Archivo de la categoría: Redes e Internet

Tecnología Malware en equipos Lenovo

Lenovo MalwareTras un tiempo si publicar nada en el blog he encontrado un tema que me parece muy interesante. Hace unas semanas el mundo digital se hacía eco de una noticia referente a determinado software de rastreo incluido en algunos equipos Lenovo. Como de costumbre, uno piensa que este tipo de sucesos le tocan muy de lejos. Hasta que te encuentras con este software dentro de casa.

El caso es que, revisando unos logs de squid buscando otra cosa, me encontré con las siguientes peticiones:

1443163380.208    494 192.168.0.111 TCP_MISS/200 770 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163380.733    514 192.168.0.111 TCP_MISS/200 775 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163381.269    536 192.168.0.111 TCP_MISS/200 771 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163381.776    507 192.168.0.111 TCP_MISS/200 769 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163382.260    484 192.168.0.111 TCP_MISS/200 770 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163382.751    485 192.168.0.111 TCP_MISS/200 772 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163383.252    501 192.168.0.111 TCP_MISS/200 779 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163383.750    497 192.168.0.111 TCP_MISS/200 771 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163384.222    473 192.168.0.111 TCP_MISS/200 773 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163384.739    517 192.168.0.111 TCP_MISS/200 772 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg

Inmediatamente me llamaron la atención al tratarse de continuas subidas de información desde una ip interna hacia un dominio que, cuanto menos, sonaba sospechoso. Por otro lado, las peticiones siempre se producían desde determinadas ips. Tras verificar las ips internas identificamos tres equipos Lenovo que habían sido adquiridos hacía poco más de un mes.

Al buscar el dominio en google me encontré este artículo en el cual alguien ya había investigado sobre las sospechosas peticiones. A modo de resumen, os diré que se trata de un software de la empresa Absolute que, cada vez de forma más común, aparece en nuestros ordenadores y dispositivos móviles. Así que si alguien cree que por tener un equipo Acer o Dell no está expuesto al problema ya puede ir descartando esa idea. Lenovo, Dell, Samsung, etc. están incorporando este software.

Quizás a alguno de vosotros la idea de que el fabricante realice un seguimiento de los productos que vende no le parezca tan grave, sin embargo, imaginaros qué sucedería si dicha información fuera interceptada o si la aplicación fuera afectada por un malware que modificara la dirección contra la que debe subir los datos.

Hasta que pueda revisar físicamente los equipos Lenovo he optado por filtrar en capa 3 cualquier acceso a la ip 209.53.113.223 de forma que los equipos nos puedan seguir enviando información.

A continuación os dejo un enlace del análisis que hizo Karspesky en su día sobre este software.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Encriptar el correo electrónico

Encriptar el correo electrónico

 

Últimamente casi todas las empresas están preocupadas por la seguridad y sin embargo, la mayoría de ellas sigue utilizando protocolos de correo electrónico sin cifrado. Es más, cuando enviamos un correo electrónico lo único que tenemos claro es que procede de nuestro ordenador. Sin embargo, hasta llegar al buzón de correo del destinatario ha transitado por un número importante de routers hasta nuestro servidor de correo (SMTP). Más adelante, nuestro servidor ha cruzado quizás medio mundo para depositar el mensaje en su homónimo del dominio destino. Por último, el cliente de correo del destinatario debe acceder a su buzón para recibir la notificación de nuevo correo y para ello, claro está, debe de hacer traspasado otra serie de routers.

Básicamente esta es la magia que se esconde tras el envío/recepción del correo electrónico. Sin embargo, pensar que nuestro mensaje cruza el planeta siendo enviado en texto plano es algo que puede preocupar a más de uno.

Quizás alguno de vosotros esté pensando que sus mensajes viajan cifrados porque utiliza el protocolo TLS para cifrar el correo electrónico y, si bien es cierto, tan sólo cifra la primera etapa, es decir, la comunicación cliente/servidor. Quizás también, nuestro destinatario utilice también TLS y reciba el mensaje cifrado pero… ¿qué sucede mientras el mensaje es transferido entre servidores?

Pues bien, en ese caso el mensaje viaja en texto plano en la mayoría de los casos. Sin embargo, empresas como Google, Apple y Microsoft están comenzando a configurar TLS para cifrar los correos electrónicos durante el tránsito entre servidores. Efectivamente esta medida protege nuestros mensajes durante la etapa que escapa al usuario: el tránsito entre servidores de correo.

La medida es interesante ya que evitará que terceras personas puedan interceptar nuestro correo mientras es transportado a su destino además, conforme más ISPs se unan a este movimiento más efectiva será la medida. Sin embargo, me llama la atención que desde Google se anuncie esta medida para favorecer la privacidad de sus cuentas de correo Gmail cuando todos sabemos que albergar cuentas de correo en servidores ubicados en Estados Unidos implica una merma importante de privacidad.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Priorizar voip

priorizar voipHace algún tiempo hablé sobre cómo detectar y priorizar voip en entornos Mikrotik. En aquella ocasión hablamos del TOS de los paquetes voip y de cómo valernos de este tipo de marcado para diferenciarlo del resto.

Sin embargo, las redes suelen ser más complejas y a menudo aparecen multitud de protocolos o excepciones que, si bien no deben tener la misma prioridad que la voip si que deben ser tenidos en cuenta para que todo funcione correctamente.

Por ello, una forma de priorizar voip y otros protocolos a la vez que “penalizamos” aquellos que son menos importantes, es utilizar las queues. Estas “colas” nos sirven para limitar la cantidad de tráfico que cedemos a otros protocolos, garantizar el tráfico que vamos a asignar a nuestra voip por ejemplo, así como establecer prioridades entre los diferentes tipos de tráfico.

