Salvando al soldado Ryan con FTP

Vamos a empezar este post de una forma diferente a la habitual y con un titulo diferente a lo que normalmente usaría, estaba poniéndome cómodo en mi silla a eso de las 7:45 am cuando recibo mensaje de un usuario de la empresa ” no hay acceso al servidor ” cual servidor pensaran ustedes.

Como manejo que usuario tiene acceso a que servidor ya se que se referia al servidor NAS que simple y sencillamente es un servidor de archivos compartidos en red con acceso por usuarios utilizando FREENAS por lo tanto me dispongo a revisar el servidor de forma física primero( si esta apagado, si no hay red, si exploto :v lo usual) todo en orden procedo a acceder a servicio de administración vía web y el servidor esta ok.

Bien continuamos revisión vía acceso web comprobando memoria ram,los discos en RAID1 que estén en buen estado y todo ok bien entonces es algo mas pruebo entrar al servidor como lo hacen los usuarios y sorpresa si entro pero con una lentitud que le gana una tortuga en una carrera de 1 km de distancia pero si todo esta ok cual es el problema reviso POOL de discos y sorpresa los discos están full 4 TB libre 25 mb informo a mi jefe después de una mini reunión con los jefes de la empresa solución eliminar archivos de 3-4 años atrás que ya no se utilizan.

Me pongo a trabajar y sorpresa los archivos viejos son 500 mb por lo tanto nada resolvemos y como  dilata un mundo para abrir el NAS no puedo mover nada a discos externos y con el servidor muerto prácticamente nadie puede acceder y tenemos producción detenida en la empresa acá es cuando sale al rescate la vieja confiable FTP.

Situación:

1-NAS caído sin espacio en discos duros

2-Producción de la empresa detenida

Solución:

1-Mover la información a discos externos privados por departamento conectados en red los cuales solo yo y los del departamento tendrán acceso y restringir acceso a NAS temporalmente.

Empiezo a moverme ya con los discos Externos privados en los departamentos y en red con su usuarios y password procedo a aislar el NAS temporalmente para que los usuarios no sigan intentando acceder al mismo o moviendo archivos y dificulte la tarea que voy a realizar para esto entramos a la consola de freenas y basta con cambiar la ip del NAS por otro que nadie tenga conocimiento con esto sencillamente nadie podrá acceder por que se cambio de ip el servidor.

 

 

 

 

 

 

Ahora revisamos una vez los discos desde su acceso web para ver que todo esta  como lo dejamos 500 mb free de 4 TB.

Lo primero es activar el servicio FTP en nuestro NAS si no suben o bajan archivos por este medio lo recomendable es mantener el servicio desactivado.

Ya solo nos resta conectarnos al FTP con usuario y password y descargar y eliminar archivos una vez que ya los descargamos una tarea de unas horas para ello use Filezilla y listo hemos salvado la información restablecemos el NAS con la ip normal asignada y como que nada ha pasado 😦

Conclusiones:

1-Esto se hubiera evitado si se revisara los NAS mínimo 1 vez por semana para comprobar espacio en discos,salud de los mismos y componentes del servidor.

2-Lo recomendable seria tener archivos de máximo 1 año de antigüedad en los NAS si no tenemos recursos para ampliar discos duros o para nuevos servidores o servios de Nube.

3-Evitar o eliminar la duplicidad de archivos en el sistema NAS

 

Detener ataques a tu red con Mikrotik

Buenos Días amigos lectores espero estén bien de salud regresamos con este nuevo articulo sobre mikrotik vamos a ver como proteger nuestra red contra algunos ataques comunes configurando mikrotik de forma correcta y bloqueando accesos no autorizados.

Vamos a empezar con el escenario de un ataque por fuerza bruta queriendo entrar al login del mikrotik esto por que mikrotik esta configurado con puertos abiertos para ciertas conexiones y con acceso web para revisar este ataque basta con entrar a su configuración y revisar los LOGS del equipo y vemos el ataque en los LOGS son los puntos en rojo.

 

Empezamos con las contra medidas para esto vamos a la configuración del Mikrotik y vamos a IP/Services y desabilitamos los puertos donde se estaba realizando el ataque en este caso puerto 22 SSH uno de los mas comunes que te van a atacar el 21 FTP y el 80 para no tener acceso por web al panel de configuración del mikrotik y por su puesto el 23 TELNET nos va a quedar así.

Para comprobar que los puertos están realmente cerrados vamos a https://www.yougetsignal.com/tools/open-ports/ ponemos nuestra ip publica y definimos el puerto a testear y deberá salirnos cerrado y así comprobamos todos los puertos que cerramos.

 

Ahora vamos a ver el escenario donde un equipó en nuestra red esta consumiendo todo el ancho de banda de la red de la empresa y pone lento todo la red de la empresa o deja sin navegación a toda la empresa ya se ha por que el usuario esta descargando algo o la pc esta infectada con un malware o virus y esta mandando o descargando información igual nos vamos a LOGS de nuestro Mikrotik y buscamos el que esta dejando sin memoria al Mikrotik este caso es bastante grabe por que puede botar la red de la empresa o si esta infectada estar mandando información confidencial de la empresa a terceros es el equipo con los registros en azul.

Para solucionar esto después de haber revisado si no es un malware o virus y se comprobó que es el usuario pero no cumple con las políticas de la empresa y tampoco lo van a despedir en un supuesto :v jajaa pues vamos a limitar ese equipo en información que suba o baje por día para esto vamos a configuración del mikrotik ip/dhcp server/leases

Buscamos el equipo a limitar le damos doble click y lo configuramos de esta forma Rate limit ponemos lo que queremos asignarle en este caso 2mb y marcamos la casilla use Src. mac address esto es por si el usuario es “Listillo” y sabe cambiar la ip de la maquina igual siga con los 2mb por que lo amarramos con la mac del equipo nos va a quedar asi.

Le damos a ok y vemos en leases que el equipo en cuestión ya quedo configurado con los 2mb que le asignamos igual esto nos puede servir para limitar la red a ciertos usuarios que por x o y motivo deben estar controlados.

Espero les guste este post y les sirva saludos y tengan buen Día.

 

Bloquear Paginas webs con Mikrotik

Hola a todos los lectores de este blog espero estén bien de salud en este articulo seguiremos con mikrotik y aprenderemos a bloquear paginas webs para que no puedan acceder desde nuestra red a dichas webs esto por que saturan ancho de banda o por seguridad.

Empezamos entrando a mikrotik y vamos a IP/FIREWALL

Ahora vamos a sección Address List y damos add new 

En name pondremos la web a bloquear sin el https://www y en address la ip de la web a bloquear y damos ok.

Ahora vamos a la sección Filter Rules y damos en add new como vemos yo tengo 2 webs bloqueadas 1 una aplicación de teléfono por el wifi de la red en otros artículos les enseñare a bloquear apps.

Dentro vamos a configurar de la siguiente manera chain forward bajamos hasta dst.address list y buscamos la que añadimos en address list y bajamos mas y buscamos action y colocamos Drop aplicamos y ok y listo podemos probar entrar a la web bloqueada y no podrán acceder.

Con esto solo realizamos los mismos pasos para ir bloqueando las webs que necesitemos bloquear en nuestra red.

 

Usando Ghidra NSA Reverse Engineering Tool

Buenos días lectores como sabrán NSA libero una de sus herramientas para uso libre esta es la herramienta Ghidra para realizar ingeniería inversa a aplicaciones para análisis de malware y lo que queramos,primero la bajamos e instalamos jdk 11 tambien si no lo tenemos en la pc.

Ghidra

JDK 11

Empezamos descomprimiendo el archivo de ghidra y entramos en la carpeta.

Dentro de la carpeta buscamos el archivo ghidrarun.bat y lo abrimos.

Si tenemos instalado el jdk nos mostrara el mensaje de licencia y empezara abrir el ghidra si no nos dirá que no encontró jdk.

Lo primero que nos muestra una interfaz con manual de usuario.

Le va a dar cerrar y vamos a empezar a trabajar nuevo proyecto escogemos donde guárdalo recomiendo hacer una carpeta el nombre del proyecto y finalizamos.

Nos mostrara una nueva ventana con el nombre del proyecto le damos click al dragon verde para empezar a escoger el programa a analizar le damos file importar file y escogemos el exe en mi caso escogí Anydesk.

Nos abrirá una ventana con la información de la aplicación que abrimos y un cuadro donde escogemos los parámetros que analizaremos en la aplicación y damos a analizar después de escoger lo que queremos hacer.

A continuación empezara el proceso de análisis y nos mostrara la aplicación des compilada.

Bueno ahora depende de cada uno ver el código fuente de la aplicación y revisar si no esta con malware oculto,backdoors, etc lo que queramos buscar en aplicaciones sospechosas; si no saben nada de ingeniería reversa les propongo un reto ya que este es mi post en el blog 101 si este articulo llega a a mas de 500 visitas y me siguen en twitter @security_zero y llegamos a por lo menos 1000 suscriptores en mi canal de youtube canal.

Realizare una serie de artículos acá mas su vídeo tutorial para aprender ingeniería reversa de 0 hasta avanzado usando Ghidra de la NSA.

 

 

 

 

 

Instalar metasploit en ios 12.1.2 Jailbreak

Un saludo a todos los lectores de este blog espero estén bien esta vez les quiero compartir algo interesante para los que les gusta la seguridad informática desde Ios vamos a instalar metasploit en nuestros dispositivos con ios 12.1.2 con jailbreak uncover.

Vamos a empezar todo entrando desde safari a la siguiente url que les dejare esto lo que hace es añadir un repo a cydia donde encontraremos metasploit un proyecto que no es mio así que ayuden donando en el repositorio o compartiendo a mas gente para que el proyecto siga mejorando.

https://mcapollo.github.io/Public/

Les dirá si quieren añadirlo a cydia   le dan añadir esperan termina el proceso  ahora buscamos en cydia metasploit.

Instalan metasploit con sus dependencias unos 145 mb ahora vamos al pc y abrimos putty y nos logueamos con la ip que tenga nuestro iphone en ese momento.

Nos pedirá usuario y password si es primera vez que entramos sera root y pass alpine recomiendo que cambien ese password por seguridad con el comando passwd desde alli mismo y ponen el pass que gusten ahora vamos a entrar a la siguiente ruta con los comando.

cd .. 2 veces 

cd opt 1 vez

ls 1 vez

cd metasploit-framework-5.0.9 1 vez y ls para ver los archivos alli

 

Finalmente escribiremos el comando sudo ./install.sh esto instalara el metasploit y dependencias unos 600 mb mas o menos cuando termine el proceso podemos probar lanzando nuestro metasploit  ./msfconsole

Ahora desde cydia instalamos una terminal para ejecutar metasploit desde nuestro teléfono y entramos a las mismas rutas y ejecutamos igual.

Cabe aclarar que a un no pruebo los xploit para ver que funciona y que no así que en post futuros les mostrare algunas pruebas desde el iphone con putty para mas comodidad por que muy pequeño el teclado en el teléfono.

Monitorear trafico de Red con Mikrotik

Buenos días lectores del blog espero estén bien vamos a escribir un articulo para los sysadmin para que monitoreen sus redes usando un Mikrotik y sepan quien de la empresa esta usando el ancho de banda de la misma o para ver quien se esta descargando películas con la red de la empresa.

Para empezar necesitamos entrar a nuestro Mikrotik ya se ha desde la web con nuestra ip con con winbox o ssh el método que mas les guste.

