Cloud DDoS Services Parte 1

A partir de 2007 se ha visto una masificación de ataques  DDoS como consecuencia de la proliferación de servicios del mercado negro que ofrecen a sus clientes dejar cierto tiempo por fuera un website (DDoS as service), incluso muchos de estos servicios ofrecen de 5 a 30 minutos gratis, después de los cuales se deberá realizar el pago correspondiente.

Una de las mayores motivaciones para llevar a cabo este tipo de ataques son arruinar la imagen de la competencia asi como acciones tomadas por grupos hacktivistas como Annonymus o LulzSec utilizan herramientas como LOIC para generar denegacion de servicio distribuida en vos de "protesta", existen otros fines un poco más oscuros como lo sucedido esta semana a Spamhaus.

Estos ataques son llevados a cabo por botnets las cuales tienen miles o incluso millones de bots a su mando y que se encuentran en capacidad de agotar el ancho de banda de un determinado portal web, la cantidad de trafico total generada por toda la botnet es tan significativa que supera el ancho de banda contratado generando lentitud en los usuarios e indisponibilidad del servicio, otra modalidad de DDoS es provocar en el servidor ausencia de recursos ya sea a través de múltiples peticiones (http request) o pocas peticiones pero degradantes de tipo low and slow (Slowloris). Incluso existen ataques que buscan saturar al punto máximo las sesiones que soporta un Firewall  provocando drop de paquetes legítimos.

Bueno el fin de este post es comentar un poco sobre las soluciones que hay actualmente para mitigar este tipo de ataques:

Así que por un lado tenemos a Cloudflare por un lado y en el otro a  Imperva (Incapsula) dos de los servicios más populares en el mercado, los cuales ofrecen tanto versiones gratuitas como versiones pagas, la diferencia radica en las funcionalidades que ofrecen, desde estadísticas de trafico hasta WAF (Web application Firewall) ,asi como GeoIP block, igualmente en los planes ofrecidos varia el ancho de banda que puede soportar una página bajo ataque, bueno en otro post evaluaremos las distintas funcionalidades, por ahora explicaremos ¿como funcionan estas soluciones ?

Tanto Cloudflare como Incapsula  re direccionan todo el trafico del website hacia sus servidores, ¿como lo hacen? Simplemente se realiza un cambio en los DNS donde tengas registrada tu pagina, supongamos que una página www.example.com tiene un registro tipo A apuntando a la dirección  IP 192.0.43.10, tanto Cloudflare como Incapsula te solicitaran cambiar este registro A para que apunte ya no a la 192.0.43.10 sino a 199.83.129.18 para el ejemplo (direcciones IP de Incapsula o Cloudflare), de igual forma debes realizar un regstro CNAME para los "www" que apuntaran a un dominio de tipo yolal.xincapdns,net en el ejemplo, los cambios en los registros serán suministrados después del registro .Es de aclarar que cualquier registro CNAME que tengas de un subdominio del portal a proteger, para el ejemplo  ftp.example.com lo deberás cambiar, ya que si no lo haces puedes afectar el acceso a estos subdominios. Acá podemos encontrar mayor información sobre cómo realizar la configuracion para GoDaddy para Incapsula.

Con este truco garantizamos que estamos enviando todo el tráfico hacia los servidores de Imperva o  Cloudflare de manera similar funcionan los servicios Antispam en la nube como el que ofrece Microsoft, estos realizaran el filtrado  e inspección y reenviaran el tráfico "limpio" a la IP donde está registrada el servicio en el ejemplo la IP 192.0.43.10.

Hasta aquí todo correcto; sin embargo hay algo que me he dado cuenta que muchos proveedores que ofrecen esta solución o muchos que la tienen imprentada omiten una configuración muy importante, la cual es filtrar las IPs Proxy de Cloudflare o Imperva en el Firewall desde donde envían el trafico limpio a nuestro website, es decir crear una regla permita solamente el acceso desde estas IPs, esto nos garantiza de que el sitio va ser accedido solamente a través de la solución y no va a ser saltado (bypass) accediendo a el website a través de la IP pública (ejm http://192.0.43.10/index.php).
 

permit tcp ip_pool_proxy_incapsula  host 192.0.43.10 eq http
deny any any

Bueno esta fue una breve descripción de cómo funciona el servicio, en las siguientes entradas abarcaremos las soluciones con mayor profundidad.

