Secuestran el tráfico de más de 7.500 routers #MikroTik

Investigadores de la empresa china 360 NetLab han descubierto un ataque sobre routers MikroTik mediante el cual robaban el tráfico generado.

MikroTik es un fabricante letón de equipos de red y software dedicado a la administración de redes. Recientemente, en el curso de una investigación, el equipo de seguridad de la empresa china 360 NetLab descubrió que una elevado número de equipos del mencionado fabricante estaba enviando tráfico hacia servidores controlados por los atacantes.

El origen del ataque parece encontrarse en una vulnerabilidad que afecta a los routers MikroTik, en concreto, un exploit hallado en la fuga de herramientas de la CIA, Vault7, publicada por WikiLeaks. Esta vulnerabilidad, con CVE-2018-14847, permite a un atacante la lectura de archivos con información sensible, lo que posibilitaría un acceso a la gestión administrativa del dispositivo.

En el contexto de la investigación, detectaron que más de 370.000 de estos dispositivos eran vulnerables al exploit comentado. De estos, alrededor de 239.000 poseían configurado un proxy socks4 de forma presumiblemente malintencionada. Finalmente, de este conjunto, 7.500 tenían su tráfico desviado a los servidores de los atacantes. En concreto, el tráfico de los puertos FTP, SMTP, POP3 e IMAP. Además, y esto parece sorprender a los investigadores, también los puertos asociados con SNMP, el UDP 161 y 162.

Según el post de 360 NetLab, en España habría 84 dispositivos afectados, 218 en Ecuador, 189 en Argentina, 122 en Colombia, 25 en Chile, 24 en México, 20 en Nicaragua y 16 en Paraguay.

La vulnerabilidad fue parcheada hace tiempo por MikroTik, por lo que se debería actualizar el sistema operativo de los routers afectados a la última versión disponible. Adicionalmente, impedir la salida de los puertos de administración asociados a los componentes Webfig y Winbox. 

Fuente | una-al-dia

#MikroTik - Tips para principiantes

¿Conocen los dispositivos Mikrotik? ¿Alguna vez pudieron configurarlo? Por que estoy convencido que siempre hay algo nuevo para aprender y compartir, les quería compartir esta conferencia muy interesante.

Figura 1: Tips para principiantes

"Tips para principiantes" es el nombre de una presentación a cargo del Ing. Mario Clep para el MUM que se llevó a cabo en Enero del 2017 en la ciudad de Guatemala - Guatemala.

Aquí van a encontrar algunos recursos muy interesantes y tips de seguridad para poder mantener una capa de seguridad en los dispositivos que implementemos.

Tips para principiantes

Si necesitan descarga la presentación, se encuentra disponible en el siguiente enlace.

Saludos!

Introducción a la Calidad de Servicio - QoS

Muy buen fin de semana para tod@s, hoy les quería dejar un video de lo más interesante para poder comprender los fundamentos de Calidad de Servicio o QoS para poder implementarlo en nuestras redes unificadas.

Si somos administradores de redes, es fundamental poder implementar un plan de Calidad de Servicio a los diferentes "servicios" que brinda nuestra red, no es lo mismo el trafico http que el smtp, o que el destinado a dns o VoIP.

Yo desde hace varios años, me dedico a la administración de redes con sistemas GNU/Linux y nuestra herramienta para estas prácticas están dadas gracias a la implementación iproute2 y su suit de aplicaciones como tc, en cuanto a los dispositivos MikroTik que tenemos, también incorporan un software para crear y administrar nuestras políticas de Calidad de Servicio.

Los dejo con este video introductorio...

Saludos!

Verificar los ataques a Router MikroTik

Hay administradores que creen que pòr montar o desplegar en producción un dispositivo como los Router MikroTik no están en la mira de ningún posible ataque.

La realidad es claramente distinta, hoy por hoy montar algo que se encuentre conectado directamente a Internet implica un gran riesgo de seguridad.

Este es un screen de la consola de un dispositivo MikroTik que tenemos administrando de Firewall únicamente y es interesante ver como los intentos de logeos por cualquier protocolo como ssh o telnet son recurrentes al igual que con sus usuarios admin, root, cusadmin, support, etc, etc.

Para revisar los logs y verificar que realmente esta sucediendo podemos ejecutar el siguiente comando:

> /log print detail where topics=system,error,critical

MikroTik Firewall Framework versión de evaluación

Luego de un tiempo de trabajar con dispositivos MikroTik me surgió una necesidad muy puntual que en este momento la estoy transformando en una herramienta, el proyecto lo llamé MikroTik Firewall Framewok (MTFF) y tiene como objetivo crear un constructor de reglas de firewalls para los dispositivos MikroTik por medio de la configuración de un archivo.

La idea es utilizar un archivo de configuración de formato YAML, totalmente legible gracias a su tabulación, desde allí especificar varios parámetros que son necesario para lograr construir un firewall completo. Donde finalmente quedará importarlo al dispositivo y posteriormente ejecutarlo para que termine de crear todas las reglas.

MikroTik Firewall Framework está programada en Python, bajo la licencia GNU/GPLv3 y por ahora se encuentra para ejecutarlo en la consola de comandos, para poder descargar el código fuente podemos hacerlo directamente desde GitHub.

