SlideShare una empresa de Scribd logo

Detectando DDoS e intrusiones con RouterOS

Pavel Odintsov
Pavel Odintsov

MikroTik User Meeting

Tecnología
1 de 26
Descargar para leer sin conexión
MikroTik User Meeting Detectando DDoS e intrusiones con RouterOS 20 de Enero de 2017 Ciudad de Guatemala Guatemala Por: Maximiliano Dobladez MKE Solutions
Presentación Personal ❖ Nombre: Maximiliano Dobladez ❖ CEO MKE Solutions ❖ Consultor y Entrenador MikroTik RouterOS ❖ Experiencia con MikroTik RouterOS desde 1999 ❖ Entrenador desde 2006 ❖ - info@mkesolutions.net - mdobladez - @mdobladez
MKE Solutions ❖ Consultora enTelecomunicaciones ❖ Establecida en 2008 ❖ Certificada en ISO 9001:2015 ❖ Entrenamientos Oficiales ❖ Soporte IT info@mkesolutions.net /mkesolutions @mkesolutions /mkesolutions
Entrenamientos Oficiales ❖ Certificaciones Disponibles ❖ Entrenamientos Públicos y Privados. ❖ ~300 alumnos por año, con un 75% de certificados.
Soporte IT ❖ Diseño, desarrollo e implementación de soluciones. ❖ Incidencias puntuales. ❖ Soporte mensual (OutSourcing). ❖ Revisión y Optimización ❖ Actualización ❖ Mantenimiento preventivo ❖ Monitoreo ❖ Asesoramiento ❖ Soporte Prioritario ❖ Guardia 24x7 ❖ Implementaciones Adicionales
Agenda Desarrollo de la presentación: ❖ IDS / IPS / DDoS ❖ Suricata: qué es?, cómo funciona? cómo se instala? ❖ FastNetMon: qué es?, cómo funciona? cómo se instala? ❖ Integración con RouterOS ❖ Recursos y bibliografía
IDS / IPS IPS (Intrusion Prevention System) ❖ Es un dispositivo o aplicación que analiza paquetes completos, tanto cabeceras como payload en busca de eventos conocidos. ❖ Utiliza Firmas, Patrones de comportamientos, Políticas de seguridad ❖ Cuando se detecta un evento conocido se trata con una acción (drop, reject, alert, pass) IDS (Intrusion Detection System) ❖ Es un dispositivo o aplicación que analiza paquetes completos, tanto cabeceras como and payload, en busca de eventos conocidos. ❖ Cuando se detecta un evento se genera un mensaje de log.
Suricata
Suricata - Qué es? Suricata: ❖ Es un IDS / IPS ❖ Gratuito, Open Source, rápido y robusto. ❖ Se puede descargar desde: https://suricata-ids.org/ ❖ Puede trabajar en conjunto con RouterOS para detectar intrusos o ciertos tipos de ataques RED Interna / ISP Internet
Suricata - Instalación La instalación de Suricata puede ser a través de su código fuente o con los pre empaquetados del SO ❖ Debian: apt-get install suricata. ❖ Fuente: wget https://www.openinfosecfoundation.org/download/suricata-3.2.tar.gz tar -xvzf suricata-3.2.tar.gz ; cd suricata-3.2
 ./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var make make install make install-rules

Suricata - Configuración La configuración de Suricata se realiza en /etc/suricata/suricata.yaml Hay que definir: Las redes internas: HOME_NET:“[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]" Para que se ejecute al inicio init.d: RUN=yes Interface donde escuchará: IFACE=eth0 

