[ZIMBRA] Protegernos contra ataques DoS postfix AUTH

En un cliente tuvimos problemas ataques varios contra el servidor de correo Zimbra, aparte de problemas por weak passwords (decisiones gerenciales) y la costumbre de poner «123456» y «qwaszx12» que se rompen por diccionario fácilmente.

Luego de que tomaran conciencia de esto y mejorar mucho el manejo de claves igualmente seguimos sufriendo ataques constantes.

Usamos entre otras cosas fail2ban junto a zimbra desde hace algún tiempo ( [ZIMBRA] ENFRENTANDO EL SPAM CON FAIL2BAN )

Ultimamente aumentaron los ataques contra postfix y las reglas del fail2ban que usabamos no las filtraban

En el log se los ve así :

Apr 6 06:30:49 mail postfix/smtpd[00000]: connect from unknown[151.237.190.118]
Apr 6 06:30:49 mail postfix/smtpd[00000]: lost connection after AUTH from unknown[151.237.190.118]

Así que creamos las siguientes reglas en el fail2ban

1: Agregar esto al final de /etc/fail2ban/jail.local

[zimbra-auth-dos]
enabled = true
filter = zimbra-auth-dos
action =iptables-allports[name=Zimbra-auth-DoS]
logpath = /var/log/zimbra.log
ban= 600
retry=5

2: Crear el filtro /etc/fail2ban/filter.d/zimbra-auth-dos.conf

[Definition]
failregex = lost connection after AUTH from (.*)\[<HOST>\]
ignoreregex =

3: Reiniciar fail2ban y luego de 5 intentos los bloqueamos por 600s

 

 

Respaldo automático a disco USB

Si tenemos algun server o nuestro desktop de vez en cuando viene bien respaldarlo en un disco externo.

Una opcion facil y barata ( si no te dan $$$ para hacerlo como deberías) es usar un disco USB y que el respaldo se ejecute al conectarlo al puerto USB/Firewire.

Si bien no voy a explicar cómo encriptar los datos, esto sería deseable!!

Que necesitamos: GNU/Linux ( Debian/Ubuntu), Rsync, disco USB/FireWire

1: Setear udev

# dmesg
[ 1164.319347] scsi 8:0:0:0: Direct-Access TOSHIBA External USB 3.0 5438 PQ: 0 ANSI: 6
[ 1164.319746] sd 8:0:0:0: Attached scsi generic sg3 type 0
[ 1164.321741] sd 8:0:0:0: [sdc] 1953525164 512-byte logical blocks: (1.00 TB/931 GiB)
[ 1164.323140] sd 8:0:0:0: [sdc] Write Protect is off
[ 1164.323145] sd 8:0:0:0: [sdc] Mode Sense: 23 00 00 00
[ 1164.324014] sd 8:0:0:0: [sdc] Write cache: enabled, read cache: enabled, doesn't support DPO or FUA
[ 1164.333037] sdc: sdc1
[ 1164.366188] sd 8:0:0:0: [sdc] Attached SCSI disk

Vemos que el disco que conectamos, ahora vamos a obtener la data para configurar el udev

# udevadm info -a -p $(udevadm info -q path -n /dev/sdc)
KERNELS=="8:0:0:0"
SUBSYSTEMS=="scsi"
DRIVERS=="sd"
ATTRS{model}=="External USB 3.0"
ATTRS{state}=="running"
ATTRS{vendor}=="TOSHIBA "

De todo los datos que nos larga, nos interesan esos 3 para que udev reconozca el disco al conectarlo, se pueden usar otros como el idVendor.

Ahora creamos un archivo en /etc/udev/rules.d con el nombre 50-backup2usb.rules, las reglas de usuario deben ser empiezan por 50.

