0

NxCloud – Filtro de contenido a nivel DNS.

NxCloud – Filtro de contenido a nivel DNS.

Desde hace mucho tiempo he trabajado en áreas que tienen que ver con los controles, en este caso el control de la navegación web.

Existen muchas herramientas OpenSource que sirven para tener esta funcionalidad en una red del hogar. En mi caso la herramienta que uso desde hace varios años es una versión de NxFilter para la nube, que significa disponibilidad para varias redes/personas/identidades.

Inicialmente siempre realizaba la instalación en un servidor en Ubuntu, luego inicie con el tema de los contenedores y al final mi instalación está corriendo en Kubernetes.

Para la versión Cloud (NxCloud) he creado un contenedor que esta en DockerHub y es accesible para todos, esa es la idea de los contenedores en DockerHub. Doh!

Pero ya existe PiHole!!!

Así es, la ventaja de NxFilter y en este caso específico la ventaja de NxCloud frente a PiHole es que no solo tiene categorías para Ads, NxCloud tiene mas de 30 categorías que se pueden usar para crear un perfil de control y este perfil de control se puede aplicar a diferentes usuarios/equipos. Incluso están disponibles agentes para poder detectar el usuario en el equipo y aplicar una política mas permisiva que la aplicada por defecto, hasta donde se esto no puede hacer con PiHole.

En este post no estoy tratando de decir que uno es mejor que otro, simplemente quiero dejar plasmada las ventas de NxCloud y lo fácil que es correrlo en docker.

El contenedor.

Se puede encontrar el contenedor en DockerHub: https://hub.docker.com/repository/docker/aredan/nxcloud

docker pull aredan/nxcloud:latest

El Dockerfile está en Github.

https://github.com/aredan/nxcloud-docker

Con esta información y una maquina con Docker, se puede iniciar el servicio de Content Filtering con tan solo hacer:

docker pull aredan/nxcloud:latest -p 80:80/tcp 443:443/tcp 53:53/tcp -p 53:53/udp -v /pat/to/data:/nxcloud/db

Listo. Tendremos un servidor de NxCloud disponible para crear nuestras políticas y redireccionar usuarios a este DNS Server.

Las credenciales de la instalación inicial son admin/admin.

Aquí se puede ver mi instancia de NxCloud, esta instancia tiene mas de un ano en funcionamiento sin ningún tipo de problemas. La diferencia es la plataforma donde se ejecuta la mía que es k8s.

Por defecto la plataforma permite hasta 25 usuarios con políticas asignadas, pero si solo se tiene con una red y le aplicamos la misma política, esto cuenta como un único usuario.

Una de las ventajas es la idea de tener Operadores que son los administradores de cada sección de NxCloud y los usuarios de cada Operador es independiente del otro. Para más información de cómo funciona NxCloud, pueden ver su documentación en https://nxfilter.org/tutorial/f-what-is-nxcloud.php

0

Seguridad de Enrutamiento, como estamos y como debemos estar.

Nota: Esto es un post que esta publicado en el portal de ISCO-Dominicana, he decidido publicarlo aqui tambien y asi poder relacionarlo con otros proyectos que tengo en lista.

Seguridad de Enrutamiento, como estamos y como debemos estar.

Cada día la infraestructura de Internet es atacada de formas que no imaginamos, en los últimos años hemos visto como personas y/o organizaciones buscan la manera de lucrarse aprovechando las debilidades en la infraestructura de Internet ya sea apoderándose de recursos o haciendo que estos recursos no estén disponibles para los usuarios.

Muchos sabemos el origen de Internet, en sus primeros años nadie imagino que esta plataforma seria lo que es hoy y por esto, muchos de los protocolos que son pilares de Internet no cuentan con la seguridad necesaria para prevenir que un atacante pueda causar daños a la infraestructura que lo forma. Aunque en sus inicios estos protocolos no tenían esa seguridad que deseamos no quiere decir que no se han creado las medidas para protegerlos.

Continue Reading

0

RPKI con GoRTR de Cloudflare – en Kubernetes!

RPKI con GoRTR de Cloudflare – en Kubernetes !