Suricata - Integración con rOS Para que empiece a trabajar hay que redireccionar el tráfico desde el MikroTik RouterOS hacia Suricata Podemos realizarlo con: ❖ Port Mirror (Switch) ❖ Packet Sniffer (Tool Packet Sniffer) ❖ Mangle (Sniff TZSP)
Suricata - Reportes Los logs estarán en /var/log/suricata
Suricata - Reportes Es posible integrarlo con otras Aplicaciones para un reporte mas “amigable” ELK (Elasticsearch, Logstash, Kibana)
Suricata - Herramientas Existen distribuciones listas para utilizar: • SmoothSec = Ubuntu + Suricata + Snorby Disponible en: http://bailey.st/blog/smooth-sec/
 • SELKS (Live CD - Open Source IDS/IPS basado en Debian) bajo GPLv3 por Stamus Networks SELKS tiene los siguientes componentes: • S - Suricata - http://suricata-ids.org/ • E - Elasticsearch - http://www.elasticsearch.org/overview/ • L - Logstash - http://www.elasticsearch.org/overview/ • K - Kibana - http://www.elasticsearch.org/overview/ • S - Scirius - https://github.com/StamusNetworks/scirius • EveBox - https://codemonkey.net/evebox/ • Disponible en https://github.com/StamusNetworks/SELKS
Suricata - Herramientas • SELKS
FastNetMon
FastNetMon - Qué es? FastNetMon: ❖ Herramienta para detectar DDoS en 2 segundos ❖ Gratuito, Open Source, Colaborativo ❖ Soporte para BGP4 y BGP flow spec (RFC 5575) ❖ Soporta NetFlow v5, v9, IPFIX, sFlow v4, v5, Port Mirror/SPAN ❖ Al detectar un ataque, permite mandar el IP atacado a BlackHole RED Interna / ISP Internet
FastNetMon - Qué es? Ataques que puede detectar: •syn_flood: TCP packets with enabled SYN flag •udp_flood: flood with UDP packets •icmp flood: flood with ICMP packets •ip_fragmentation_flood: IP packets with MF flag set or with non zero fragment offset •DNS, NTP, SSDP, SNMP amplification
 Dispone de agregados adicionales: •MikroTik RouterOS, A10 Networks •Slack, Python, Bash
FastNetMon - Instalación •Para instalarlo bajo Debian / CentOS: wget https://raw.githubusercontent.com/pavel-odintsov/fastnetmon/ master/src/fastnetmon_install.pl -Ofastnetmon_install.pl sudo perl fastnetmon_install.pl
 •Configurar las redes locales en /etc/networks_list
 •Configurar lista de IP whitelist en /etc/networks_whitelist
 •Se ejecuta iniciando /opt/fastnetmon/fastnetmon
 •Logs son guardados en /var/log/fastnetmon.log
FastNetMon - Integración con rOS •Para integrarlo con MikroTik RouterOS es necesario configurar NetFlow, IPFIX o Port Mirror
FastNetMon - Cliente •Ejecutando el cliente podemos ver como trabaja 
 /opt/fastnetmon/fastnetmon_client
FastNetMon - Acción Una vez detectado un ataque es posible:
 •Ejecutar un script personalizado (enviar correo, aplicar reglas de ACL, etc) •Blackhole en tabla de ruteo (script MikroTik) •Anuncio BGP (comunidad, blackhole, cloud mitigation) •BGP Flow spec (bloquear un tipo de tráfico selectivo) •Guardar un muestreo del ataque para luego investigarlo (tcpdump durante el ataque)
FastNetMon - Reportes Es posible utilizar herramientas adicionales para un reporte mas “amigable” Grafana - http://github.com/grafana/grafana
Referencias Sitios y bibliografia utilizada: • Suricata: https://suricata-ids.org/ • FastNetMon: https://fastnetmon.com/
 Presentaciones MUMs: •Distributed Denial of Service Attacks Detection and Mitigation - 
 Wardner Maia - MUM Slovenia 16 http://mum.mikrotik.com/presentations/EU16/presentation_2960_1456752556.pdf •Mikrotik y Suricata - 
 José M. Román - MUM España 16 http://mum.mikrotik.com/presentations/ES16/presentation_3746_1476679132.pdf •Securing your Mikrotik Network 
 AndrewThrift - MUM Australia 2012 http://mum.mikrotik.com/presentations/AU12/2_andrew.pdf
MikroTik User Meeting ¿Preguntas?
 MUCHAS GRACIAS! Maximiliano Dobladez MKE Solutions info@mkesolutions.net - http://www.mkesolutions.net
 http://maxid.com.ar
 http://twitter.com/mdobladez

Recomendados

10 palo alto nat policy concepts
10 palo alto nat policy concepts10 palo alto nat policy concepts
10 palo alto nat policy conceptsMostafa El Lathy
 
FortiGate Firewall How-To: WEB Filtering
FortiGate Firewall How-To: WEB FilteringFortiGate Firewall How-To: WEB Filtering
FortiGate Firewall How-To: WEB FilteringIPMAX s.r.l.
 
7 palo alto security zones & interfaces concepts
7 palo alto security zones & interfaces concepts7 palo alto security zones & interfaces concepts
7 palo alto security zones & interfaces conceptsMostafa El Lathy
 
OSPF- Multi area
OSPF- Multi area OSPF- Multi area
OSPF- Multi area Ahmed Ali
 
Arista: DevOps for Network Engineers
Arista: DevOps for Network EngineersArista: DevOps for Network Engineers
Arista: DevOps for Network EngineersPhilip DiLeo
 
Ericsson NFVi solution
Ericsson NFVi solutionEricsson NFVi solution
Ericsson NFVi solutionEricsson
 
TechWiseTV Workshop: Software-Defined Access
TechWiseTV Workshop: Software-Defined AccessTechWiseTV Workshop: Software-Defined Access
TechWiseTV Workshop: Software-Defined AccessRobb Boyd
 
IPV6 - IPV4
IPV6 - IPV4 IPV6 - IPV4
IPV6 - IPV4 Ale OH
 

Recomendados

10 palo alto nat policy concepts
10 palo alto nat policy concepts10 palo alto nat policy concepts
10 palo alto nat policy conceptsMostafa El Lathy
 
FortiGate Firewall How-To: WEB Filtering
FortiGate Firewall How-To: WEB FilteringFortiGate Firewall How-To: WEB Filtering
FortiGate Firewall How-To: WEB FilteringIPMAX s.r.l.
 
7 palo alto security zones & interfaces concepts
7 palo alto security zones & interfaces concepts7 palo alto security zones & interfaces concepts
7 palo alto security zones & interfaces conceptsMostafa El Lathy
 
OSPF- Multi area
OSPF- Multi area OSPF- Multi area
OSPF- Multi area Ahmed Ali
 
Arista: DevOps for Network Engineers
Arista: DevOps for Network EngineersArista: DevOps for Network Engineers
Arista: DevOps for Network EngineersPhilip DiLeo
 
Ericsson NFVi solution
Ericsson NFVi solutionEricsson NFVi solution
Ericsson NFVi solutionEricsson
 
TechWiseTV Workshop: Software-Defined Access
TechWiseTV Workshop: Software-Defined AccessTechWiseTV Workshop: Software-Defined Access
TechWiseTV Workshop: Software-Defined AccessRobb Boyd
 
IPV6 - IPV4
IPV6 - IPV4 IPV6 - IPV4
IPV6 - IPV4 Ale OH
 
1. Network Fundamental.pptx
1. Network Fundamental.pptx1. Network Fundamental.pptx
1. Network Fundamental.pptxAgusNursidik
 
Palo alto-review
Palo alto-reviewPalo alto-review
Palo alto-reviewRayan Darine
 
8 palo alto security policy concepts
8 palo alto security policy concepts8 palo alto security policy concepts
8 palo alto security policy conceptsMostafa El Lathy
 
ACI Hands-on Lab
ACI Hands-on LabACI Hands-on Lab
ACI Hands-on LabCisco Canada
 
4 palo alto licenses
4 palo alto licenses4 palo alto licenses
4 palo alto licensesMostafa El Lathy
 
13 palo alto url web filtering concept
13 palo alto url web filtering concept13 palo alto url web filtering concept
13 palo alto url web filtering conceptMostafa El Lathy
 
Cisco Identity Services Engine (ISE)
Cisco Identity Services Engine (ISE)Cisco Identity Services Engine (ISE)
Cisco Identity Services Engine (ISE)Anwesh Dixit
 
16 palo alto ssl decryption policy concept
16 palo alto ssl decryption policy concept16 palo alto ssl decryption policy concept
16 palo alto ssl decryption policy conceptMostafa El Lathy
 
MPLS Deployment Chapter 1 - Basic
MPLS Deployment Chapter 1 - BasicMPLS Deployment Chapter 1 - Basic
MPLS Deployment Chapter 1 - BasicEricsson
 
Carrier Ethernet
Carrier EthernetCarrier Ethernet
Carrier EthernetAzhar Khuwaja
 
Review of network diagram
Review of network diagramReview of network diagram
Review of network diagramSyed Ubaid Ali Jafri
 
Bandwidth control approach - Cisco vs Mikrotik on Multitenancy
Bandwidth control approach - Cisco vs Mikrotik on MultitenancyBandwidth control approach - Cisco vs Mikrotik on Multitenancy
Bandwidth control approach - Cisco vs Mikrotik on MultitenancyOlaf Reitmaier Veracierta
 
Prtg Network Monitor
Prtg Network MonitorPrtg Network Monitor
Prtg Network MonitorKavi International
 
Ccna
CcnaCcna
CcnaAdityaKumar1548
 
Session 1
Session 1Session 1
Session 1ahmed elmeghiny
 
Carrier Ethernet- MPLS
Carrier Ethernet- MPLSCarrier Ethernet- MPLS
Carrier Ethernet- MPLSJose Felix Moran Agusto
 
Firewall
FirewallFirewall
FirewallSaurabh Chauhan
 
CCNA Routing Protocols
CCNA Routing ProtocolsCCNA Routing Protocols
CCNA Routing ProtocolsDsunte Wilson
 
01- intro to firewall concepts
01- intro to firewall concepts01- intro to firewall concepts
01- intro to firewall conceptsMostafa El Lathy
 
Aci presentation
Aci presentationAci presentation
Aci presentationJoe Ryan
 
Conferencia Innovación en Técnicas de Ethical Hacking
Conferencia Innovación en Técnicas de Ethical HackingConferencia Innovación en Técnicas de Ethical Hacking
Conferencia Innovación en Técnicas de Ethical HackingHacking Bolivia
 
presentation_6358_1542737886.pdf
presentation_6358_1542737886.pdfpresentation_6358_1542737886.pdf
presentation_6358_1542737886.pdfWiaytelPeru
 

Más contenido relacionado

La actualidad más candente

1. Network Fundamental.pptx
1. Network Fundamental.pptx1. Network Fundamental.pptx
1. Network Fundamental.pptxAgusNursidik
 
8 palo alto security policy concepts
8 palo alto security policy concepts8 palo alto security policy concepts
8 palo alto security policy conceptsMostafa El Lathy
 
13 palo alto url web filtering concept
13 palo alto url web filtering concept13 palo alto url web filtering concept
13 palo alto url web filtering conceptMostafa El Lathy
 
Cisco Identity Services Engine (ISE)
Cisco Identity Services Engine (ISE)Cisco Identity Services Engine (ISE)
Cisco Identity Services Engine (ISE)Anwesh Dixit
 
16 palo alto ssl decryption policy concept
16 palo alto ssl decryption policy concept16 palo alto ssl decryption policy concept
16 palo alto ssl decryption policy conceptMostafa El Lathy
 
MPLS Deployment Chapter 1 - Basic
MPLS Deployment Chapter 1 - BasicMPLS Deployment Chapter 1 - Basic
MPLS Deployment Chapter 1 - BasicEricsson
 