# UDEV rules para respaldo automatico al conectar disco.
#   udevinfo -a -p $(udevinfo -q path -n /dev/sda)
KERNEL=="sd?1", ACTION=="add", SUBSYSTEMS=="scsi", ATTRS{vendor}=="TOSHIBA", ATTRS{model}=="External USB 3.0", RUN+="/path/script/respaldo2usb.sh %k"
4/11/16 cambio el driver luego de un update
KERNEL=="sd?1", ACTION=="add", SUBSYSTEMS=="usb", DRIVER=="usb", ATTRS{vendor}=="TOSHIBA", ATTRS{model}=="External USB 3.0", RUN+="/path/script/respaldo2usb.sh %k"

Esto funciona así:

Cuando el kernel encuentra un disco sd?1 ( unica particion de tu disco USB) y está conectado en el subsystem SCSI y la marca es TOSHIBA y el modelo es «External USB 3.0»

entonces corre el script backup2usb.sh, el parámetro %k le pasa al script que el disco/partición es sdc1 ( si lo corres a mano al script debes agregarlo al final)

2: Bajar script y corregir paths

El script está disponible en: https://github.com/cristianmenghi/usbbackup

3: Testearlo

Espero que te sirva como a mi.

 

Shodan Creepy Stuff

Con un tiempo libre, me puse a jugar con Shodan y las cosas que puedes encontrar son interesantes ( como la cantidad de equipos afectados por DROWN en Uruguay)

Acá no estamos libres, me he encontrado con varias cosas de este tipo, algunas de reconocidas empresas de sistemas, es evidente la falta de cultura en seguridad de sistemas.

Algunos ejemplos:

Algo por china
Algo por China
en Singapure puntuas el toilet
en Singapure puntuas el toilet
Scada Analogico.
clock
Sera para el work from home?
creepy webcam
creepy webcam
creepy webcam
creepy webcam
monitoreo remoto
monitoreo remoto
algun scada ruso
algun scada ruso
scada noruego
scada noruego
planilla polaca
planilla polaca
login de la tienda
login de la tienda
Scada Turco
Scada Turco

 

 

[Zimbra] Deshabilitar IM

Para un cliente, en el cual corremos Zimbra desde hace muchos años surgió la necesidad de deshabilitar el IM para algunos usuarios, surge por el problema de la distracción de sus tareas al tenerlo habilitado.

Las formas para hacerlo, funciona en versiones 7.x o anteriores es y desde consola:

Para todo el dominio/COS especifico:

zmprov mc default zimbraFeatureIMEnabled FALSE
zmprov mc default zimbraFeatureInstantNotify FALSE
zmprov mc default zimbraPrefIMAutoLogin FALSE

Para un usuario especifico:

zmprov ma [email protected] zimbraFeatureIMEnabled FALSE
zmprov ma [email protected] zimbraFeatureInstantNotify FALSE
zmprov ma [email protected] zimbraPrefIMAutoLogin FALSE
Gracias Zimbra 😉

Pizza as a Service

SAP publico un excelente gráfico realizado por un  Software Architect de IBM donde se presenta la analogía de los servicios en la nube como si de una Pizza se tratara, me pareció excelente esta explicación, sobre todo cuando estamos con una persona ajena a IT y debemos explicar que es cada cosa y donde quedan sus datos.

Me tome el atrevimiento de traducirlo, estuve tentado de hacer el ejemplo mas rio-platense ( Asado as a Service).

Pizza as a Service
Pizza as a Service

 

xaaS
xaaS

Protección contra el SCAM

Esta es una pequeña guía para evitar se víctima de un ataque basado en Ingeniería Social mediante uso del correo electrónico, pero no limitado a este. Los comentarios son bienvenidos.

Evite el uso de servidores de correo gratuito (Outlook, Gmail,Adinet,etc ) Estos están bien para un uso “domestico” pero no para una empresa. Establezca un dominio corporativo y que ese sea el canal de comunicación oficial de su organización.

