Seguridad

Aplicaci�n de Port Knocking

El uso del concepto de Port Knocking es muy útil para los que son paranoicos ó requieren de tener un alta seguridad en los routers ó servidores. Un explicativo de como realizarlo con MikroTik está disponible en MKE Solutions en la sección artículos.

Ahora tenemos una aplicación realizada por  Greg Sowell que permite enviar diferentes paquetes en un orden y puerto definido para el acceso a algún dispositivo. Lo interesante es que se puede poner cierto texto definido en el paquete, si es que aplicamos la detección por Layer7 de la cual también hemos hablado anteriormente.

La aplicación está disponible para su descarga, y lo mejor de todo es que el código fuente también está disponible tanto en el sitio original como en pastebin.

Via: GregSowell

29 julio, 2010 por Interesantes Internet MikroTik mikrotikexpert Programación Seguridad 0

Radius Manager v3.8.0 disponible

El día 16 de Julio se ha publicado la versión v3.8.0 del servidor radius de DMA Softlab, Radius Manager. Los archivos de instalación pueden ser descargados si se tiene una suscripción activa y desde el portal.

El licenciamiento a partir de ésta versión han cambiado por una nueva política de precios.

Los cambios son:

FEATURE LIST

*** v 3.8.0 *** 2010-07-16 ***
NEW FEATURES:
-discount billing periods (hours of day)
-definable time periods when connection is allowed
-reseller system
-pfSense captive portal support
-automatically synchronized clients.conf (ACP)
-controllable RADIUS service activity (ACP)
-superuser can assign users to managers in ACP
-prepaid card activation option (SMS)
-user definable PIN code length, optional password for cards
-improved PDF card printing (background picture, PIN, password, valid till field)
-invoice instead of receipt (online payments)
-completely reorganized invoice browsing system
-PayPal Website Payments Standard support (Credit Card and balance payment)
-DPS Payment Express support (Credit Card)
-resellers can change services immediately (ACP)
-users can change services immediately (UCP)
-NASes are assigned to services instead of users
-optimized user list view
-installer support for Debian
-user groups introduced
-find users by group, email, country, state
-user definable sim-use values of cards and IAS templates
-improved ACP menu system
-reopen closed sessions if they are active again (online users list is always in sync with NAS)
-only superuser can access syslog, system informations and CTS report
-SMS verification of IAS accounts

BUGFIXES:
-ACP manager password change problem fixed
-card system time unit problem fixed (broken in 3.7.0)
-IAS Netcash CC payment system fixed (broken in 3.7.0)
-PayPal gateway problems fixed (broken in 3.7.0)
-allow generating classic prepaid cards for free (price = 0)
-wrong language selection in ACP / system settings fixed
-CSV download problem fixed
-mass emails are sent for regular and Hotspot MAC users only
-UCP / change service: the current service is not listed anymore
-ACP / new user deposit field added
-mass mailer supports external SMTP relay
-rm_allowednases index problem fixed
-useradd UNIX command instead of adduser (Debian compatibility)
-IAS price cannot be zero
-in next services static IP is not used, supporting expired account redirection
-completely revorked invoice storage system with less redundancy
-completely revorked credits adding system
-add additional credits price problem fixed (broken in 3.7.0)
-postpaid (batch) billing total amount problem fixed
-UCP purchase service vulnerability fixed
-traffic summary calculation problem fixed
-resellers are forced to create new accounts with zero initial credits
-change service resets the caps (if enabled)
19 julio, 2010 por General Internet Linux MikroTik mikrotikexpert Seguridad Wireless 1

OpenDNS FamilyShield: Protecci�n parental

Muchas veces se necesita bloquear el acceso a sitios pornos, consolas, phishing entre otros y son complicadas las herramientas que hay disponible y otras son costosas.

OpenDNS tiene un servicio gratuito llamado FamilyShield y permite bloquear sitios de adultos, proxy y sitios anónimos (que suelen utilizarse como un bypass de los filtros webs), phishing y algunos malwares.