De esta forma, si nuestra conexión es de 10/1 Mbits podemos decidir qué cantidad de tráfico reservamos para determinados protocolos así como la cantidad máxima de tráfico que podrán cursar otros.

Lo primero que debemos hacer antes de poder establecer límites, garantías y prioridades es marcar el tráfico a través de las siguientes reglas del mangle.

/ip firewall mangle
add action=mark-packet chain=prerouting comment=”SIP and RTP” disabled=no dscp=46 new-packet-mark=VOIP passthrough=no
add action=mark-packet chain=prerouting disabled=no dscp=26 new-packet-mark=VOIP passthrough=no
add action=mark-packet chain=prerouting comment=”Trafico entre sedes” disabled=no dst-address=192.168.0.0/24 new-packet-mark=SEDES passthrough=no src-address=192.168.10.0/24
add action=mark-packet chain=prerouting disabled=no dst-address=192.168.10.0/24 new-packet-mark=SEDES passthrough=no src-address=192.168.0.0/24
add action=mark-packet chain=prerouting disabled=no new-packet-mark=GENERAL passthrough=no

Acto seguido establecemos nuestra queue tree:

/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=MAIN parent=global-out priority=1
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=160K max-limit=256K name=voip packet-mark=VOIP parent=MAIN priority=1 queue=ethernet-default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=1M max-limit=5M name=TRAFICO_SEDES packet-mark=SEDES parent=MAIN priority=2 queue=ethernet-default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=10M name=TRAFICO_GENERAL packet-mark=GENERAL parent=MAIN priority=8 queue=wireless-default

De esta forma establecemos una cola principal donde garantizamos el tráfico que sale de nuestro router Mikrotik. Hemos otorgado una prioridad de 1 y un ancho de banda garantizado de 160kbits hasta 256 kbits a la voip. Luego  hemos asignado una prioridad 2 y un mínimo de 1Mbit al tráfico entre las sedes. El resto del tráfico está marcado por una prioridad mínima de 8 y un límite máximo de 10 Mbits.

Todas estas medidas junto con unas correctas políticas de firewall pueden conseguir optimizar las comunicaciones entre sedes remotas. No obstante, hay que recordar que no es recomendable utilizar líneas domésticas para fines profesionales.
¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Mikrotik filtrado capa 7

Mikrotik filtrado capa 7En anteriores entradas hemos comentado la manera de restringir el tráfico tanto de entrada como de salida así cómo el tráfico dirigido a nuestro equipo Mikrotik. La utilización de reglas de filtrado en capa 3 tiene una doble función, por un lado optimizar el uso del ancho de banda de nuestra conexión a Internet mientras que por el otro aumentamos la seguridad de nuestra red no permitiendo la entrada o salida de protocolos no autorizados.

Sin embargo, a la hora de filtrar el tráfico de salida muchas veces nos encontramos con que las reglas en capa 3 son muy sencillas pero quizás no son todo lo potentes que nosotros quisiéramos. Por ejemplo, si permitimos el tráfico desde nuestra LAN con una regla forward a cualquier destino con puerto 80 estamos permitiendo cualquier conexión con destino puerto 80. ¿Qué pasa entonces si queremos restringir el acceso a Youtube, Dropbox o webs de redes sociales? En ese caso debemos utilizar el filtrado en capa 7, es decir, filtrar en la capa de aplicación.

Nuestro Mikrotik tiene capacidad para aplicar filtrado capa 7. Esto significa que podemos ir más allá de un puerto y filtrar el acceso a determinadas webs.

Imaginemos que queremos restringir el acceso a Youtube.com. Para ello podríamos usar la siguiente configuración:

ip firewall layer7-protocol

add name=Youtube regexp=^.+(youtube).*$

ip firewall filter

add chain=forward action=drop src-address=192.168.88.0/24 layer7-protocol=Youtube

Si os parece una medida un poco drástica siempre podemos utilizar las queues para, si bien no filtrar, al menos limitar el ancho de banda consumido por este tipo de aplicaciones. En un próximo post hablaremos de ello.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Mikrotik address list

Mikrotik priorizar tráficoUna forma de ahorrar tiempo a la hora de configurar reglas de filtrado en nuestro equipo mikrotik es usar las address list. Una address list no es más que un conjunto de direcciones ip que posteriormente vamos a utilizar en una regla de filtrado.

Un buen ejemplo para explicar la utilidad de las Mikrotik address list sería por ejemplo utilizarlas para restringir el acceso a servidores de correo. Imaginemos el caso de una empresa que tiene sus cuentas de correo con el proveedor ISP. Podríamos decir que el 100% del tráfico de correo, SMTP, POP3, IMAP, etc. debe de tener como dirección de destino los servidores MX que dicho ISP tenga asignados a nuestro dominio. Es posible por tanto crear una address list que contenga todas las direcciones ip de los servidores de correo de nuestro ISP.

¿Qué ganamos con esto? por un lado, evitamos que cualquier usuario pueda configurarse una cuenta de correo ajena a la empresa y por el otro, si uno de los equipos de la empresa se infectara con un malware podríamos estar seguros de que no podría seguir extendiéndose a través del correo electrónico fuera de la empresa.

A continuación tenéis un ejemplo de filtro usando una address list.

ip firewall address-list

add address=56.67.78.9 disable=no list=”Servidores Correo”

add address=56.67.78.10 disable=no list=”Servidores Correo”

ip firewall filter

add action=accept chain=forward disable=no dst-address-list=”Servidores Correo” dst-port=25 protocol=tcp

add action=accept chain=forward disable=no dst-address-list=”Servidores Correo” dst-port=110 protocol=tcp

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento