Blackhold

Archive for the “Networking” Category

Primer contacto con routers CISCO

Posted on juliol 23rd, 2016 by admin

Hace ya mucho tiempo que digo que tengo que aprender a administrar routers cisco, pero siempre que me he encontrado alguno que tenía una versión muy antigua y no se podía actualizar a una versión mas actual :( Pero hace unos meses encontré un Cisco 870, otro día el cable de consola y el otro el alimentador! (no, no es fácil encontrar el router entero con todo en la basura!)

Así que lo primero será conectarnos al router por consola:
Enchufamos el cable azul en el puerto console del router y el puerto com con un adaptador a USB a nuestro PC. Luego nos conectamos con un programa de consola como podría ser gtkterm.

# gtkterm -p /dev/ttyUSB0 -w Xon -s 9600
||| Seguir leyendo... >>>

Tunelizar subredes a través de ssh

Posted on maig 13th, 2016 by admin

Quien me conozca sabe que soy la reina de los túneles ssh. Esto va de maravilla cuando quieres saltar host a host, pero si tienes que acceder a muchas ips empieza a ser un rollo el tener que abrir varios túneles y/o irlos cerrando y abriendo.

Así que he pensado… ¿habrá la posibilidad de enrutar un rango de red a través de ssh? ¡pues si! y se llama sshutle

# pip install sshuttle

Ahora lo que quiero hacer es enrutar todo el tráfico de 10.69.0.0/16 por éste tunel ssh:

# sshuttle -r usuario@servidor 10.69.0.0/16 -vv

Et voilà! :D… ||| Seguir leyendo... >>>

Configurar resolución Inversa IPv6 con bind

Posted on octubre 24th, 2015 by admin

Algunos os habíais puesto en contacto a través del formulario de contacto de mi blog pero por algún motivo no recibía vuestros correos. Al mirar los logs me encontraba con esto:

2015-10-23 16:35:19 1ZpdR7-0002ax-Ar ** laralalalala@gmail.com R=dnslookup T=remote_smtp X=TLS1.2:ECDHE_RSA_AES_128_GCM_SHA256:128 DN="C=US,ST=California,L=Mountain 
View,O=Google Inc,CN=mx.google.com": SMTP error from remote mail server after end of data: host gmail-smtp-in.l.google.com [2a00:1450:400c:c05::1a]: 550-5.7.1 [2a00:150
8:6001::666] Our system has detected that this message does\n550-5.7.1 not meet IPv6 sending guidelines regarding PTR records and\n550-5.7.1 authentication. Please revi
ew\n550-5.7.1  https://support.google.com/mail/?p=ipv6_authentication_error for more\n550 5.7.1 information. f2si4186183wiy.75 - gsmtp
2015-10-23 16:35:19 1ZpdR9-0002b2-7I < = <> R=1ZpdR7-0002ax-Ar U=Debian-exim P=local S=2822
2015-10-23 16:35:19 1ZpdR7-0002ax-Ar Completed
2015-10-23 16:35:19 1ZpdR9-0002b2-7I =www-data  R=local_user T=maildir_home
2015-10-23 16:35:19 1ZpdR9-0002b2-7I Completed

Éste error aparece desde hace unos 15 días y es que google, donde se me mandan los correos, dice que no le gustaba la IPv6 de mi servidor de correo. La forma que acepta los correos google es mediante una dkim firmada o un PTR definido, así que lo que he ido a hacer ha sido definir el PTR para mi dirección IPv6.… ||| Seguir leyendo... >>>

Proteger un router Mikrotik expuesto a internet

Posted on juliol 18th, 2015 by admin

Cuidadín con la regla que apliqué el otro día, que lo hace demasiado bien y no deja pasar absolutamente ninguna petición de DNS :P

Aquí os dejo 3 protecciones interesantes.