Bandwidth control approach - Cisco vs Mikrotik on Multitenancy
Bandwidth control approach - Cisco vs Mikrotik on MultitenancyBandwidth control approach - Cisco vs Mikrotik on Multitenancy
Bandwidth control approach - Cisco vs Mikrotik on MultitenancyOlaf Reitmaier Veracierta
 
CCNA Routing Protocols
CCNA Routing ProtocolsCCNA Routing Protocols
CCNA Routing ProtocolsDsunte Wilson
 
01- intro to firewall concepts
01- intro to firewall concepts01- intro to firewall concepts
01- intro to firewall conceptsMostafa El Lathy
 
Aci presentation
Aci presentationAci presentation
Aci presentationJoe Ryan
 

La actualidad más candente (20)

1. Network Fundamental.pptx
1. Network Fundamental.pptx1. Network Fundamental.pptx
1. Network Fundamental.pptx
 
Palo alto-review
Palo alto-reviewPalo alto-review
Palo alto-review
 
8 palo alto security policy concepts
8 palo alto security policy concepts8 palo alto security policy concepts
8 palo alto security policy concepts
 
ACI Hands-on Lab
ACI Hands-on LabACI Hands-on Lab
ACI Hands-on Lab
 
4 palo alto licenses
4 palo alto licenses4 palo alto licenses
4 palo alto licenses
 
13 palo alto url web filtering concept
13 palo alto url web filtering concept13 palo alto url web filtering concept
13 palo alto url web filtering concept
 
Cisco Identity Services Engine (ISE)
Cisco Identity Services Engine (ISE)Cisco Identity Services Engine (ISE)
Cisco Identity Services Engine (ISE)
 
16 palo alto ssl decryption policy concept
16 palo alto ssl decryption policy concept16 palo alto ssl decryption policy concept
16 palo alto ssl decryption policy concept
 
MPLS Deployment Chapter 1 - Basic
MPLS Deployment Chapter 1 - BasicMPLS Deployment Chapter 1 - Basic
MPLS Deployment Chapter 1 - Basic
 
Carrier Ethernet
Carrier EthernetCarrier Ethernet
Carrier Ethernet
 
Review of network diagram
Review of network diagramReview of network diagram
Review of network diagram
 
Bandwidth control approach - Cisco vs Mikrotik on Multitenancy
Bandwidth control approach - Cisco vs Mikrotik on MultitenancyBandwidth control approach - Cisco vs Mikrotik on Multitenancy
Bandwidth control approach - Cisco vs Mikrotik on Multitenancy
 
Prtg Network Monitor
Prtg Network MonitorPrtg Network Monitor
Prtg Network Monitor
 
Ccna
CcnaCcna
Ccna
 
Session 1
Session 1Session 1
Session 1
 
Carrier Ethernet- MPLS
Carrier Ethernet- MPLSCarrier Ethernet- MPLS
Carrier Ethernet- MPLS
 
Firewall
FirewallFirewall
Firewall
 
CCNA Routing Protocols
CCNA Routing ProtocolsCCNA Routing Protocols
CCNA Routing Protocols
 
01- intro to firewall concepts
01- intro to firewall concepts01- intro to firewall concepts
01- intro to firewall concepts
 
Aci presentation
Aci presentationAci presentation
Aci presentation
 

Similar a Detectando DDoS e intrusiones con RouterOS

Conferencia Innovación en Técnicas de Ethical Hacking
Conferencia Innovación en Técnicas de Ethical HackingConferencia Innovación en Técnicas de Ethical Hacking
Conferencia Innovación en Técnicas de Ethical HackingHacking Bolivia
 
presentation_6358_1542737886.pdf
presentation_6358_1542737886.pdfpresentation_6358_1542737886.pdf
presentation_6358_1542737886.pdfWiaytelPeru
 
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)Cristian Garcia G.
 
WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)Cristian Garcia G.
 
Hack like a Pro with a custom gadgets - Taller BitUp 2018
Hack like a Pro with a custom gadgets - Taller BitUp 2018Hack like a Pro with a custom gadgets - Taller BitUp 2018
Hack like a Pro with a custom gadgets - Taller BitUp 2018Javier García Antón
 
Mikrotik RouterOs basics v0.3 español
Mikrotik RouterOs basics v0.3 españolMikrotik RouterOs basics v0.3 español
Mikrotik RouterOs basics v0.3 españolRod Hinojosa
 
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínCPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínWebsec México, S.C.
 
CONFIGURACIONES TECNICAS DE DE LOS CBIT TACHIRA
CONFIGURACIONES TECNICAS DE DE LOS CBIT TACHIRACONFIGURACIONES TECNICAS DE DE LOS CBIT TACHIRA
CONFIGURACIONES TECNICAS DE DE LOS CBIT TACHIRAPablo Contramaestre
 
Router os basicsv0 3espanol-mikrotik
Router os basicsv0 3espanol-mikrotikRouter os basicsv0 3espanol-mikrotik
Router os basicsv0 3espanol-mikrotikJulians Crystal
 
presentation_2730_1447416286 VPN.pdf
presentation_2730_1447416286 VPN.pdfpresentation_2730_1447416286 VPN.pdf
presentation_2730_1447416286 VPN.pdfssuser1c9c1c
 
Unidad III: Seguridad de las Redes
Unidad III: Seguridad de las RedesUnidad III: Seguridad de las Redes
Unidad III: Seguridad de las RedesOswaldoPolanco3
 