Tenga cuidado con lo que publica en las redes sociales, incluso en su web institucional, sobre todo información especifica sobre una tarea/trabajo, información jerárquica detallada o simples “out-of-the-office” la ingeniería social hace uso intensivo de muchas fuentes de información y realiza inteligencia sobre la misma.

Desconfíe de solicitudes de confidencialidad/reserva o de realizar algún tipo de operación con mas celeridad de lo normal, sobre todo si esta operación es fuera de lo común.

Considere otras medidas de seguridad adicionales tanto a nivel de IT, Financieras o de autenticación/autorización. Incluya métodos de autenticación/autorización complementarios.
Tenga cuidado con los cambios bruscos en las prácticas organizacionales, si un cliente/socio pide de repente ser contactado a través de su dirección de correo electrónico personal cuando todo el intercambio se a realizado a travez de el correo corporativo, esta solicitud podría ser fraudulenta. Siempre verifique por otros canales que posea con su cliente/socio antes de realizar algún tipo de operación que sea fuera de lo normal.

Establecer otros canales de comunicación, tales como llamadas telefónicas/Videoconferencia, para verificar las operaciones delicadas y sensibles.
Trate de implementar otro método de autenticación para las operaciones fuera del correo electrónico.

Uso de Firmas electrónicas: Ambas lados de una transacción deberían utilizar firmas electrónica, estas pueden ser usadas para firmar o encriptar la información. Sin embargo, esto no funciona con muchos servicios de correo electrónico basados en la web.

Eliminar Spam: Tratar de eliminar inmediatamente correo electrónico no deseado (spam).
NO abra el correo electrónico no deseado (SPAM).
NO haga clic en los enlaces o abra archivos adjuntos de estos correos, a menudo contienen malware que podrían facilitar el acceso a sus sistemas o ser víctima de algún tipo de ataque.

Reenviar vs. Responder:
Es deseable que no utilice la opción «Responder» para responder a todos los correos electrónicos empresariales que puedan ser sensibles o tenga dudas sobre su origen, en su lugar utilice la opción de «Reenviar» y escriba la dirección de correo electrónico de la persona a contactar o seleccionela de la libreta de direcciones para garantizar que es la dirección correcta de su contacto.

Basado en recomendaciones del FBI para empresas

Android 5.1 a 5.1.1 en dispositivo Stock con root y recovery

Hace unos días GOOGLE publico las imágenes de fabrica para nuestros Nexus de Android 5.1.1. Como en mi post anterior puse los pasos para actualizar a la versión 5.1 y a instalarle el custom recovery para luego rootear y aplicar los mods que mas nos gusten, todo esto sin perder nuestros datos claro. El problema de estos pasos es que al notificarnos del OTA el dispositivo y querer realizarlo no podremos por tener el custom.

Para esto debemos recurrir a un equipo u seguir los siguientes pasos.

Bajar la imagen correspondiente de google. https://developers.google.com/android/nexus/images

Ir a la carpeta donde tenemos el adb y el fastboot y descomprimir todo allí, incluido lo que este dentro de image-hammerhead-lmy48b.zip

#adb reboot bootloader (o reiniciamos con bajar volumen al encenderlo)

#fastboot flash bootloader bootloader-hammerhead-hhz12h.img
#fastboot flash boot boot.img
#fastboot flash radio radio-hammerhead-m8974a-2.0.50.2.26.img
#fastboot flash system system.img
#fastboot flash cache cache.img

Colocarle nuevamente el custom recovery

#fastboot flash recovery archivo.img

(tip: colocarle el cwm en lugar del TWRP ya que no lo carga por alguna razón), reiniciar y copiarle el SuperSU, flashear y listo el root.

SSL del Correo Uruguayo

Hace tiempo que vengo viendo que muchos sitios del estado usan certificados SSL emitidos por El correo Uruguayo, tengo clientes en el estado y la regla es comprarle a este emisor y no a otro, creo que viene mas que nada por lo legal y practico para comprar entre dependencias del estado, ya que los otros 2 en Uruguay son Abitab y la Asoc. de Escribanos (que no tenian infraestructura que alguien me corrija si me equivoco.)