Elastix

En mi búsqueda por el auto aprendizaje sobre Asterisk (Telefonía IP), Encontré una excelente distribución Open Source llamada Elastix la cual esta enfocada a Comunicaciones Unificadas, eso quiere decir que ademas de prestar servicios como el de PBX VoIP, contiene servicios como mensajería instantánea, correo electrónico, fax, esta compuesto de cuatro programas que son los que dan vida a esta distribución, estos son Asterisk, Hylafax, Openfire y Postfix montados sobre CentOS. Ademas tiene una muy buena documentación en español, hasta el momento he encontrado tres libros, de los cuales dos son en español (Comunicaciones unificadas con Elastix y Elastix a ritmo de merengue)y uno en ingles (Elastix without tears, la amplia información en español se debe a que es una distribución Ecuatoriana apoyada principalmente por PaloSanto con una amplia colaboracion por Ingenieros Latinoamercanos, ademas ofrecen constante training en Bogota, Lima, Argentina, Ecuador y pasises Centroamericanos.

Si esta pensando en empezar aprender Asterisk le recomiendo que empiece con esta distribución, todos los servicio tienen una interfaz gráfica de administración lo cual facilita mucho a las personas con poco conocimiento en Linux y posee un modulo extra para Callcenter.

Fue catalogado como el mejor producto de Telefonia sobre Internet en 2010.

Aqui les dejo los enlaces de los libros:


http://ufpr.dl.sourceforge.net/project/elastix/Tutorials_Docs_Manuals/Comunicaciones%20Unificadas%20con%20Elastix/Comunicaciones_Unificadas_con_Elastix_Volumen_1_29Mar2009.pdf

http://ufpr.dl.sourceforge.net/project/elastix/Tutorials_Docs_Manuals/Comunicaciones%20Unificadas%20con%20Elastix/Comunicaciones_Unificadas_con_Elastix_Volumen_2_29Mar2009.pdf


http://ufpr.dl.sourceforge.net/project/elastix/Tutorials_Docs_Manuals/Elastix%20a%20Ritmo%20de%20Merengue/Elastix%20a%20Ritmo%20de%20Merengue%20rev%201.3.pdf

LA RUTA PARA JUGAR

Alguna vez has intentado jugar con tu XBOX 360 o Playstation 3 o montar tu propio servidor (Web, de juegos, FTP) en tu PC que se encuentra detrás de un router ADSL, y has presentado inconvenientes?
Si tu respuesta es si, te daré algunos consejos que te permitirán que el mundo acceda a tu servidor.

-Si tienes un software Firewall en tu PC que bloquea las cosas, debes permitir las aplicaciones, no te preocupes que por lo general estos productos lo preguntan, solo debes estar atento, también es recomendable desactivar el firewall del router.

-Muchos juegos funcionan bien con solo depender de UPnP (Universal Plug and Play) para abrir un puerto cada vez que tu maquina lo solicite y luego cerrarlo cuando la aplicacion termino. Antes de preocuparte por el reenvió de puertos busca donde esta la opción de UPnP en tu router y habilitala. Si esto no te funciona, continua al paso siguiente.

-NAT (Network Address Translation)es el protocolo que usa tu ruteador ADSL el cual traduce direcciones IP privadas en direcciones IP publicas, NAT no permite las solicitudes iniciadas desde afuera. Lo que debes hacer para que los usuarios accedan a tu servidor es un reenvió de puertos a los PC específicos internos, para realizar esto de una manera muy fácil entra a la pagina http://www.portforward.com y busca el modelo y marca de tu router, ahí te explicaran lo que debes hacer para redireccionar los puertos. Es importante que uses una opción que se llama DHCP rservation para que tu router asigne la misma Ip privada a tu PC o consola, este protocolo aocia la MAC con la IP privada, así que debes averiguar la MAC de tu maquina.Por lo general los routers muestran una tabla que relaciona la dirección IP y MAC de los host conectados, la puedes copiar de ahí.

- Para una mejor velocidad y evitar problemas de "lag", habilita la opción QoS (Calidad de servicio) el cual le da prioridad a cierto típico de trafico (generalmente con puertos UDP),opcion usada principalmente en trafico VoIP.

-Usa cuando puedas cable Ethernet envez de conexión WiFi, la interferencia es mínima comparada con WiFi. Con una conexión cableada recibirás la respuesta en red mas veloz y el mayor ancho de banda posible, todo el tiempo. Si no se puede usa WiFi usando el protocolo 802.11g o 802.11n.

Juniper vs Cisco

Cisco es catalogada como la empresa con mayor penetración en le mercado empresarial de networking se calcula que alrededor de un 75% de las redes empresariales en el mundo usan sus productos y cada vez tiene mayor penetración en el mercado de VoIP y redes SOHO, sin embargo por ser la empresa mas grande y prestigiosa, sus productos tienen un precio elevado que muchas veces no se justifica.
Por otro lado tenemos a Juniper una multinacional creada en 1996, esta compañía al igual que Cisco diseña y vende productos de red de alta calidad, siendo esta empresa el principal rival de Cisco, desde que fue fundada a tenido un alto reconocimiento en el mercado y a escalado posiciones hasta ser catalogada por la revista Fortune en 2009 como la cuarta compañía de Networking mas admirada, ofreciendo soluciones completas tanto para redes móviles, soluciones de seguridad, routing y swtiching, a precios mucho mas económicos que los de Cisco, además al igual que Cisco desarrollaron su propio OS conocido como JUNOS.
Hace algunos días entre a la pagina de Juniper y me di cuenta que ofrecen un e-learning muy parecido al CCNA, pero gratuito y lo mejor de todo es que luego de estudiarlo se puede presentar un examen gratis que hablita un voucher del 50% para el examen de certificación internacional, existen cursos para routing, switching y seguridad en JUNOS, existen niveles asociado, profesional y experto, tiene variedad de idiomas y además se pueden descargar las guías de estudio para complementar la preparación, el ambiente grafico es muy agradable.
A diferencia del CCNA de Cisco en este curso se debe tener conocimientos previos en redes y se parte de conocer el IOS de Cisco.
Acá les dejo el enlace para los interesados http://www.juniper.net/fasttrack/

Dar salida a una red LAN a Internet a través de un modem 3.5G (Comcel, Movistar o Tigo)

Hace unos días me pregunte si existe algún router compatible con tecnología 3.5G, he llegado a encontrar unos pocos routers pero de marcas desconocidas, por un poco mas de $200.000 podrás conseguir uno de estos(fuera de Colombia), será que tal vez no lo sacan por el hecho de que es un ancho de banda "real" muy bajo, no el que los operadores ofrecen con su Política de Uso Justo que en realidad es una estafa para el cliente, por cierto en estos días el Ministerio de TICS va emitir una regulación para estos operadores de tecnología 3.5G "Ya era hora".
Bueno ante esto quise buscar una solución ya que en mi trabajo me encuentro con la necesidad de que en escuelas rurales desean servicio de Internet y muchas veces Compartel se lo a negado o simplemente debido al bajo ancho de banda y la baja disponibilidad del servicio no lo solicitan(Internet satelital), bueno el hecho es que se puede dar salida a varios computadores a través de un servidor Proxy y el uso de un Switch (que se encuentra desde $30.000 los mas economicos)al cual se conectaran los computadores, en mi caso utilice el primer Proxy que instale en mi vida que lo podemos descargar desde http://www.analogx.com/contents/download/Network/proxy/Freeware.htm , por cierto es freeware, es estable, es pequeño, simple, permite protocolos como HTTP, HTTPS, POP3, SMTP,funciona bien con Internet Explorer, Netscape, AOL, AOL Instant Messenger. Microsoft Messenger, soporta todos los Windows desde Windows 98 hasta Windows 7 pasando por XP y Vista.