Servidor PXE de Instalaciones GNU/Linux
Servidor PXE de Instalaciones GNU/LinuxServidor PXE de Instalaciones GNU/Linux
Servidor PXE de Instalaciones GNU/Linuxfraterneo GNU/Linux
 
OpenVPN como solución de Redes Privadas Virtuales Corporativas
OpenVPN como solución de Redes Privadas Virtuales CorporativasOpenVPN como solución de Redes Privadas Virtuales Corporativas
OpenVPN como solución de Redes Privadas Virtuales CorporativasRommel León
 
MythTV Mediacenter on an IGEPv2
MythTV Mediacenter on an IGEPv2 MythTV Mediacenter on an IGEPv2
MythTV Mediacenter on an IGEPv2 marcoita
 
Fases de instalacion de un sistema operativo [jabbawockeez]
Fases de instalacion de un sistema operativo [jabbawockeez]Fases de instalacion de un sistema operativo [jabbawockeez]
Fases de instalacion de un sistema operativo [jabbawockeez]Reiber Gonzales
 
presentation_3341_1461569643.pdf
presentation_3341_1461569643.pdfpresentation_3341_1461569643.pdf
presentation_3341_1461569643.pdfBismarckBerrios2
 
Extendiendo la Seguridad de Elastix con Snort
Extendiendo la Seguridad de Elastix con SnortExtendiendo la Seguridad de Elastix con Snort
Extendiendo la Seguridad de Elastix con SnortJuan Oliva
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSPaloSanto Solutions
 

Similar a Detectando DDoS e intrusiones con RouterOS (20)

Conferencia Innovación en Técnicas de Ethical Hacking
Conferencia Innovación en Técnicas de Ethical HackingConferencia Innovación en Técnicas de Ethical Hacking
Conferencia Innovación en Técnicas de Ethical Hacking
 
presentation_6358_1542737886.pdf
presentation_6358_1542737886.pdfpresentation_6358_1542737886.pdf
presentation_6358_1542737886.pdf
 
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
 
WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)
 
Hack like a Pro with a custom gadgets - Taller BitUp 2018
Hack like a Pro with a custom gadgets - Taller BitUp 2018Hack like a Pro with a custom gadgets - Taller BitUp 2018
Hack like a Pro with a custom gadgets - Taller BitUp 2018
 
Mikrotik RouterOs basics v0.3 español
Mikrotik RouterOs basics v0.3 españolMikrotik RouterOs basics v0.3 español
Mikrotik RouterOs basics v0.3 español
 
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínCPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
 
CONFIGURACIONES TECNICAS DE DE LOS CBIT TACHIRA
CONFIGURACIONES TECNICAS DE DE LOS CBIT TACHIRACONFIGURACIONES TECNICAS DE DE LOS CBIT TACHIRA
CONFIGURACIONES TECNICAS DE DE LOS CBIT TACHIRA
 
Router os basicsv0 3espanol-mikrotik
Router os basicsv0 3espanol-mikrotikRouter os basicsv0 3espanol-mikrotik
Router os basicsv0 3espanol-mikrotik
 
presentation_2730_1447416286 VPN.pdf
presentation_2730_1447416286 VPN.pdfpresentation_2730_1447416286 VPN.pdf
presentation_2730_1447416286 VPN.pdf
 
Unidad III: Seguridad de las Redes
Unidad III: Seguridad de las RedesUnidad III: Seguridad de las Redes
Unidad III: Seguridad de las Redes
 
Servidor PXE de Instalaciones GNU/Linux
Servidor PXE de Instalaciones GNU/LinuxServidor PXE de Instalaciones GNU/Linux
Servidor PXE de Instalaciones GNU/Linux
 
OpenVPN como solución de Redes Privadas Virtuales Corporativas
OpenVPN como solución de Redes Privadas Virtuales CorporativasOpenVPN como solución de Redes Privadas Virtuales Corporativas
OpenVPN como solución de Redes Privadas Virtuales Corporativas
 
Configuración 01
Configuración 01Configuración 01
Configuración 01
 
MythTV Mediacenter on an IGEPv2
MythTV Mediacenter on an IGEPv2 MythTV Mediacenter on an IGEPv2
MythTV Mediacenter on an IGEPv2
 
Fases de instalacion de un sistema operativo [jabbawockeez]
Fases de instalacion de un sistema operativo [jabbawockeez]Fases de instalacion de un sistema operativo [jabbawockeez]
Fases de instalacion de un sistema operativo [jabbawockeez]
 
presentation_3341_1461569643.pdf
presentation_3341_1461569643.pdfpresentation_3341_1461569643.pdf
presentation_3341_1461569643.pdf
 
Extendiendo la Seguridad de Elastix con Snort
Extendiendo la Seguridad de Elastix con SnortExtendiendo la Seguridad de Elastix con Snort
Extendiendo la Seguridad de Elastix con Snort
 
Manual mikro tik-2015
Manual mikro tik-2015Manual mikro tik-2015
Manual mikro tik-2015
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPS
 

Más de Pavel Odintsov

DDoS Challenges in IPv6 environment
DDoS Challenges in IPv6 environmentDDoS Challenges in IPv6 environment
DDoS Challenges in IPv6 environmentPavel Odintsov
 