Nos logueamos en el Mikrotik y vamos a la opción tools y entramos a Torch.

Dentro buscamos la interfaz interna en nuestro caso Lan en su caso como le  pusieron de nombre a la interfaz de la red.

Marcan las casillas para tener mas detalles y le da a Start y cuando termine nos mostrara unos resultados como estos donde vemos que en el apartado src es la ip interna y Dst es la ip externa  esta enviando 17mb a la ip interna.

Ahora vamos a entrar a esta url para ver a quien pertenece esa ip que esta mandando los 17mb a nuestra red.

https://www.ultratools.com/tools/ipWhoisLookup

Nos devuelve los datos de quien es esa ip.

Ahora ya sabemos si estaba descargando en caso que fuera mega,mediafire,depositfiles etc en nuestro caso era algo normal pero con esto podemos monitorear quien esta bajando algo cuando esta lenta la red en la empresa.(NO SIEMPRE ESTA LENTA POR ESO LO VEREMOS EN OTROS ARTÍCULOS DE REDES).

Pero esto no es suficiente vamos a buscar al retractor por la ip que encontramos para esto utilizare un herramienta que siempre uso desde mi teléfono FING que esta en la tienda de apple y de android  gratis que ya les he mostrado en otros artículos basta con escanear nuestra red y buscar la ip para saber por el nombre de la pc quien es el usuario.

 

Espero les sirva y le guste este articulo que es el primero de varios sobre el uso y configuración de Mikrotik para asegurar nuestras redes.

 

Servidor de archivos con Freenas

Buenos días a todos los lectores de este blog espero estén muy bien vamos a empezar esta serie de artículos donde les enseñare a montar sus propios servidores de archivos con freenas que es software libre para que puedan acceder a sus archivos desde cualquier parte del mundo por Internet.

Necesitaremos:

1. Un pc que no ocupemos del todo (desktop)
2. Dos discos duros esto por que les enseñare a montar un espejo Raid1 por seguridad
3. Acceso a Internet
4. Firewall fisico por seguridad o tener acceso a su panel de rourter para conf bien.
5. Ip publica para sacar su conexión.
6. Iso de Freenas
7. Un tercer disco para el sistema yo usare uno de 250 gb pero con uno de 50 gb están bien.

 

Freenas es un sistema operativo de software Libre que nos permite montar servidor de archivos,directorio de archivos etc…. lo bajamos su ultima versión.

https://freenas.org/download/

Yo montare todo en un cpu intel I7 con 8 tb de 4 tb cada Disco duro, otro disco de 250 gb para instalar el sistema y 16 gb de ram lo mínimo que pide freenas es 6gb de ram en su ultima versión aunque al final no los ocupe pide eso para la instalación; Booteamos una usb con el sistema con Unetbootin o otro boot de usb he instalamos.

Y seleccionamos el disco donde vamos a instalar el SO de freenas

Para que el que no lo sepa se van a mover entre los discos con tabular y marcan o seleccionan el que quieren usar en ese momento con barra espaciadora se le pondra un asterisco al que seleccionaron les pedirá una clave para su usuario root que es de defaul eso lo podemos cambiar después por si se les olvida el pass entrando directamente al server conectándole un mouse teclado y monitor.

Cuando termine de instalar y reinicie la pc les mostrara lo siguiente, la opción 7 es la del reset pass.

Nos asignara 1 ip de la red de nuestra casa o empresa esa es por dhcp  lo que quiere decir que si apagamos esa pc tendrá otra ip la próxima vez y no podes estar adivinando ip por eso le damos 1 y configuramos manualmente la ipv4 lean lo que les pide para configurar bien al final si lo hicieron bien les mostrara la ip fija que pusieron y desde otra pc ponemos en el navegador la ip y nos mostrara la web de freenas si lo hicimos correctamente.

Hasta acá el primer articulo en el próximo articulo les mostrare como montar el Raid1 los discos y como configurar otros parámetros importantes .