Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad Mikrotik PDF
Seguridad Mikrotik PDF
Cuando se quiere realizar un APT (Advanced Persistent Threat) a una empresa o a una
organización, uno de los aspectos fundamentales es conocer su esquema de
direccionamiento IP interno que utiliza y, si es posible, cuál es su arquitectura de red para,
por ejemplo, ver si tienen zonas desmilitarizadas y a partir de ahí poder inferir cuántos
routers/firewall configuran su sistema de protección perimetral.
Con toda esta información se puede plantear incluso el realizar algún ataque de Ingeniería
Social.
Router Mikrotik
Estos routers son muy conocido dentro de las redes debido a su buen funcionamiento y
bajo coste y son una alternativa a otro tipo de marcas en elementos de electrónica de red
como puede ser CISCO. El sistema operativo que incorporan estos dispositivos es
RouterOS y trae muchas características avanzadas de configuración.
Figura 2. Sistema operativo RouterOS y servicio asociado al puerto 80 TCP.
Entre las característica que incorpora RouterOS, cuenta con un servidor web que sirve
para una configuración más cómoda con un entorno gráfico bajo HTTP más agradable,
en lugar de utilizar los comandos propios del sistema operativo a través de una shell.
Para poder aplicar técnicas de dorking, el primer paso es buscar un patrón común a estos
dispositivos a partir del cual poder extraer más información utilizanzo los principales
motores de búsqueda. Para ello, lo primero es obtener direcciones IP de estos dispositivos,
por ejemplo, utilizando Shodan.
Una vez localizados estos dispositivo, lo siguiente será tratar de obtener el nombre de los
recursos que están en su servidor web, como pueden ser nombres de ficheros, de
directorios, etcétera. El nombre de estos recursos y el comportamiento del servidor web
serán quiénes nos den el patrón para las técnicas posteriores de dorking.
Para el descubrimiento de estos recursos, empleamos técnicas de spidering. ZAProxy es
una buena herramienta para realizar el descubrimiento de recursos:
Figura 4. Recursos descubiertos por el spider de ZAProxy.
Observamos cómo, debido a una configuración insegura por defecto del servidor web del
router, podemos ver el número de las interfaces de red y el nombre de cada una de las
redes que comunica. De la información anterior, podemos inferir que es un único router
quien comunica la red interna de la organización con la DMZ y los recursos de la DMZ
con Internet.
Además, es muy probable que tenga un firewall con reglas de entrada y salida para el
tráfico de la organización. Si pinchamos encima de una de las interfaces, podemos ver el
tráfico de red que pasa por ella:
Los resultados anteriores son consecuencia de una mala configuración por defecto del
servidor web que permite hacer un listing de los recursos que almacena.
Esta situación se puede aprovechar para intentar extraer también cuál es el esquema de
direccionamiento interno de la organización aplicando técnicas de hacking con
buscadores con los dorkings que hemos comentado anteriormente.
Sólo tenemos que añadir los prefijos de direccionamiento privado que queramos
encontrar. Por ejemplo, si queremos extraer el esquema de direccionamiento privado
sobre IPv4 para una red de clase C, podemos emplear el siguiente dorking:
En la figura anterior puede verse que, asociada a cada una de las direcciones IP de la red
interna, es posible que éstas tengan algún tipo de política en las colas relacionada con la
QoS (Quality of Service), seguramente relacionadas con la velocidad de subida y de
bajada.
Hay veces en que los administradores de red ponen nombres de personas a las políticas
aplicadas a cada una de las colas asociadas a las direcciones IP de las máquinas.
Es por ello que si probamos con los dorkings anteriores a buscar el nombre de personas,
es posible que encontremos el de alguno de los posibles miembros de esa organización,
como se muestra en las siguientes figuras:
Figura 13. Nombres de personas vinculados a las políticas de las colas (I).
Figura 14. Nombres de personas vinculados a las políticas de las colas (II).
Figura 15. Características del tráfico de red para una persona en concreto.
En la figura anterior podemos ver además, para una persona en concreto, en qué franjas
horarias se han producido los mayores picos de descarga. Puede que se produzcan al
entrar al puesto de trabajo, después de la comida o incluso después del almuerzo.
Y es más, a partir del nombre de posibles miembros de la organización, se podría obtener,
por ejemplo, información relativa a una posible matrícula de su posible coche:
Figura 17. Posible matrícula de coche relacionada con el auto de una posible infracción.
Conclusiones
Para evitar toda la fuga de información que hemos visto en este artículo y poder obtener
información más sensible como el direccionamiento interno de una organización,
políticas de calidad de servicio en su red interna, posibles nombres y apellidos de
miembros de la organización, inicialmente podría pensase acceder al router para su
administración únicamente a través del servicio SSH, es decir, dejar únicamente el puerto
22 TCP abierto para la administración del dispositivo y nunca hacerlo mediante el servicio
HTTP.
Aún así, como vimos los que hicimos el curso Attack and Hardening en GNU Linux, si
se quiere una administración remota del sistema, para cualquier puerto de administración,
podría establecerse permisos únicamente para un pool de direcciones IP fijas y de
confianza o, simplemente, realizar la administración del dispositivo desde la red interna
de la organización, nunca desde Internet.
En mi empresa usamos Mikrotik a Go Go, y jamas me habia dado cuenta de este detalle.
Es mas sin usar ZapProxy, directamente desde el interfaz web y sin hacer login tienes a
disposicion un icono "graphs" que te da acceso directo a esta info.
Tambien tengo que decir que el servicio de "Graphs" por defecto viene vacio, por lo que
salvo que lo hayas creado a proposito esa info no la tienes por defecto, pero si esta claro
que es una cagada. Y mayor cagada es para un admin no desactivar cualquier puerto de
administracion, como minimo desde Inet restringirlo a VPN o otro tipo de acceso
restringido y mucho mas un servicio web que es tan propenso a contener
vulnerabilidades.
The graphs are not enabled by default. The user manually (knowingly) added the public
interface to the allowed viewers list.
Hace años que trabajamos con Mikrotik, y para la administración usamos su consola
winbox, por lo que ni siquiera el ssh está activado y el nivel de seguridad lo pones tú
mismo, con lo cual no es una fuga de información sino más bien, mal uso de los
administradores. Los parámetros graph no vienen activos de inicio, por lo que si los vas
a usar, hay que asegurarlos antes, por ejemplo, permitiendo su visualización solo desde
un a ip permitida. Un saludo amigos, seguid así!!!!
Lo gracioso es que es posible localizar un montón de ellos, por ejemplo, con Shodan, de
los que poder sacar toda la información que comento y más que no está publicada en el
artículo sin la necesidad de autenticarme para ello.
Desde luego esta claro que esta funcionalidad de RouterOS puede ser peligrosa
si no se conoce esta situación, por lo que gracias por ponerlo de manifiesto. El
hecho de que aparezcan en Shodan muchas entradas es significativo.