Network telemetry for DDoS detection presentation
Network telemetry for DDoS detection presentationNetwork telemetry for DDoS detection presentation
Network telemetry for DDoS detection presentationPavel Odintsov
 
BGP FlowSpec experience and future developments
BGP FlowSpec experience and future developmentsBGP FlowSpec experience and future developments
BGP FlowSpec experience and future developmentsPavel Odintsov
 
Using MikroTik routers for BGP transit and IX points
Using MikroTik routers for BGP transit and IX points Using MikroTik routers for BGP transit and IX points
Using MikroTik routers for BGP transit and IX points Pavel Odintsov
 
VietTel AntiDDoS Volume Based
VietTel AntiDDoS Volume BasedVietTel AntiDDoS Volume Based
VietTel AntiDDoS Volume BasedPavel Odintsov
 
DDoS Defense Mechanisms for IXP Infrastructures
DDoS Defense Mechanisms for IXP InfrastructuresDDoS Defense Mechanisms for IXP Infrastructures
DDoS Defense Mechanisms for IXP InfrastructuresPavel Odintsov
 
FastNetMon Advanced DDoS detection tool
FastNetMon Advanced DDoS detection toolFastNetMon Advanced DDoS detection tool
FastNetMon Advanced DDoS detection toolPavel Odintsov
 
Flowspec contre les attaques DDoS : l'expérience danoise
Flowspec contre les attaques DDoS : l'expérience danoiseFlowspec contre les attaques DDoS : l'expérience danoise
Flowspec contre les attaques DDoS : l'expérience danoisePavel Odintsov
 
DeiC DDoS Prevention System - DDPS
DeiC DDoS Prevention System - DDPSDeiC DDoS Prevention System - DDPS
DeiC DDoS Prevention System - DDPSPavel Odintsov
 
Lekker weer nlnog_nlnog_ddos_fl
Lekker weer nlnog_nlnog_ddos_flLekker weer nlnog_nlnog_ddos_fl
Lekker weer nlnog_nlnog_ddos_flPavel Odintsov
 
Lekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routersLekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routersPavel Odintsov
 
Implementing BGP Flowspec at IP transit network
Implementing BGP Flowspec at IP transit networkImplementing BGP Flowspec at IP transit network
Implementing BGP Flowspec at IP transit networkPavel Odintsov
 
Janog 39: speech about FastNetMon by Yutaka Ishizaki
Janog 39: speech about FastNetMon by Yutaka IshizakiJanog 39: speech about FastNetMon by Yutaka Ishizaki
Janog 39: speech about FastNetMon by Yutaka IshizakiPavel Odintsov
 
Protect your edge BGP security made simple
Protect your edge BGP security made simpleProtect your edge BGP security made simple
Protect your edge BGP security made simplePavel Odintsov
 
Keeping your rack cool
Keeping your rack cool Keeping your rack cool
Keeping your rack cool Pavel Odintsov
 
Detecting and mitigating DDoS ZenDesk by Vicente De Luca
Detecting and mitigating DDoS ZenDesk by Vicente De LucaDetecting and mitigating DDoS ZenDesk by Vicente De Luca
Detecting and mitigating DDoS ZenDesk by Vicente De LucaPavel Odintsov
 
Blackholing from a_providers_perspektive_theo_voss
Blackholing from a_providers_perspektive_theo_vossBlackholing from a_providers_perspektive_theo_voss
Blackholing from a_providers_perspektive_theo_vossPavel Odintsov
 
DDoS detection at small ISP by Wardner Maia
DDoS detection at small ISP by Wardner MaiaDDoS detection at small ISP by Wardner Maia
DDoS detection at small ISP by Wardner MaiaPavel Odintsov
 

Más de Pavel Odintsov (20)

DDoS Challenges in IPv6 environment
DDoS Challenges in IPv6 environmentDDoS Challenges in IPv6 environment
DDoS Challenges in IPv6 environment
 
Network telemetry for DDoS detection presentation
Network telemetry for DDoS detection presentationNetwork telemetry for DDoS detection presentation
Network telemetry for DDoS detection presentation
 
BGP FlowSpec experience and future developments
BGP FlowSpec experience and future developmentsBGP FlowSpec experience and future developments
BGP FlowSpec experience and future developments
 
Using MikroTik routers for BGP transit and IX points
Using MikroTik routers for BGP transit and IX points Using MikroTik routers for BGP transit and IX points
Using MikroTik routers for BGP transit and IX points
 
VietTel AntiDDoS Volume Based
VietTel AntiDDoS Volume BasedVietTel AntiDDoS Volume Based
VietTel AntiDDoS Volume Based
 
DDoS Defense Mechanisms for IXP Infrastructures
DDoS Defense Mechanisms for IXP InfrastructuresDDoS Defense Mechanisms for IXP Infrastructures
DDoS Defense Mechanisms for IXP Infrastructures
 
FastNetMon Advanced DDoS detection tool
FastNetMon Advanced DDoS detection toolFastNetMon Advanced DDoS detection tool
FastNetMon Advanced DDoS detection tool
 
Flowspec contre les attaques DDoS : l'expérience danoise
Flowspec contre les attaques DDoS : l'expérience danoiseFlowspec contre les attaques DDoS : l'expérience danoise
Flowspec contre les attaques DDoS : l'expérience danoise
 