Es un servicio destinado a las escuelas, empresas y hogares que requieren de una internet segura para sus hijos o entorno. El listado de filtros web se refrescan todos los días ya que tienen una actualización 24/7 de los sitios web adultos.

Como dijimos el servicio es gratuito y solo hace falta configurar los dns de OpenDNS en nuestra PC ó en el router en caso que tengamos una red interna. Luego se puede administrar las peticiones que queramos creando una cuenta en OpenDNS y accediendo al panel de configuración.

Los dns que hay que setear son 208.67.222.222 y 208.67.220.220

Pueden informarse mas en FamilyShield.

ACTUALIZACION: Por error puse mal los dns para FamilyShield que son: 208.67.222.123 y 208.67.220.123

17 julio, 2010 por General Interesantes Internet Linux MikroTik Seguridad 2

Norton Public DNS

Recientemente la empresa Norton ha decidido ingresar al mundo de las opciones de DNS públicos, en este caso con un sistema que esta en beta, que no tiene grandes innovaciones.

La forma de utilizarlo es la misma que tenemos con OpenDNS o con Google Public DNS, es decir, que debemos setear los DNS primarios y secundarios en la configuración de red en nuestro sistema operativo o dispositivo.

Aún no tiene algún servicio que le de un valor agregado a la mera resolución, pero habrá que esperar un poco más porque es un servicio reciente. OpenDNS es la otra opción que hay, que esa si permite tener algunos valores agregados, entre ellos antiphishing, pornografía entre otros.

Se puede chequear el estado de los servidores y servicios; también un listado de preguntas y respuestasFAQ- está disponible en el sitio oficial.

Los DNS a utilizar son: 198.153.192.1 y 198.153.194.1

Las direcciones IP son algo difícil de recordar si lo comparamos con el 8.8.8.8 de Google, pero es una buena opción para utilizarlo en caso de algún escenario que lo amerite.

12 julio, 2010 por Interesantes Internet Linux MikroTik mikrotikexpert Seguridad 0

SolarTik: Cargador Solar para MikroTik

Un excelente circuito ha sido enviado al foro en inglés de MikroTik. La idea es utilizar un sistema para cargar las baterías con paneles solares y ya que además tiene un timer para rebootear el equipo.

El listado de materiales lo pondremos a continuación. Como utiliza un Microchip es necesario subirle la flash al PIC que también esta disponible para descargar.

IC1 7505 +5v linear regulator
IC2 Microchip 12F675

T1 (says Q1 on schematic) IRF9540 HexFET (P-Type)
T2 BC109 or any small signal transistor
T3 L2203N HexFET (N-type)

All Diodes SB650 or similar schottky type (i chose 3A types)

R1,R2,R1 1k
R3,R6 47k
R4,R5 4k7
R7 10k

C1 10uf 16v
C2 47uF 25v
C3,C4 100nf
C5 10uf 63v

El diagrama entre muchos comentarios y críticas al circuito están en el hilo del foro.

7 julio, 2010 por Interesantes Internet MikroTik mikrotikexpert Seguridad 1

Radius Manager v3.8.0 beta7 publicado

Recientemente ha sido publicada una nueva versión del uno de los mejores servidores RADIUS del mercado –Radius Manager de DMA Softlab del cual ya hemos hablado en otras oportunidades.

El nuevo changelog trae lo siguiente:

*** v 3.8.0 *** 2010-07-05 ***
NEW FEATURES:
-discount billing periods (hours of day)
-definable time periods when connection is allowed
-reseller system
-pfSense captive portal support
-automatically synchronized clients.conf (ACP)
-controllable RADIUS service activity (ACP)
-superuser can assign users to managers in ACP
-prepaid card activation option (SMS)
-user definable PIN code length, optional password for PIN codes
-improved PDF card printing (background picture, PIN, password, valid till field)
-invoice instead of receipt (online payments)
-completely reorganized invoice browsing system
-PayPal Website Payments Standard support (Credit Card and balance payment)
-DPS Payment Express support (Credit Card)
-resellers can change services immediately (ACP)
-users can change services immediately (UCP)
-NASes are assigned to services instead of users
-optimized user list view
-install.sh supports Debian directly
-user groups introduced
-find users by group, email, country, state
-user definable sim-use values of cards and IAS templates
-improved ACP menu system

