Seguridad

Blocklister: obteniendo listas de firewall para RouterOS

Un servicio que encontré leyendo algunos post en el foro de MikroTik es Blocklister, un servicio que genera listas de direcciones IP compatibles con RouterOS de las principales listas de internet como ser DShield o SpamHaus.

La lista completa de sitios al momento se puede encontrar en el proyecto GIT, donde también estan disponibles los pasos para hacer la instalación del sistema.

Estas listas se actualizan cada 2 días y permiten brindarle una protección adicional al routerOS.

Su funcionamiento es bastante simple, existe un listado de listas de acuerdo a lo que queramos bloquear, como por ejemplo, sitios con ads, spyware, proxy abiertos, spamhaus, etc. Una vez que definimos la lista, ésta es importada en un address list en el MikroTik y luego le hacemos el tratamiento que queramos.

Se puede leer mas del proyecto en GitHub

Bloqueando WhatsApp con MikroTik

Son muchos los entornos en donde se necesita bloquear las redes sociales, ya sea por seguridad o para evitar el ocio.

WhatsApp es una de las aplicaciones que se suele bloquear y hay varias maneras para hacerla.

La primera de ellas es hacer una entrada estática de DNS para c.whatsapp.com que es la que se utiliza para conectarse, dicha entrada puede tener 127.0.0.1 por ej.

La otra opción es por firewall evitando que se conecten a las redes que utiliza whatapps, para ello tenemos el listado de IP oficiales de este sistema de mensajería, tanto en IPv4 como IPv6.

Para acceder a dicho listado de redes hay que ingresar en https://www.whatsapp.com/cidr.txt

Adíos a Copy.com

El servicio que utilizaba para realizar mis backups personales llamado Copy.com, una división de Barracuda, del cual hable hace un tiempo, ha decidido cesar con sus servicios.

Según el comunicado oficial, van a dejar de brindar acceso a los archivos almacenados a partir del 1 de Mayo del 2016.

Han realizado un pequeño manual de como realizar la migración de los archivos hacia otro servicio Cloud de almacenamiento como DropBox, BoxGDrive, etc.

Según indican, fue una decisión muy dura pero la tomaron para poder dedicarse y enfocarse a otros proyectos.

Es una lastima, porque el servicio era muy bueno, rápido y sobre todo que te daba 25GB de almacenamiento con la cuenta free.

Ahora estoy migrando todos mis archivos a DropBox, pero lo que lamento es que voy a perder el backup que hacia en Copy.com de mis servidores de manera automatizada; para ello deberé buscar alguna nueva alternativa.

Mas info: Copy.com

hidden-tear: un ransomware open source

Hace unos días mi amigo Gabriel de SerInformatica me paso un enlace de un proyecto muy interesante, es un ransomware que tiene muchas funcionalidades.

No es que quiera hacer apología de esto, pero me pareció interesante el código y la manera que funciona esta herramienta. Como se sabe un ransomware es un aplicación que encripta los archivos de un sistema y luego para desencriptar esa información se requiere una llave.

Lo interesante de esto son las funcionalidades que se puede lograr tener. Creo que la mas interesantes es la de poder saltarse los principales antivirus y su pequeño tamaño.

Se puede ver mas información de la aplicación en el proyecto de GitHub y allí mismo ahondar en detalles interesantísimos que dispone.

La misma tiene un aviso legal que el mismo está destinado para propósitos de educación.

hidden-tear

Petición para liberar el Código Fuente del The DUDE

Una excelente iniciativa se la lanzado hace unos días desde Brasil, la petición de pedirle a MikroTik que libere el código fuente de la aplicación DUDE.

DUDE es una herramienta de monitoreo de dispositivos vía SNMP / RouterOS que tiene muchas ventajas (entre algunas es gratuito), pero su desarrollo ha quedado estancado desde hace mas de 5 años.

Desde hace tiempo los usuarios de MikroTik le piden que continúen el avance de la herramienta, pero según han comentado, su desarrollo se realiza en pasatiempos y desde que se lanzó la v6 no han podido continuar su programación, ya que están enfocados en el RouterOS.

Seguramente en parte del código fuente de la aplicación estarán datos de sus protocolos propietarios que dificultarán la publicación del mismo.

La petición es vía change.org, no se si le darán relevancia, pero me sumo para que tengan noción de los usuarios de la misma y la necesidad de continuar el proyecto. Al momento de escribir este post hay unas 125 firmas de 200 que se requieren.

Petición de Liberar el código de DUDE

Algunos datos interesantes

Desde hace tiempo tengo en favoritos algunos enlaces que mencionan datos interesantes que a continuación los compartiré.

