Ubuntu

Network Simulator con MikroTik

Cuando inicie con MikroTik los primeros laboratorios que realizaba los hacía con virtualización. Utilizando Vmware o Virtualbox luego corría una maquina con RouterOS y así iba levantado tantas como me hicieran falta para hacer la implementación.

Luego con el correr el tiempo y con el bajo costo de los RouterBOARD como el RB750 o RB450 se pudieron armar los laboratorios ya en un formato mas cercano a la realidad, porque podíamos utilizar todos los routers que nos hicieran falta.

En el último MUM de Indonesia, hubo una presentación buenísima que habla sobre como realizar un Network Simulator con MikroTik.

Puntualmente menciona con que herramientas se puede lograr una mejor virtualización y habla de GNS3, QEMU y MikroTik.

Lo bueno que tiene, es que enseña como levantar una máquina virtual con Qemu y MikroTik, y luego con una aplicación poder levantar una interface unida al GNS3 y poder realizar laboratorios con simulación de Ciscos, MikroTik, etc.

Por suerte la presentación esta en inglés, porque si hubiese sido en indonesio, no se hubiese entendido nada. Es de recomendable lectura para quienes están en ambiente de educación o aprendiendo de redes y necesiten realizar diferentes laboratorios de simulación multimarca.

Presentación MikroTik Network Simulator por Rofiq Fauzo. MUM ID 2013

Stunnel: Encriptando las conexiones

Hace poco estuve programando una aplicación para el manejo de usuarios, dominios y base de datos en PHP y utilizando el servidor web interno que tiene PHP para ejecutarla.

El problema que tiene el web interno es que http y no soporta encriptación son TLS/SSL. Por el diseño de la aplicación no la puedo ejecutar dentro de un apache, por lo que utilizo otro server web.

El inconveniente que vaya todo en texto plano, es que al manejar contraseñas e información sensible, ésta puede ser expuesta e interceptada.

Buscando un poco encontre Stunnel, una herramienta que permite hacer túneles SSL. La idea de manera simple es hacer que Stunnel levante con encriptación en algún puerto del servidor. Cuando alguien se intente conectar a ese puerto con SSL, éste internamente lo conectará con el servicio que hayamos configurado y toda la información va encriptada. Se puede visualizar de manera fácil como un proxy para agregar SSL -encriptación por certificados-. Con lo mencionado anteriormente puedo hacer que un tráfico HTTP pueda ser cifrado en HTTPs de manera simple.

Los pasos de la instalación son bastante simples, lo que hay que hacer es instalar la aplicación, crear un certificado y configurar stunel para conectarse con alguna aplicación internamente.

Para instalar la aplicación (ejemplo en Debian/Ubuntu):

apt-get install stunnel
Para crear un certificado:
$> openssl req -new -x509 -days 3650 -nodes -out stunnel.pem -keyout stunnel.pem
$> cp stunnel.pem /etc/stunnel/

Esto nos creará dos certificados, uno privado y otro publico, en un solo archivo llamado stunnel.pem

Archivo de configuración:

nano /etc/stunnel/stunnel.conf

cert = /etc/stunnel/stunnel.pem

[http]
accept = 443
connect = 80

Con este ejemplos estamos configurando que el stunnel acepte conexiones en el puerto 443 y la redireccione hacia el puerto 80.

Habilitando el servicio

nano /etc/default/stunnel4

ENABLED=1

Reiniciando el servicio

/etc/init.d/stunnel4 restart

Entrenamiento Ubiquiti AirMAX en Rio Cuarto, Argentina

Se brindará un entrenamiento y certificación de Ubiquiti AirMAX en la ciudad de Rio Cuarto, Córdoba, Argentina.

La fecha elegida será del 17 al 18 de Marzo y los cupos son limitados.

Pueden saber mas del entrenamiento en MKE Solutions

Filtrado de pornografía y contenido con Squid

Uno de mis colegas me ha comentado de una herramienta llamada Diladele de QuintoLabs que se ve bastante interesante. Es una aplicación que corre con Squid y que permite realizar el filtrado de la pornografía, descargas entre algunas opciones que dispone.

Corre como un parent proxy en el Squid (similar a los antivirus) y puede ser utilizado para bloquear contenido ilegal, explícito y pornografía de una manera simple.

Entre otras de las capacidades que dispone es la de bloquear la publicidad con un AdBlock y las descargas de archivos de audio, vídeos y aplicaciones.

El precio es casi simbólico por su uso comercial y gratuito para uno solo.

