 dirección IPv6 – Una interfaz de red
/64 1 Subred IPv6 –  18,446,744,073,709,551,616 direcciones IPv6
/56 256 Prefijo LAN Popular para un sitio suscriptor
/48 65,536 Prefijo LAN Popular para un sitio suscriptor
/32 65,536 /48 sitios suscriptores –  Asignación mínima de IPv6
/24 16,777,216 sitios suscriptores 256 veces mas grande que la asignación mínima de IPv6

Como ven cuando hablamos de tamaños de redes e IP en IPv6 nos damos cuenta de su magnitud. Cuando nos suscribimos a algún túnel broker, éstos nos asignan un /48 para nosotros, con lo cual tenemos muchísimos con que hacer pruebas y divertirnos.

Vía: mtin

Un nuevo rango IPv4 asignado y el fin se aproxima

Hoy día, 1 de febrero han sido asignado 2 /8 de los últimos bloques de IPv4 que están quedando disponible. Este nuevo rango ha sido asignado a APNIC:

39/8 & 106/8  APNIC            2011-02  whois.apnic.net ALLOCATED

Solo quedán los últimos 5 bloques /8, es necesario ir pensando en IPv6, cosa que cada vez está mas cercano ese momento.

Recuerden sacar esos rangos de los filtros de Bogons.

Largando febrero…

Increíble pero ya paso el primer mes del año y contando…La semana pasada termino el entrenamiento de MikroTik RouterOS en el cual 3 personas aprobaron los exámenes y  se certificaron como consultores. El curso estuvo movido y lo bueno que se hicieron nuevos amigos. La atención del Hotel Menossi que es donde se realizó el evento fue excelente, buena predisposición y lindo ambiente.

Por otro lado, hoy día reconfiguré totalmente mi router core, le estoy configurando nuevas funciones de seguridad a nivel de firewall e IPv6. Me estoy interiorizando en el tema de la seguridad en la telefonía IP, ya que hace un tiempo tuve un ataque en mi central telefónica y tuve que tomar ciertas medidas para contrarrestar el mismo. Este ataque me ayudó a encontrar algunos patrones que salieron luego de sniffear el tráfico; a estos patrones luego les hice una regla de firewall que al momento de aparecer, ponen el IP origen en una lista de cuarentena que le deniega el trafico hacía la red, protegiendo la central de los intentos de registración y ataques de fuerza bruta.

Para poder hacer mas precisa la protección, me uní a un proyecto de un grupo de administradores de sistemas, en el cual generan un listado de IP diarios con la información relacionada de dónde es, qué proveedor y otros datos de relevancia que permite luego poder hacer un address list con esos IP y cerrar el firewall para ellos. Estoy terminando la documentación de un script, ya que la voy a aportar al grupo, que permite a un administrador de sistema que use MikroTik poder proteger su red de los ataques SIP con una lista de atacantes que se actualiza periódicamente y es procesada por un script.

Tengo mucha información recopilada sobre este tema, la cual estoy organizando para armar un tutorial o algo similar (quizás unas series de post en el blog) para ir aportando mas material al tema.

Largamos con un año movidito…(si no se mueve no se goza)

Inicio del entrenamiento en R�o Cuarto

Hoy día  ha dado inicio el entrenamiento de MikroTik RouterOS que se realiza durante esta semana en Río Cuarto, Córdoba. En este tiempo estaremos con el grupo aprendiendo y ejercitando con laboratorios para comenzar  a utilizar el Sistema Operativo con todas sus opciones y poder «tunerlo» para sacarle el mayor provecho posible.

Esta vez será la primera vez que se dará capacitación y certificación para MTCUME, la cual abarca todo lo referente al User Manager y el manejo de usuarios por Radius.

En la semana iré posteando algunas novedades con respecto al curso.