DeiC DDoS Prevention System - DDPS
DeiC DDoS Prevention System - DDPSDeiC DDoS Prevention System - DDPS
DeiC DDoS Prevention System - DDPS
 
Lekker weer nlnog_nlnog_ddos_fl
Lekker weer nlnog_nlnog_ddos_flLekker weer nlnog_nlnog_ddos_fl
Lekker weer nlnog_nlnog_ddos_fl
 
Lekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routersLekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routers
 
Implementing BGP Flowspec at IP transit network
Implementing BGP Flowspec at IP transit networkImplementing BGP Flowspec at IP transit network
Implementing BGP Flowspec at IP transit network
 
Janog 39: speech about FastNetMon by Yutaka Ishizaki
Janog 39: speech about FastNetMon by Yutaka IshizakiJanog 39: speech about FastNetMon by Yutaka Ishizaki
Janog 39: speech about FastNetMon by Yutaka Ishizaki
 
Protect your edge BGP security made simple
Protect your edge BGP security made simpleProtect your edge BGP security made simple
Protect your edge BGP security made simple
 
Keeping your rack cool
Keeping your rack cool Keeping your rack cool
Keeping your rack cool
 
Jon Nield FastNetMon
Jon Nield FastNetMonJon Nield FastNetMon
Jon Nield FastNetMon
 
Detecting and mitigating DDoS ZenDesk by Vicente De Luca
Detecting and mitigating DDoS ZenDesk by Vicente De LucaDetecting and mitigating DDoS ZenDesk by Vicente De Luca
Detecting and mitigating DDoS ZenDesk by Vicente De Luca
 
Blackholing from a_providers_perspektive_theo_voss
Blackholing from a_providers_perspektive_theo_vossBlackholing from a_providers_perspektive_theo_voss
Blackholing from a_providers_perspektive_theo_voss
 
SIG-NOC Tools Survey
SIG-NOC Tools SurveySIG-NOC Tools Survey
SIG-NOC Tools Survey
 
DDoS detection at small ISP by Wardner Maia
DDoS detection at small ISP by Wardner MaiaDDoS detection at small ISP by Wardner Maia
DDoS detection at small ISP by Wardner Maia
 

Último

definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...Luis Olivera
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 

Último (20)

definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 

Detectando DDoS e intrusiones con RouterOS

  • 1. MikroTik User Meeting Detectando DDoS e intrusiones con RouterOS 20 de Enero de 2017 Ciudad de Guatemala Guatemala Por: Maximiliano Dobladez MKE Solutions
  • 2. Presentación Personal ❖ Nombre: Maximiliano Dobladez ❖ CEO MKE Solutions ❖ Consultor y Entrenador MikroTik RouterOS ❖ Experiencia con MikroTik RouterOS desde 1999 ❖ Entrenador desde 2006 ❖ - info@mkesolutions.net - mdobladez - @mdobladez
  • 3. MKE Solutions ❖ Consultora enTelecomunicaciones ❖ Establecida en 2008 ❖ Certificada en ISO 9001:2015 ❖ Entrenamientos Oficiales ❖ Soporte IT info@mkesolutions.net /mkesolutions @mkesolutions /mkesolutions
  • 4. Entrenamientos Oficiales ❖ Certificaciones Disponibles ❖ Entrenamientos Públicos y Privados. ❖ ~300 alumnos por año, con un 75% de certificados.
  • 5. Soporte IT ❖ Diseño, desarrollo e implementación de soluciones. ❖ Incidencias puntuales. ❖ Soporte mensual (OutSourcing). ❖ Revisión y Optimización ❖ Actualización ❖ Mantenimiento preventivo ❖ Monitoreo ❖ Asesoramiento ❖ Soporte Prioritario ❖ Guardia 24x7 ❖ Implementaciones Adicionales
  • 6. Agenda Desarrollo de la presentación: ❖ IDS / IPS / DDoS ❖ Suricata: qué es?, cómo funciona? cómo se instala? ❖ FastNetMon: qué es?, cómo funciona? cómo se instala? ❖ Integración con RouterOS ❖ Recursos y bibliografía
  • 7. IDS / IPS IPS (Intrusion Prevention System) ❖ Es un dispositivo o aplicación que analiza paquetes completos, tanto cabeceras como payload en busca de eventos conocidos. ❖ Utiliza Firmas, Patrones de comportamientos, Políticas de seguridad ❖ Cuando se detecta un evento conocido se trata con una acción (drop, reject, alert, pass) IDS (Intrusion Detection System) ❖ Es un dispositivo o aplicación que analiza paquetes completos, tanto cabeceras como and payload, en busca de eventos conocidos. ❖ Cuando se detecta un evento se genera un mensaje de log.
  • 9. Suricata - Qué es? Suricata: ❖ Es un IDS / IPS ❖ Gratuito, Open Source, rápido y robusto. ❖ Se puede descargar desde: https://suricata-ids.org/ ❖ Puede trabajar en conjunto con RouterOS para detectar intrusos o ciertos tipos de ataques RED Interna / ISP Internet
  • 10. Suricata - Instalación La instalación de Suricata puede ser a través de su código fuente o con los pre empaquetados del SO ❖ Debian: apt-get install suricata. ❖ Fuente: wget https://www.openinfosecfoundation.org/download/suricata-3.2.tar.gz tar -xvzf suricata-3.2.tar.gz ; cd suricata-3.2
 ./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var make make install make install-rules