Protección del login ssh

/ip firewall filter
add action=drop chain=input comment="BLOQUEJA DURANT 24 hores qui fa 5 intents seguits de login SSH!" dst-port=22 protocol=tcp src-address-list=black_list_ssh
add action=add-src-to-address-list address-list=black_list_ssh address-list-timeout=1d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=
    ssh_stage4
add action=add-src-to-address-list address-list=ssh_stage4 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=
    ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=
    ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=
    ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp

Protege los intentos de login al 8291 (winbox)

/ip firewall filter
add action=drop chain=input comment="BLOQUEJA DURANT 24 hores qui fa 5 intents seguits de login winbox!" dst-port=8291 protocol=tcp src-address-list=
    black_list_winbox
add action=add-src-to-address-list address-list=black_list_winbox address-list-timeout=1d chain=input connection-state=new dst-port=8291 protocol=tcp 
    src-address-list=winbox_stage4
add action=add-src-to-address-list address-list=winbox_stage4 address-list-timeout=3m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=
    winbox_stage3
add action=add-src-to-address-list address-list=winbox_stage3 address-list-timeout=3m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=
    winbox_stage2
add action=add-src-to-address-list address-list=winbox_stage2 address-list-timeout=3m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=
    winbox_stage1
add action=add-src-to-address-list address-list=winbox_stage1 address-list-timeout=3m chain=input connection-state=new dst-port=8291 protocol=tcp

Proteger de ataques de DoS (denegación de servicio)

add action=jump chain=forward connection-state=new jump-target=detect-ddos
add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s
add action=return chain=detect-ddos src-address=192.168.0.0/16
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m chain=detect-ddos
add action=add-src-to-address-list address-list=ddoser address-list-timeout=10m chain=detect-ddos
add action=drop chain=forward connection-state=new dst-address-list=ddosed src-address-list=ddoser
||| Seguir leyendo... >>>

Mitigar ataque de DNS con mikrotik

Posted on juliol 13th, 2015 by admin

/ip firewall filter
add action=drop chain=forward comment="drop from all in dns-flood address list" dst-port=53 protocol=udp src-address-list=dns-flood
add chain=forward comment="add src IP to dns-flood address list" dst-limit=1,10,src-address/20s dst-port=53 protocol=udp           
add action=add-src-to-address-list address-list=dns-flood address-list-timeout=23h59m59s chain=forward dst-port=53 protocol=udp    
||| Seguir leyendo... >>>

Script para hacer backups de los router mikrotik

Posted on juliol 5th, 2015 by admin

Pues aquí una pequeña ayuda :)

#!/bin/bash

############################################
# SCRIPT CREATED BY: Laura Mora i Aubert   #
# SCRIPT DATE: 2015-07-05                  #
# WEBSITE: http://blackhold.nusepas.com    #
# INFO: Script that allows remote backup   #
#       of Mikrotik Routers.               #
#       tested on 5.x & 6.x routers        #
# LICENSE: creative commons (by:sa)        #
############################################

############################################
#             INSTRUCTIONS                 #
############################################
#                                          #
# 1. Generate ssh-keys on your server      #
#      cd ~/.ssh                           #
#      sh-keygen -t dsa                    #
#                                          #
# 2. Rename pubkey                         #
#      cp .ssh/id_dsa.pub backupkey        #
#                                          #
# 3. Put the file on MKT Router            #
#      ftp x.x.x.x                         #
#      ftp> bin                            #
#      ftp> put backupkey                  #
#      ftp> bye                            #
#                                          #
# 4. Import pubkey in MKT Router           #
#      telnet x.x.x.x                      #
#      [admin@mikrotik] /user ssh-keys    #
#       import user=admin                 #
#       public-key-file=backupkey          #
#                                          #
# 5. Access with ssh to the MKT Router     #
#                                          #
# 6. [SCRIPT] Change USER  and ID values   #
#                                          #
# 7. Run the script!                       #
#                                          #
############################################

############################################
#               OTHERS                     #
############################################
#                                          #
# If you have bruteforce login rules,      #
# add your backup server IP in the last    #
# rule: src-address=!SERVERIP              #
#                                          #
############################################ 

# Change username
USER=admin
BACKUP_DIR="/root/backups/"


if [ ! -d "${BACKUP_DIR}" ]; then
        mkdir -p ${BACKUP_DIR}
fi

cd ${BACKUP_DIR}

############################################
# Keep this structure, take care of the :  #
# Increment the "n" with a number          #
# ID[n]="RouterName:IPAddress:Port"        #
||| Seguir leyendo... >>>

Instalar debian en una pcengines APU1d4

Posted on abril 24th, 2015 by admin

Hoy me han regalado una rosa y me han traído la placa PCEngines APU1d4, como una buena friki al momento que me han regalado la rosa he estado mas pendiente de la caja blanca que traía el portador que de la propia rosa :P lo admito, me pierde la tecnología xD

AjG_ANsHTjjF011HMcnmKEwljKh0ggWEBTXBMYl-LsJ6

En la caja venía la placa y un disco mSATA de 16Gb, pero faltaban las tarjetas, pero al estar desmontando un portátil me he percatado que las tarjetas de portátil también me sirven, así que vamos a hacer la prueba con unas intel, que necesitan firmware privativo y no tengo claro que las pueda poner en modo de punto de acceso. La elección es una tarjeta atheros, pero aún estoy investigando cuál es la que mas que conviene para lo que quiero hacer!

photo32009721698429475||| Seguir leyendo... >>>

Actualización post instalación debian por puerto serie: Debian 8 Jessie

Posted on abril 19th, 2015 by admin

El post del otro día, si éste que os váis a cansar de él hasta que no consiga hacer funcionar esto! :P instalé una debian a partir de una imagen que había creado alguien, pero esta imagen era una debian 6 y las versiones de los programas que necesito para hacer funcionar el sistema (basicamente hostapd) en debian 6 tienen muchos problemas, así que tenía 2 posibilidades, ponerme con el marrón de hacer que debian 6 se comiese una versión mas nueva de hostapd con patatas (SO viejo & dependencias & co = dolor) o fabricar un instalador modificado (hasta que no he encontrado como hacerlo, ha sido doloroso también, pero al menos he aprendido algo nuevo y parece que la cosa va por buen camino xD).

Una de las curiosidades de la instalación es que estamos usando la compact flash como disco de arranque para la instalación, normalmente usamos un CD o un lápiz de memoria USB.

Lo primero que se me ha ocurrido ha sido meter tal cual una iso en la compact flash, pero claro, el interfaz es por puerto serie, así que tenemos que modificar la iso… descomprime, monta, dale la vuelta, tablas de particiones guerreras, etc. todo fallido, hasta cuando he encontrado éste link en debian y no sé como he llegado a éste otro link: Ficheros de la instalación de debian jessie. A partir de aquí aunque ya caía la noche, se ha empezado a iluminar el día :)… ||| Seguir leyendo... >>>

Convertir una debian en un punto de acceso wifi

Posted on abril 16th, 2015 by admin

Ayer hice un post sobre como instalar debian en una placa Alix 2d2 por puerto COM, ahora vamos a convertir esta preciosidad en un punto de acceso wifi :)

Como disponemos de dos tarjetas wifi de fabricantes que respetan el software libre y liberan sus drivers, no será necesario instalar el paquete firmware-iwlwifi o firmware-linux-nonfree, así que un pasito mas para un punto de acceso totalmente libre! :D

root@alix2d2:/home/blackhold# lspci |grep Atheros
00:0c.0 Ethernet controller: Atheros Communications Inc. AR5413 802.11abg NIC (rev 01)
00:0e.0 Ethernet controller: Atheros Communications Inc. AR5413 802.11abg NIC (rev 01)

Si nos fijamos, las dos tarjetas minipci ya aparecen en el sistema sin tener que instalar nada adicional :)… ||| Seguir leyendo... >>>

Instalar debian en una Alix 2d2 por null modem

Posted on abril 15th, 2015 by admin

Hoy uno de aquellos posts que me lo estoy pasando teta, pero que he tenido que sudar un poco para llegar a conseguirlo, uno de los motivos porque no dispongo de un cable nullmodem db9f handshake crossover y me lo he tenido que fabricar a partir de 2 cables de modem de 9 pines.

Vamos a ver primero como he fabricado el cable:

photo32009721698429452||| Seguir leyendo... >>>

Pàgina següent »

guy fawkes