La cuestión es que cualquier navegador que uses no te valida el certificado de «El Correo» por no ser una entidad certificado valida.
Correo ROOT CA

El colmo de esto es que entrando al portal de «ahiva» del El correo veo que ni ellos mismo certifican sus propios sitios!

ahiva godaddy rootCA

Siendo que para utilizar e-factura el certificado tiene que ser de «El correo» y viendo que ni ellos mismos confían en sus productos es preocupante, mas cuando todo (casi) usa este CA para cifrar sus comunicaciones.

Significado LED ZTE f660

Los modems ZTE parecen ser el estándar de Antel para la instalación de la Fibra, algunos no han tenido dramas, pero otros se cortan constantemente.

POWER: Verde El dispositivo esta encendido.
OFF: El dispositivo esta apagado. (tienes corriente ?)

PON:  Verde La ONT esta registrada en la central y lista para activar.
OFF :  La ONT no se registra en la central.
Verde parpadeante: La ONT esta tratando de ser registrada por la central. (esperar y llama 0800 1199)

LOS Rojo: La ONT recibe la potencia óptica anormalmente. (esperar y llama 0800 1199)
OFF: La ONT recibe la potencia óptica normalmente.

ALARM Rojo: El aparato esta defectuoso. (esperar y llama 0800 1199)
OFF: El aparato funcionando OK.
Parpadeante: El aparato esta descargando o actualizando la versión.

LAN1- Verde: La interfaz de red esta conectada pero no se trasmite datos.
LAN4 OFF: El dispositivo no está encendido o la interfaz de red no está
conectado con un dispositivo de red. (Chequea cable al router o equipo)

POTS1/2- Verde: El dispositivo esta registrado, pero no se están transmitiendo datos.
OFF: El dispositivo no se registro o no esta encendido.
Parpadeante: Los datos se estan transmitiendo.

WLAN Verde: Wifi esta encendido.
OFF: Wifi apagado.
Parpadeante: Los datos se están transmitiendo.

WPS Amarillo» WPS se esta estableciendo.
Verde: WPS esta completo.
Rojo: WPS fallo.

USB Verde: La interfaz USB está conectado, pero no esta pasando datos.
OFF: La interfaz USB no está conectado a un dispositivo de almacenamiento.
Parpadeante: Se esta transmitiendo datos por la interfaz USB.

Battery Verde: La batería está en su lugar y en buenas condiciones.
OFF: La batería no está en su lugar o haya expirado
Parpadeante: La batería está en su lugar, pero en estado anormal.

 

Captive portal en PFSense

Recientemente tuve que armar un firewall para mi trabajo  para acceso inalámbrico de usuarios a la red, que implicaba ciertos requerimientos de seguridad entre ellos limitar el acceso de cierta manera.

Esto lo llevé adelante con un viejo equipo (Celeron 1.3Ghz 512MB Ram, 3 NICs y 40HDD) usando pfsense como Software, un excelente appliance de firewall basado en FreeBSD.

Con él, brindo DHCP leases para la LAN y DHCP para la wifi, ambas interfaces con DNS Forwarder, requisito básico para que el portal cautivo funcione correctamente. Como HW APs estamos usando Ubiquiti Unifi, que necesitan de un controlador (software) instalado en el mismo pfsense (java requerido) que brinda unas funcionalidades muy interesantes.

Lo que no me gustaba era el  portal cautivo, el cual pfsense permite crear uno propio para login (entre varias cosas interesantes que se puede hacer), me encontré con el problema de la visualización en dispositivos móviles (smartphones, tablets,etc) así que adapté una página de login que se adapta al dispositivo.

Como no di con nada «bonito» es que dejo a disposición la siguiente: acá.

 

Gracias Gabriel por las correcciones. 🙂