BUGFIXES:
-ACP manager password change problem fixed
-card system time unit problem fixed (broken in 3.7.0)
-IAS Netcash CC payment system fixed (broken in 3.7.0)
-PayPal gateway problems fixed (broken in 3.7.0)
-allow generating classic prepaid cards for free (price = 0)
-wrong language selection in ACP / system settings fixed
-CSV download problem fixed
-mass emails are sent for regular and Hotspot MAC users only
-UCP / change service: the current service is not listed anymore
-ACP / new user deposit field added
-mass mailer supports external SMTP relay
-rm_allowednases index problem fixed
-useradd UNIX command instead of adduser (Debian compatibility)
-IAS price cannot be zero
-in next services static IP is not used, supporting expired account redirection
-completely revorked invoice storage system with less redundancy
-completely revorked credits adding system
-add additional credits price problem fixed (broken in 3.7.0)
-postpaid (batch) billing total amount problem fixed
-UCP purchase service vulnerability fixed

Para descargarlo y probarlo se debe tener una cuenta del sitio ya que esta disponible para los registrados la descarga del mismo.

6 julio, 2010 por Interesantes Internet Linux MikroTik mikrotikexpert Seguridad Ubuntu Wireless 1

Google propone modificar el protocolo TCP

Leyendo barrapunto encuentro una noticia interesante que puede mejorar  las velocidades de Internet, principalmente la de la navegación (HTTP). La propuesta ha sido presentada por Google hacia la IETF (Internet Engineering Task Force) que es el organismo que se encarga de estandarizar lo relacionado con Internet.

La idea de Google, que está fundamentada con sus experimentos realizados en su red, permite un aumento de hasta un 12% de la velocidad de navegación. La idea es aumentar el tamaño la ventana del protocolo TCP a unos 15KB de los 4KB que es el valor que se utiliza actualmente. Esto permitiría aprovechar aún más las velocidades actuales de acceso a Internet (banda ancha).

No voy a explicar el funcionamiento en sí de la ventana ni tampoco la propuesta porque está perfectamente detallada en un artículo de bandaancha.eu pero si vamos a comentar que esto ayudará a una mejora en la navegación ya que evitará tener que andar aumentando la ventana exponencialmente cuando se concreta una conexión y bajara la latencia de las mismas.

Según los resultados realizados por sus experimentos han logrado tener una mejora del 11.7% en las conexiones rápidas y una merma en la latencia. En las conexiones inestables o tendrá un aumento de retransmisiones pero que no es preocupante ya que se empeorará en un 0.02% en conexiones rápidas y un 0.17% en conexiones lentas, algo que es despreciable y que seguramente se encontrará una manera de evitarlas.

Lo interesante de esto es que no implicará muchos cambios a nivel de hardware sino que se puede implementar fácilmente con alguna actualización de software.

El texto explicado detalladamente se encuentra disponible en el paper presentado por Google y el concepto en palabras simples en bandaanda.eu.

1 julio, 2010 por General Google Interesantes Internet Linux MikroTik Seguridad 2

Un d�a dif�cil

Ayer fue un día bastante duro y que me ha dejado un gusto amargo. Si bien gano Argentina el partido contra Corea del Sur, cosa que a uno lo pone eufórico, tuve una noticia que me bajoneo bastante.