Oficialmente MikroTik ha comprobado el perfomance de los CCRs trabajando con túneles IPSEC y surgieron los siguientes resultados:

CCR1036:
El máximo throughput alcanzado fue de 3.2Gbps con 34 túneles (full duplex)
1.8Gbps con 16 túneles
820Mbps con un GRE over IPSec (full duplex)

CCR1009:
1.6Gbps con 8 túneles full duplex
520Mbps con un GRE over IPSec (full duplex)

Los testeos fueron realizados con el traffic-generator y tamaños de paquetes de 1470 byte.

Bloqueando ataques SIP con Firewall MikroTik

Hace tiempo tuve la necesidad de proteger algunas centrales IP y desarrolle una serie de reglas que protegen a una central telefónica IP como un asterisk, de ataques SIP. Me la tuve que rebuscar bastante para lograr tener algo funcional.

Un usuario del foro de MikroTik ha desarrollado un par de regla simples t bastante interesantes  que permiten proteger una centralita.

La idea es mirar la primer registración sip (new) al puerto 5060 y si en 15 segundos no puede lograr el handshake (login) con el servidor -usualmente el registro llega 3 segundos como mucho-, lo coloca en una lista negra por 1 día para banear el IP.

Las reglas son:
/ip firewall filter add chain=forward in-interface=ether1-gateway src-address-list="SIP Hacker" action=drop
/ip firewall filter add chain=forward protocol=udp dst-port=5060 connection-state=new src-address-list="SIP Trial" in-interface=ether1-gateway action=add-src-to-address-list address-list="SIP Hacker" address-list-timeout=1d
/ip firewall filter add chain=forward src-address=0.0.0.0/0 protocol=udp dst-port=5060 in-interface=ether1-gateway connection-state=new action=add-src-to-address-list address-list="SIP Trial" address-list-timeout=00:00:15

Es una buena alternativa para hacer una protección básica de una centralita IP. Obvio que hay que se puede mejorar mucho mas, pero la base esta muy bien.

vía: MikroTik

Ubiquiti víctima de 39 millones de dólares por un ataque

Si bien la noticia tiene varios días, es bastante interesante la manera que Ubiquiti fue víctima de un fraude por mas de 39 millones de dólares.

Según lo informó en el resultado fiscal del primer cuarto del año, Ubiquiti fue víctima de fraude empresarial por medio un correo electrónico.

También en la forma 8-K del SRC, informa que el 5 de Junio la compañía fue víctima de un «fraude criminal». Al parecer un miembro del staff de una de las subsidiares de la empresa en Hong Kong cayó victima de un SCAM o BEC «Business Email Compromise» attack.

De acuerdo a lo que se sabe hasta el momento, a un alto miembro de la empresa le hackearon su correo electrónico y luego el objetivo fue el departamento financiero, el cual autorizo unas series de transferencias bancarias de grandes sumas de dinero hacia cuentas bancarias controladas por los criminales.

El fraude total fue de 46.7 millones de dólares, pero han logrado recuperar 8.1 millones  de dólares y un adicional a 6.8 millones de dólares están sujetos a tratamiento legal y podrán ser recuperados por la empresa.

Ubiquiti ha  tomado una serie de políticas para poder controlar su finanzas, de hecho ha suspendido algunas vías de pago y ahora solo trabaja con cuentas bancarias unificadas.

Según ha informado, este problema suelen tener empresas de grandes tamaños y que sus empleados no se conocen entre sí y donde el único contacto es solo por correo electrónico.

Mas info: CSO  – SEC

Cisco compro OpenDNS

A finales del mes pasado se realizó una operación de relevancia para el mundo el networking y la seguridad, Cisco compro a OpenDNS por U$S 635 Millones de dólares.

OpenDNS es uno de los principales servicios de DNS del mundo, a su vez tiene agregados de seguridad adicionales para monitorear los pedidos, permitir o no el acceso a sitios de porno, ocio, etc. Un servicio para Familias y Escuelas también tiene disponible este servicio.

Con esta adquisición los empleados de OpenDNS pasan a pertenecer al Grupo de Seguridad para Empresas.

OpenDNS seguirá ofreciendo el mismo servicio gratuito.

Vìa: SecurityWeek

8 de Junio: Día mundial de IPv6

Como todos los 8 de Junio se festejará el día mundial del IPv6. la idea es que ese día se utilice como pruebas para quienes deseen testear la implementación a este protocolo.

Este año a su vez Lacnic, ISOC. NIC.br, CloudFlare y Cisco invitan a participar remotamente de este evento a través de una charla sobre IPv6. La agenda y el registro está disponible en el siguiente enlace.

También Lacnic ha puesto a disposición un Curso introductorio de IPv6, el cual tendrá la modalidad autoasistida, será en español y requiere de aproximadamente 20 hs de dedicación para poder familirializarse con los conceptos de este protocolo

Se puede conocer mas de este curso y su matriculación en el siguiente enlace.

Es bueno tener en cuenta ir estudiando sobre este protocolo porque en un par de años será mandatorio que trabajemos con IPv6 si queremos hacer que nuestras redes tengan escalabilidad.