Port Knocking: An�lisis e implementaci�n

Hay una técnica de seguridad llamada port knocking, que no la voy a explicar porque la gente de HispaSec hizo un excelente artículo sobre la descripción del sistema. Yo lo utilizo en mis routers para cuando viajo pueda tener accesos a los mismos, ya que no se cual es la dirección IP porque es dinámica.

En Mikrotik se puede implementar este sistema, hace mucho tiempo que en el wiki están los pasos para poder implementarlo, es una buena opción al momento de la seguridad.

A continuación pego parte del artículo de Hispasec, que es la parte descriptiva, pero vale la pena leer el artículo completo ya que tiene algunos conceptos interesantes.

¿Qué es "Port Knocking"?

Todos hemos visto películas en las que alguien golpea cierta secuencia en la puerta de una taberna y si la secuencia era correcta el tabernero abre una rendija para solicitar una clave verbal. Si la secuencia de llamada no era correcta, ninguna medida se toma y el interesado cree que la taberna se halla cerrada. El concepto de "Port Knocking" es exactamente análogo.

En informática, este concepto consiste en enviar paquetes a ciertos puertos en un orden específico con el fin de abrir un puerto en concreto. Este último puerto se halla cerrado por un cortafuegos siempre y cuando no se realice el barrido de puertos siguiendo la secuencia particular. De esta forma, si un atacante efectúa un escaneo del sistema, el puerto aparecerá cerrado aun estando el servicio asociado a él en funcionamiento, el cortafuegos hace un simple DROP si no se ha efectuado la secuencia de barrido previa.

Tomemos como ejemplo un demonio sshd escuchando en el puerto 22/TCP. Elegimos como secuencia de barrido la sucesión 43, 6540 y 82. El puerto 22 se abrirá si, y solo si, un usuario inicializa conexiones TCP hacia los puertos 43, 6540 y 82 en ese orden exacto. En caso contrario el usuario recibirá como respuesta un RST/ACK cuando intenta comenzar una conexión hacia el puerto 22.

Si la secuencia correcta de inicializaciones ha sido efectuada, el puerto 22 se abrirá durante un lapso de tiempo determinado y únicamente para la IP que completó la secuencia previa. Una vez el puerto 22 se halle abierto, se pueden llevar a cabo medidas adicionales de autenticación.

29 enero, 2008 por Internet MikroTik

De la vida misma….

Este es una reseña de una conversación via msn, por cierto, es gracioso…

–XXX : Hola Maxi, te hago una consulta, me aparece en el log algo de
                 "login failure for user admin from xxx.xxx.xx.xxx via ftp", que es eso?

–Yo: Mira te están queriendo entrar al router vía ftp (file transference protocol

–XXX: entonces me recomendas cambiar el UTP ¿?

Aquí un poco de información sobre los UTP 

28 enero, 2008 por Humor offtopic

Mikrotik: Vlan Q-in-Q

Mikrotik en su versión v3 tiene un agregado bastante importante si estamos utilizando Vlans en nuestra red, es la posibilidad de tener Vlans sobre vlans, esto permite que administrativamente sea muy sencillo algunos escenarios.

Un ejemplo es poder distribuir tagges Vlans sobre múltiples switches y hacer un escenario multihop.

Una de las ventajas de Vlans que utilizan menos encabezados que las VPNs. 

Estoy escribiendo un reseña sobre Vlans y Q-in-Q, para poder hacerlo mas entendible al tema. 

24 enero, 2008 por MikroTik

Script para changeip.org

Recientemente fue actualizada la versión del script para el Mikrotik que permite tener un sistema parecido al de Dyndns llamado changeip.org.

Este sistema permite tener una entrada dns  cuando tenemos una IP variable. Esta Script actualizada sirve para la versión 3 de Mikrotik, la misma esta disponible en el wiki de Mikrotik.

22 enero, 2008 por MikroTik

Sistema Universitario Argentino vs Estados Unidos

Leyendo a Fabio, se puede ver un excelente post sobre la comparación del sistema universitario Argentino contra el de Estados Unidos, vale la pena leerlo para saber las ventajas y desventajas de cada sistema.

