Iniciar sesiónCerrar
Correo:
Contraseña:
Entrar
Recordar sesión en este navegador
Iniciar sesiónIniciar sesiónCrear cuentaCrear cuenta
LWP » PDFs de programación » Detectando DDoS e intrusiones con RouterOS

PDF de programación - Detectando DDoS e intrusiones con RouterOS

Volver
<<>>
Imágen de pdf Detectando DDoS e intrusiones con RouterOS

Detectando DDoS e intrusiones con RouterOSgráfica de visualizaciones

Actualizado el 11 de Julio del 2021 (Publicado el 10 de Julio del 2019)
1.581 visualizaciones desde el 10 de Julio del 2019
9,0 MB
26 paginas
Creado hace 7a (20/01/2017)
MikroTik User Meeting

Detectando DDoS e

intrusiones con RouterOS

Por: Maximiliano Dobladez

MKE Solutions

20 de Enero de 2017
Ciudad de Guatemala
Guatemala

Presentación Personal

❖ Nombre: Maximiliano Dobladez
❖ CEO MKE Solutions
❖ Consultor y Entrenador MikroTik RouterOS
❖ Experiencia con MikroTik RouterOS desde 1999
❖ Entrenador desde 2006
❖ - [email protected]
- mdobladez
- @mdobladez

MKE Solutions

❖ Consultora en Telecomunicaciones
❖ Establecida en 2008
❖ Certificada en ISO 9001:2015
❖ Entrenamientos Oficiales
❖ Soporte IT

[email protected]
/mkesolutions

@mkesolutions
/mkesolutions

Entrenamientos Oficiales

❖ Certificaciones Disponibles

❖ Entrenamientos Públicos y Privados.
❖ ~300 alumnos por año, con un 75% de certificados.

Soporte IT

❖ Diseño, desarrollo e implementación de soluciones.
❖ Incidencias puntuales.
❖ Soporte mensual (OutSourcing).

❖ Revisión y Optimización
❖ Actualización
❖ Mantenimiento preventivo
❖ Monitoreo

❖ Asesoramiento
❖ Soporte Prioritario
❖ Guardia 24x7
❖ Implementaciones Adicionales

Agenda

Desarrollo de la presentación:

❖ IDS / IPS / DDoS

❖ Suricata: qué es?, cómo funciona? cómo se instala?

❖ FastNetMon: qué es?, cómo funciona? cómo se instala?

❖ Integración con RouterOS
❖ Recursos y bibliografía

IDS / IPS

IPS (Intrusion Prevention System)
❖ Es un dispositivo o aplicación que analiza paquetes completos, tanto
cabeceras como payload en busca de eventos conocidos.
❖ Utiliza Firmas, Patrones de comportamientos, Políticas de seguridad
❖ Cuando se detecta un evento conocido se trata con una acción
(drop, reject, alert, pass)

IDS (Intrusion Detection System)
❖ Es un dispositivo o aplicación que analiza paquetes completos, tanto
cabeceras como and payload, en busca de eventos conocidos.
❖ Cuando se detecta un evento se genera un mensaje de log.

Suricata

Suricata - Qué es?

Suricata:
❖ Es un IDS / IPS
❖ Gratuito, Open Source, rápido y robusto.
❖ Se puede descargar desde: https://suricata-ids.org/
❖ Puede trabajar en conjunto con RouterOS para detectar intrusos o
ciertos tipos de ataques

Internet

RED

Interna / ISP

Suricata - Instalación

La instalación de Suricata puede ser a través de su código fuente o
con los pre empaquetados del SO
❖ Debian: apt-get install suricata.
❖ Fuente:
wget https://www.openinfosecfoundation.org/download/suricata-3.2.tar.gz
tar -xvzf suricata-3.2.tar.gz ; cd suricata-3.2

./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var
make
make install
make install-rules


Suricata - Configuración

La configuración de Suricata se realiza en /etc/suricata/suricata.yaml
Hay que definir:
Las redes internas:

HOME_NET: “[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"
Para que se ejecute al inicio init.d:

RUN=yes

Interface donde escuchará:

IFACE=eth0


Suricata - Integración con rOS

Para que empiece a trabajar hay que redireccionar el tráfico desde el
MikroTik RouterOS hacia Suricata
Podemos realizarlo con:
❖ Port Mirror (Switch)
❖ Packet Sniffer (Tool Packet Sniffer)
❖ Mangle (Sniff TZSP)