Un amigo de México, con el cual veníamos realizando algunos trabajos en su proyecto tuvo la desgracia de caer de una torre mientras estaba haciendo la tarea que realizamos normalmente como es el instalar un enlace; luego de un falla en su arnés, que según comentan estaba desgastado, éste se soltó y cayo de 10 metros; pocas horas después perdió la vida. Cuando me enteré me fue difícil de asumir porque hacía un par de horas que habíamos estado hablando sobre el nuevo balanceador que quería hacer y la migración de su sistema actual. Tenía solo 22 años de edad y se llamaba Miguel había participado de un entrenamiento MikroTik y estaba relacionado en el ambiente desde hacía tiempo.

Este hecho nos trae a la memoria lo frágil que somos. El a veces no tomar las medidas de seguridad al momento de subirse a una torre y de no tener las herramientas en buen estado puede tener un alto costo. Comentábamos con un amigo la noticia y él digo algo muy cierto y es que a veces en momentos de calentura, uno se sube a la torre aún con lluvia para cambiar o ver algo y no toma conciencia de que hay familiares que esperan por nosotros.

Varias veces se me ha pasado por la cabeza que sucedería si alguna vez uno dejará de existir en el mundo de los vivos, las cosas que deja uno acá, algunas a medio hacer, otras en proyectos a largo plazo y los seres queridos.

El tomar los recaudos necesarios para la seguridad es de suma importancia, no nos olvidemos de eso.

Hasta siempre Miguel P.

18 junio, 2010 por offtopic Personal Seguridad 2

ClearOS: Un router de core completo

ClearOS es un sistema operativo basado en Linux (Red Hat) que anteriormente estaba derivado del Clark Connect. Se utiliza como gateway y tiene muchas características que lo hacen bastante poderoso.

Principalmente su configuración es vía una interface web, pueden visitar algunos sitios demos para ver lo intuitivo que es su seteo. Entre las opciones que tiene se destacan el antivirus, antispam que posee. A modo de referencia, los desarrolladores del proyecto layer7 dejaron el mismo y se fueron a trabajar para ásta distribución, por lo que según comentan la detección en la capa de aplicación es bastante exacta ya que tienen algunos  patrones actualizados.

Entre sus características tenemos:

A nivel de red: Es Multi-WAN, VPN: PPTP IPSec, OpenVPN. Permite crear DMZ y trabajar con NAT. El Firewall es simple de configurar y poderoso. DHCP y DNS server y cliente.

Como gateway: Antimalware, antivirus, antiphishing, antispyware, antispam. Controla ancho de banda. Detección de intrusos. Control y filtrado del P2P, Webproxy y Filtro de contenido.

Como servidor: File server, Groupware con conector para Outlook. Mail Server. Mail Filtering. MySQL, Webserver con soporte PHP entre otros.

Como ven es bastante completo, y puede servir fácilmente como router para una pequeña o mediana empresa u organización que requiera de tener un buen control de su red. Se puede ver mucha mas de sus bondades en el sitio oficial.

10 junio, 2010 por Interesantes Internet Linux Seguridad 2

Servidor SMTP para pruebas en Python

Hace un tiempo habíamos comentado un comando muy útil para generar un servidor HTTP en Linux usando Python. Esta vez vamos con un nuevo comando que será de utilidad cuando deseamos hacer algún tipo de prueba con SMTP.

La siguiente entrada de Python permite correr un servidor SMTP local que en vez de enviar el mensaje por internet, lo imprime a la consola estandar.

python -m smtpd -n -c DebuggingServer localhost:25

Buen tip.

Via: Vientos De Libertad

1 junio, 2010 por General Interesantes Internet Linux MikroTik Seguridad 0

Sobre Mi

Maximiliano Dobladez
Este es mi blog personal, para que sepas las cosas que pienso, hago y etc..

GrupoMKE SAS

Internet Corporativo en Rio Cuarto
GrupoMKE SAS Grupo MKE SAS

Centro de Entrenamientos

Desea organizar un entrenamiento en su ciudad?
Disponemos de modelos para realizarlo. consultar

Academia de Entrenamientos, la mejor manera de certificarte en
MikroTik RouterOS y Ubiquiti

Fotos

www.flickr.com

Licencias

Archivos