Bueno luego de conectar todos los computadores al Switch e instalar el software en uno de los PCs (Es imprecendible que el servidor siempre este encendido y ejecutándose para que los otros puedan acceder a Internet) vamos a configurar ip estaticas en cada uno de los computadores




Usaremos la red 192.168.1.0 con mascara de subred 255.255.255.192 (con 62 direcciones de red disponibles, mas que suficiente)no utilizamos puerta de enlace para ninguno de los PCs.

Ahora configuraremos los navegadores de todos los computadores menos del que esta ejecutando el Proxy, a través de esta configuración los computadores se conectaran al servidor para que este haga sus peticiones por ellos

En Internet Explorer vamos Herramientas - Opciones de Internet - Conexiones - Configuración de LAN al dar click te mostrara las opciones de configuración de Proxy y ahí ingresamos la dirección IP del servidor y el puerto lo configuramos como el 6588 (que es donde escucha nuestro servidor)




En Firefox Mozilla 3.6 entramos a traves de "Herramientas" - "Opciones" - En el icono de "Avanzados" damos click en la pestaña que dice "red" damos click donde dice "configurar como firefox se conecta a Internet" y configuramos el proxy manualmente, ingresando la ip del servidor.






Si queremos configurar los otros protocolos nos dirigimos al readme del servidor analogx, con esta configuracion podemos hacer las busquedas necesarias.


Bueno eso es todo espero que les sirva!

USO DE LA HERRAMIENTA UNETBOOTIN

Esta herramienta nos permite grabar una imagen de una distribucion de Linux en una memoria u.s.b, es decir convertimos a nuestra memoria en un instalador de cualquiera de nuestras distribuciones favoritas (Fedora, Ubuntu, Backtrack, CentOs, Debian, etc.. )
Personalmente lo probe con Backtrack 4 y me funciono correctamente

Estos son los pasos que debes seguir para convertir tu memoria en una memoria live:

1) Conecta tu memoria USB a un puerto USB de tu computador
2) Formatea tu memoria USB con FAT32
3) Descarga UNetbootin de http://unetbootin.sourceforge.net/
4) Empieza UNetbootin y selecciona la imagen del disco que hayas descargado o si aun no lo has descargado lo puedes descargar seleccionando Distribucion y escogiendo la que necesitas
5) Selecciona tu memoria USB y da click en Ok para crear un booteable USB drive.

(Para Backtrack usa como nombre de usuario y password (root/toor) )

Seguridad en redes inalambricas

Cada ves mas es la demanda de redes inalámbricas como consecuencia de la explosión de las ventas de teléfonos inteligentes, PDA, laptops, lo que las empresas SOHO deben tener en cuenta es la seguridad que se esta aplicando a los routers adsl, si no se encuentran bien protegidos, son similares una casa en la cual la puerta principal se encuentra siempre abierta, de esta forma los ladrones en cualquier momento podrán entrar, para mostrar la vulnerabilidad que sufren estos dispositivos, veremos un ataque que pueden sufrir:

- Una de las mayores vulnerabilidades es dejar las contraseñas por defecto del acceso HTTP, esto nos permite acceder desde la red a la administración del router conociendo la ip publica, el nombre de usuario por lo general es "admin" y las contraseñas mas comunes son "1234" y "admin", si no conocemos cual es la plataforma (marca) del router podemos usar una herramienta para escaneo de puertos conocida como Nmap bajo linux al ejecutar el comando "Nmap -O 190.248.10.2 (la IP publica a la cual queremos escanear)" nos dice que sistema operativo usa y cual es su marca, existen otra herramienta para escaneo de puertos que funciona para Windows se llama Nessus, al conocer la marca del router nos dirigimos a google y buscamos las contraseñas por defecto para el router, ya dentro del router podemos poner a los equipos que están dentro de la LAN al exterior con una opción que la tienen la mayoría de estos routers que se conoce como DMZ (Zona desmilitarizada), en esta opción colocando la ip privada del PC que queremos atacar, dejamos el PC expuesto al exterior, es decir podemos realizar un escaneo de puertos a esta misma ip publica “Nmap –v” y nos va votar como resultado todos los puertos que tiene abiertos el PC, conociendo los puertos podemos realizar algún ataque de acceso a través de exploits.