21 enero, 2008 por General

Feliz Cumplea?os

Hoy 20 de enero, Feliz de cumpleaños a MI

20 enero, 2008 por Uncategorized

RouterBOARD: Resoluciones de Problemas

A muchos nos ha pasado que de repente un RouterBoard nos ha dejado de responder e intentamos muchas cosas pero sin conseguir ingresar o recuperar el mismo.

Por suerte la gente de Mikrotik ha escrito un artículo en el WIKI sobre tips para resoluciones de problema de hardware en los RouterBoard. Ayer hice la traducción del mismo. 

17 enero, 2008 por MikroTik

Mikrotik v3: La versi�n final

Me acaba de llegar el mailing mas esperado, Mikrotik ha liberado la versión final (estable) del RouterOS. Es increíble los cambios que hay con respecto a la v2.9, justamente estoy ahora jugando con un generador de calidad de servicio para Layer7.

Tengo usando varias versiones de Mikrotik v3 en producción y con buenos resultados. Pueden chequear todo el changelog desde el sitio de Mikrotik

What's new in 3.0:
 *) fixed auto upgrade on RB333 & RB600;
 *) made RB411 bootup more stable;
*) made DNS & WINS setting work again in PPP;
*) fixed bug - dhcp client did not update NTP server list;
15 enero, 2008 por MikroTik

Hackers: cada vez mas jovenes

Es increíble la edad que están teniendo los hackers últimamente, están en plena adolescencia, será que la disponibilidad de información, conocimiento y tecnología esta al alcance de la mayoría que se da esto de la edad.

Tenemos a Jon DVD de unos 24 años que hace bastante logró hackear  crackear el código de protección de los DVD, luego un hacker cracker polaco de 14 años que logro vulnerar el sistema de control ferroviario de su país y hoy una noticia loca que es que un chico de tan solo 11 años logro crear el primer virus para el Iphone de Apple. Increíble que a esa edad se pueda tener el conocimiento suficiente para hacer esa creación. 

Creo que esto parte de lo que hablamos con mis amigos, el conocimiento y el acceso a la información brinda que se puedan crear cosas, a modo sencillo si uno no tiene una base matemática dista mucho de aprender Bernoulli . Es una lástima, pero es una realidad, que haya cientos de cerebros con capacidades increíbles de aprendizajes y/o invenciones pero el no tener acceso a la educación y tecnología hace que se dedique a hacer otra cosa menos productiva. Por decir, tantos cerebros que habrán en villas de emergencia, que teniendo acceso a educación podrían hacer grandes cambios a la vida y que solo se dedican, por ejemplo, a robar, drogarse, etc.

Es parte del ciclo de la vida..pero que diferente sería si todos tuviéramos acceso a la educación. 

15 enero, 2008 por General

Curso de Linux 2008 online

Vía el grupo de Linux de San Juan, me entero que hay un curso online sobre GNU/Linux, el mismo esta orientado a las personas que recién se inician o se quieren iniciar en el mundo del Software Libre. Según la invitación, no se requiere tener conocimiento previo. Verán que este Sistema Operativo no puede ser víctima de virus, spyware y esas cosas que ya no se que son :).

Hay tiempo hasta el 21 de enero para la inscripción y algo interesante es que si quieren un certificado + id card, con $85 lo obtendrán.

Los requerimientos para este cursos son muy pocos:

  • Tener una Computadora.

  • Tener una distibucion de GNU/Linux.

  • Tener un correo elecronico.

  • Tener paciencia.

  • Tener ganas de aprender.

Para inscribirse en el curso hay que entrar en el sitio del Campus

14 enero, 2008 por Linux

Sobre Mi

Maximiliano Dobladez
Este es mi blog personal, para que sepas las cosas que pienso, hago y etc..

GrupoMKE SAS

Internet Corporativo en Rio Cuarto
GrupoMKE SAS Grupo MKE SAS

Centro de Entrenamientos

Desea organizar un entrenamiento en su ciudad?
Disponemos de modelos para realizarlo. consultar

Academia de Entrenamientos, la mejor manera de certificarte en
MikroTik RouterOS y Ubiquiti

Fotos

www.flickr.com

Licencias

Archivos