Suricata - Reportes

Los logs estarán en /var/log/suricata

Suricata - Reportes

Es posible integrarlo con otras Aplicaciones para un reporte mas
“amigable”

ELK (Elasticsearch, Logstash, Kibana)

Suricata - Herramientas

Existen distribuciones listas para utilizar:
• SmoothSec = Ubuntu + Suricata + Snorby
Disponible en: http://bailey.st/blog/smooth-sec/

• SELKS (Live CD - Open Source IDS/IPS basado en Debian) bajo
GPLv3 por Stamus Networks
SELKS tiene los siguientes componentes:

• S - Suricata - http://suricata-ids.org/
• E - Elasticsearch - http://www.elasticsearch.org/overview/
• L - Logstash - http://www.elasticsearch.org/overview/
• K - Kibana - http://www.elasticsearch.org/overview/
• S - Scirius - https://github.com/StamusNetworks/scirius
• EveBox - https://codemonkey.net/evebox/

• Disponible en https://github.com/StamusNetworks/SELKS

Suricata - Herramientas

• SELKS

FastNetMon

FastNetMon - Qué es?

FastNetMon:
❖ Herramienta para detectar DDoS en 2 segundos
❖ Gratuito, Open Source, Colaborativo
❖ Soporte para BGP4 y BGP flow spec (RFC 5575)
❖ Soporta NetFlow v5, v9, IPFIX, sFlow v4, v5, Port Mirror/SPAN
❖ Al detectar un ataque, permite mandar el IP atacado a BlackHole

Internet

RED

Interna / ISP

FastNetMon - Qué es?

Ataques que puede detectar:
•syn_flood: TCP packets with enabled SYN flag
•udp_flood: flood with UDP packets
•icmp flood: flood with ICMP packets
•ip_fragmentation_flood: IP packets with MF flag set or with non zero
fragment offset
•DNS, NTP, SSDP, SNMP amplification


Dispone de agregados adicionales:
•MikroTik RouterOS, A10 Networks
•Slack, Python, Bash

FastNetMon - Instalación

•Para instalarlo bajo Debian / CentOS:
wget https://raw.githubusercontent.com/pavel-odintsov/fastnetmon/
master/src/fastnetmon_install.pl -Ofastnetmon_install.pl
sudo perl fastnetmon_install.pl

•Configurar las redes locales en /etc/networks_list

•Configurar lista de IP whitelist en /etc/networks_whitelist

•Se ejecuta iniciando /opt/fastnetmon/fastnetmon

•Logs son guardados en /var/log/fastnetmon.log

FastNetMon - Integración con rOS

•Para integrarlo con MikroTik RouterOS es necesario configurar
NetFlow, IPFIX o Port Mirror

FastNetMon - Cliente
•Ejecutando el cliente podemos ver como trabaja 

/opt/fastnetmon/fastnetmon_client

FastNetMon - Acción

Una vez detectado un ataque es posible:

•Ejecutar un script personalizado (enviar correo, aplicar reglas de
ACL, etc)
•Blackhole en tabla de ruteo (script MikroTik)
•Anuncio BGP (comunidad, blackhole, cloud mitigation)
•BGP Flow spec (bloquear un tipo de tráfico selectivo)
•Guardar un muestreo del ataque para luego investigarlo
(tcpdump durante el ataque)

FastNetMon - Reportes

Es posible utilizar herramientas adicionales para un reporte mas
“amigable”

Grafana - http://github.com/grafana/grafana

Referencias

Sitios y bibliografia utilizada:
• Suricata: https://suricata-ids.org/
• FastNetMon: https://fastnetmon.com/


Presentaciones MUMs:
•Distributed Denial of Service Attacks Detection and Mitigation - 

Wardner Maia - MUM Slovenia 16
http://mum.mikrotik.com/presentations/EU16/presentation_2960_1456752556.pdf
•Mikrotik y Suricata - 

José M. Román - MUM España 16
http://mum.mikrotik.com/presentations/ES16/presentation_3746_1476679132.pdf
•Securing your Mikrotik Network 

Andrew Thrift - MUM Australia 2012
http://mum.mikrotik.com/presentations/AU12/2_andrew.pdf

MikroTik User Meeting

¿Preguntas?


MUCHAS GRACIAS!

Maximiliano Dobladez

MKE Solutions

[email protected] - http://www.mkesolutions.net


http://maxid.com.ar


http://twitter.com/mdobladez
  • Links de descarga
http://lwp-l.com/pdf16266

Comentarios de: Detectando DDoS e intrusiones con RouterOS (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad
Acepto las políticas de privacidad