  • 11. Suricata - Configuración La configuración de Suricata se realiza en /etc/suricata/suricata.yaml Hay que definir: Las redes internas: HOME_NET:“[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]" Para que se ejecute al inicio init.d: RUN=yes Interface donde escuchará: IFACE=eth0 

  • 12. Suricata - Integración con rOS Para que empiece a trabajar hay que redireccionar el tráfico desde el MikroTik RouterOS hacia Suricata Podemos realizarlo con: ❖ Port Mirror (Switch) ❖ Packet Sniffer (Tool Packet Sniffer) ❖ Mangle (Sniff TZSP)
  • 13. Suricata - Reportes Los logs estarán en /var/log/suricata
  • 14. Suricata - Reportes Es posible integrarlo con otras Aplicaciones para un reporte mas “amigable” ELK (Elasticsearch, Logstash, Kibana)
  • 15. Suricata - Herramientas Existen distribuciones listas para utilizar: • SmoothSec = Ubuntu + Suricata + Snorby Disponible en: http://bailey.st/blog/smooth-sec/
 • SELKS (Live CD - Open Source IDS/IPS basado en Debian) bajo GPLv3 por Stamus Networks SELKS tiene los siguientes componentes: • S - Suricata - http://suricata-ids.org/ • E - Elasticsearch - http://www.elasticsearch.org/overview/ • L - Logstash - http://www.elasticsearch.org/overview/ • K - Kibana - http://www.elasticsearch.org/overview/ • S - Scirius - https://github.com/StamusNetworks/scirius • EveBox - https://codemonkey.net/evebox/ • Disponible en https://github.com/StamusNetworks/SELKS
  • 18. FastNetMon - Qué es? FastNetMon: ❖ Herramienta para detectar DDoS en 2 segundos ❖ Gratuito, Open Source, Colaborativo ❖ Soporte para BGP4 y BGP flow spec (RFC 5575) ❖ Soporta NetFlow v5, v9, IPFIX, sFlow v4, v5, Port Mirror/SPAN ❖ Al detectar un ataque, permite mandar el IP atacado a BlackHole RED Interna / ISP Internet
  • 19. FastNetMon - Qué es? Ataques que puede detectar: •syn_flood: TCP packets with enabled SYN flag •udp_flood: flood with UDP packets •icmp flood: flood with ICMP packets •ip_fragmentation_flood: IP packets with MF flag set or with non zero fragment offset •DNS, NTP, SSDP, SNMP amplification
 Dispone de agregados adicionales: •MikroTik RouterOS, A10 Networks •Slack, Python, Bash
  • 20. FastNetMon - Instalación •Para instalarlo bajo Debian / CentOS: wget https://raw.githubusercontent.com/pavel-odintsov/fastnetmon/ master/src/fastnetmon_install.pl -Ofastnetmon_install.pl sudo perl fastnetmon_install.pl
 •Configurar las redes locales en /etc/networks_list
 •Configurar lista de IP whitelist en /etc/networks_whitelist
 •Se ejecuta iniciando /opt/fastnetmon/fastnetmon
 •Logs son guardados en /var/log/fastnetmon.log
  • 21. FastNetMon - Integración con rOS •Para integrarlo con MikroTik RouterOS es necesario configurar NetFlow, IPFIX o Port Mirror
  • 22. FastNetMon - Cliente •Ejecutando el cliente podemos ver como trabaja 
 /opt/fastnetmon/fastnetmon_client
  • 23. FastNetMon - Acción Una vez detectado un ataque es posible:
 •Ejecutar un script personalizado (enviar correo, aplicar reglas de ACL, etc) •Blackhole en tabla de ruteo (script MikroTik) •Anuncio BGP (comunidad, blackhole, cloud mitigation) •BGP Flow spec (bloquear un tipo de tráfico selectivo) •Guardar un muestreo del ataque para luego investigarlo (tcpdump durante el ataque)
  • 24. FastNetMon - Reportes Es posible utilizar herramientas adicionales para un reporte mas “amigable” Grafana - http://github.com/grafana/grafana
  • 25. Referencias Sitios y bibliografia utilizada: • Suricata: https://suricata-ids.org/ • FastNetMon: https://fastnetmon.com/
 Presentaciones MUMs: •Distributed Denial of Service Attacks Detection and Mitigation - 
 Wardner Maia - MUM Slovenia 16 http://mum.mikrotik.com/presentations/EU16/presentation_2960_1456752556.pdf •Mikrotik y Suricata - 
 José M. Román - MUM España 16 http://mum.mikrotik.com/presentations/ES16/presentation_3746_1476679132.pdf •Securing your Mikrotik Network 
 AndrewThrift - MUM Australia 2012 http://mum.mikrotik.com/presentations/AU12/2_andrew.pdf
  • 26. MikroTik User Meeting ¿Preguntas?
 MUCHAS GRACIAS! Maximiliano Dobladez MKE Solutions info@mkesolutions.net - http://www.mkesolutions.net
 http://maxid.com.ar
 http://twitter.com/mdobladez