Hay una versión de descarga para una máquina virtual y que pueda ser colocada en producción en pocos pasos.

UniFi-Lab: Herramientas para UniFi

Buscando algunos proyectos por GitHub encontré uno que me llamo la atención porque trabaja con los UniFi, solución de Ubiquiti para brindar conectividad en ambientes indoors.

Según menciona el README, UniFi-Lab son un conjunto de herramientas que ayudarán a la administración de los UniFI. La interacción con los dispositivos las realiza via cURL como si fuese un browser en modo texto y controlado por scripts escritos en Python.

Entre las funcionalidades que se tiene con ésta herramienta tenemos:

  • Lista blanca de MAC Address
  • Reconexión con señales pobres
  • Apagar / Encender algunas WLAN de los AP seleccionados con una agenda
  • Reinicio periodico de los APs

Se puede descargar el proyecto e instalarlo; están en la documentación como realizarlo en un Debian 6.0, pero se puede llevar a cualquier distribución de Linux y en Windows también.

Proyecto Unifi-hackers / UniFi-Lab

 

Deshabilitando la validación de fingerprint con SSH

Constantemente tengo que hacer administración de servidor vía VPN y el rango de direcciones IP son siempre las mismas, por lo cual tengo el aviso de posible «main-in-the-middle».

Se puede hacer una ejecución del ssh con la siguiente sentencia para evitar la validación del fingerprint, siempre y cuando conozcamos que el destino es confiable.

ssh -o "StrictHostKeyChecking no" user@host

Una solución práctica sería hacer un atajo para ella.

Instalando Fedora usando MikroTik

Muchas veces suele suceder que necesitamos instalar un Sistema Operativo en un servidor que no tiene Lectora de CD.

Suponiendo que no tenga USB podemos utilizar PXE para enviarle una imagen ISO via red y hacer que el mismo botee e inicie con el mismo. Esto lo podemos hacer facilmente con MikroTik RouterOS ya que soporta TFTP & DHCP-SERVER.

Un paso a paso de como realizar está disponible para hacerlo con el Fedora 19. Son pocos los pasos y se puede utilizar con cualquier equipo que botee por red.

Interesante opción cuando necesitamos instalar un SO por red.

Major.io

Instalando FreeBSD en RouterBOARDs

Siempre se ha intentado instalar otros sistemas operativos en los RouterBOARD, reemplazando así el RouterOS con la pérdida de la licencia que trae, ya que se formatea la NAND.

Buscando algunas referencias encontré un mini how-to que nos ayuda a parchear e instalar FreeBSD en un RouterBOARD (según pude ver con de las Series 400 -Arquitectura mips-).

Según comenta la información, que ya está desactualizada el manual, pero sirve de referencia, al igual que los parches que se deben aplicar para dejarlo funcional.

En la misma documentación se encuentra como instalar FreeBSD en RouterStation / RouterStation PRO que son los routers de Ubiquiti que no traen AirOS embebido.

Ver info

Entrenamientos en Junio: Honduras

Se brindarán los siguientes entrenamientos y certificaciones en San Pedro Sula, Honduras:

Ubiquiti UAC AirMAX: 10 y 11 de Junio

MTCNA: 3 al 6 de Junio

MTCTCE: 6 y 7 de Junio

Conociendo los hosts conectados en una red local

Hace un par de meses que me pase al mundo MAC, y debo admitir que la transición de Linux a MacOS ha sido mas simple de lo que esperaba, ya que la mayorías de las aplicaciones que uso son de código libre y las puedo utilizar en cualquier plataforma.

En relación a la administración de redes, el otro día tuve la necesidad de saber cuantos dispositivos conectados habían en un LAN, podría haber utilizado un escaneador de IP como Nmap, pero googleando encontré una solución mucho mas fácil y sin necesidad de instalar nada.

Si hacemos ping a la ip de broadcast y luego visualizamos los ARP podremos conocer los host disponibles en la LAN.

EJ: Teniendo el IP 192.168.10.4/24, el comando quedaría:

ping 192.168.10.255

Luego hacemos un:

arp -a

El resultado sería algo así:

internet.local.com (192.168.10.1) at 0:c:cc:cc:fa:7d on en0 ifscope [ethernet]
? (192.168.10.12) at 0:b:fa:aa:aa:dc on en0 ifscope [ethernet]
? (192.168.10.13) at 0:b:fa:aa:aa:dd on en0 ifscope [ethernet]

Excelente Tip. Vía: superuser