$ git clone https://github.com/elcodigok/mtff.git
Cloning into 'mtff'...
remote: Counting objects: 89, done.
remote: Compressing objects: 100% (76/76), done.
remote: Total 89 (delta 34), reused 62 (delta 10)
Unpacking objects: 100% (89/89), done.

Ahora podemos crear un archivo de configuración similar al que aparece en el README y llamarlo mtff.yaml por ejemplo y finalmente interpretarlo de la siguiente manera

$ ./mtff.py f /path/del/archivo/mtff.yaml

Toda la salida de este comando es el firewall que tenemos y que al mismo lo podemos redireccionar a un archivo de salida listo para ser importados en nuestro dispositivo MikroTik

$ ./mtff.py f /path/del/archivo/mtff.yaml > firewall.rsc

Aquellos que tuvieron la oportunidad de administrar servidores GNU/Linux, sabrán que este proyecto fue inspirado por FireHOL, un espectacular constructor de firewalls para estos sistemas, que basado en una configuración simple es posible obtener una estructura de firewall robusta.

MikroTik Firewall Framewok esta en un nivel funcional de evaluación, donde invito a todos a colaborar de este proyecto, aportando sus líneas de códigos, ideas, sugerencias y por supuesto difusión para que pueda llegar a todas partes.

Espero sus aportes y comentarios. Saludos!

Enlace | MikroTik Firewall Framework

Google Hack: Las estadísticas en MikroTik

En estas últimas semanas estuve jugando mucho con este tipo de dispositivos de conexión, no solo intentar configurarlo al máximo, sino también habilitar los servicios, reglas de Firewall, QoS y sus estadísticas gráficas de consumo.

Hace un tiempo publiqué un Google | Shodan Dork en donde por medio de una búsqueda avanzada podríamos ver la cantidad de MikroTik que se encuentran conectadas a una IP Pública y que podríamos llegar a administrarlo desde un acceso Web o SSH.

En esta oportunidad note que para acceder a los gráficos de las estadísticas de consumo de sus interfaces de red o en sus árboles de cola no requería de ninguna autenticación ni autorización, por lo cuál esos datos para a tener un estado público de acceso importante.

Basca con buscar esta cadena en Google:

inurl:"/graphs/" Traffic and system resource graphing

4 consejos para proteger #SSH en #RouterOS

Figura 1: 4 consejos para proteger SSH en RouterOS

Hace algunos días publiqué un Dork en Google y en Shodan donde nos permite encontrar una gran cantidad de dispositivos con con el sistema RouterOS y que también se encuentran conectados a una IP pública.

Basta con conocer algunas particularidades más, para saber que estos dispositivos poseen varias formas de administración, como es el caso de su entorno Web llamado WebFig, un cliente para Windonws llamado Winbox y finalmente por medio de la línea de comandos gracias al protocolo SSH.

Quienes estamos acostumbramos a la Administración de servidores, sabemos el constante "ataque" que sufrimos al tener este tipo de servicio conectado, y lo peligroso que puede ser, que un posible atacante tome control sobre nuestras cosas de forma remota.

Por eso les quería dejar un par de tips para asegurar el servicio SSH dentro de los dispositivos RouterOS de MikroTik.

4 consejos para proteger #SSH en #RouterOS

1. Lo primero que podríamos hacer es cambiar el puerto de escucha de SSH, por defecto siempre es el 22 pero podría ser un puerto algo sin ningún servicio asociado.

2. Por otro lado deberíamos eliminar el usuario admin, pero cuidado aquí, previamente creen un usuario con todos los privilegios y luego eliminen el usuario admin. Asegurense de no utilizar usuarios como sys, root, backup, support o package.

3. De más estaría decir sobre fortalecer sus contraseñas utilizando caracteres especiales, Mayúsculas, Minúsculas, números, etc.

4. Finalmente podríamos aplicar algunas reglas en el firewall de RouterOS para banear por algunos días aquellas direcciones IP que intentan atacar al dispositivos haciendo uso de técnicas de fuerza bruta, creando el siguiente Scripts y utilizando las Address List.

# Bloqueo de fuerza bruta por SSH
# Puerto de SSH : 22

/ip firewall filter

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m disabled=no

Guardamos este script con extensión .rsc y lo subimos al menú File de RouterOS.

Finalmente desde una consola de comando ejecutamos un import de nuestro scripts.

> import file-name=ssh-fuerza-bruta.rsc ;

Con lo cuál cuando nuestro firewall detecte esta actividad en el puerto 22 va a comenzar a completar nuestras address list y bloquear aquellos que están utilizando la técnica de fuerza bruta.

A los que administran estos dispositivos, les recomiendo poner en práctica estos pequeños tips.

Patrocinado por L23 Tecno | Jujuy

Saludos!

MTCNA - MikroTik Certified Network Asociate

Luego de una semana intensa de curso y bastante estudio, logré alcanzar mi primera certificación MTCNA como profesional de la mano de las tecnologías MikroTik.

Una experiencia fantástica vivida en las oficinas de la empresa Lauquen en Buenos Aires, junto a un grupo de compañeros excelentes y con mucha experiencia, dando cada uno sus aportes y aprendiendo mucho de todos.

Desde hace tiempo estaba jugando con las tecnologías MikroTik y se dió la posibilidad de certificar y mejorar el trabajo que estábamos llevando a producción, así que nada mejor que aprovechar la oportunidad y certificar.

Saludos!