Hace un tiempo probé con RPKI, en esos días estaba tomando unos entrenamientos de MANRS, con RPKI podemos asegurar que los prefijos que recibimos vía BGP con de quien realmente deberían ser, en otras palabras, si por alguna razón un tercero mal intencionado se hace con un bloque de direcciones IP que no le pertenece, pero esta tiene ROA habilitado, el trabajo de RPKI es no permitir que esos bloques de direcciones IP sean insertados en nuestra tabla de enrutamiento.

https://github.com/cloudflare/gortr

Continue Reading

0

VRF en Linux con BIRD para OSPF/BGP

VRF en Linux con BIRD para OSPF/BGP.

Desde hace mucho tiempo estoy jugando con BGP, inicialmente tenía BGP en pfSense, algo sencillo y con solo algunas rutas, eso fue en los tiempos de dn42.

En el 2016 encontré una comunidad de varios entusiastas de redes al nivel de Internet y pude conseguir un ASN registrado en RIPE.

Muchas cosas han cambiado desde esos días, he aprendido y experimentado, aprender es la razón de ser de aaNetworks. Lo complicado de mi red con direcciones IP Publicas y ASN es que localmente en mi casa no hay forma posible de tener una sesión BGP y publicar los prefijos desde ahí (imagínate que CLARO te permita hacer un túnel L2TP a un router con BGP!), dependo de VPS con Linux y BIRD.

Continue Reading

0

RIPE Atlas – Estado actual en República Dominicana.

RIPE Atlas – Estado actual en República Dominicana.

Para los que no saben que es RIPE Atlas, es un Proyecto de RIPE NCC, su meta es colectar información de las conexiones a Internet usando un pequeño “probe” que se coloca en la red de un usuario, empresa o proveedor de Internet. Luego este probe realiza pruebas predefinidas para colectar valores como latencia, jitter y hasta pruebas de puertos, probar si DNS está respondiendo en servidores específicos.

No es un proyecto nuevo, los primeros registros se iniciaron en el 2010. Desde entonces existen países que han recibido esto como una herramienta para mejorar, pero lamentablemente otros no lo han hecho de esa manera debido al poco apoyo recibido. Tomaremos como ejemplo Republica Dominicana.

En nuestro país actualmente tenemos registrados 49 probes de los cuales solo 15 están conectados hoy [20/10/2019]. Si miramos detenidamente podremos ver que el primer probe en DO se conecto a la red de Atlas hace 4 años y 17 días y tiene 2 años desconectado.

¿Por qué pasa esto?

Mi opinión es que luego de recibir este pequeño aparato y conectarlo a la red, el usuario no siente que esta obteniendo un beneficio y en cualquier momento decide desconectarlo porque ya entiende que no lo necesita, lamentablemente esto también pasa en empresas, si miramos la lista de probes abandonados ahí muchos que al parecer fueron registrados por una empresa o proveedor y sufrieron la misma suerte.

¿Como podemos mejorar esto?

Tenemos que comprometernos a mejorar la infraestructura de Internet, hasta el menor esfuerzo como es hospedar un probe de RIPE Atlas aporta a mejorar Internet ya que permite que instituciones con áreas dedicadas al desarrollo usen esta plataforma para realizar pruebas de conectividad y entender mejor como cambian las redes de interconexión a través de los años.

¿Qué puedo hacer luego de tener un Probe?

Con RIPE Atlas tenemos que cumplir una condición para poder hacer uso de la plataforma, tenemos que acumular créditos, estos créditos se pueden conseguir dejando nuestro probe encendido y conectado a la red para que genere crédito a nuestro favor o recibiendo una donación de otro usuario. Luego que contamos con créditos podemos crear nuestras propias métricas.

Por ejemplo, hace un tiempo cree una métrica para medir la latencia desde Republica Dominicana a los DNS Resolver de CloudFlare.

En esta conjuración solicite 20 probes, todos de Republica Dominicana, actualmente están participando solo 9.

En la pestana de Latest Results podemos ver los últimos resultados de esta métrica.

En esta pestaña podemos apreciar la cantidad de RTT y HOPs utilizados por el probe para alcanzar a 1.0.0.1 que es uno de los DNS Open Resolver de CF. Lamentablemente uno de los probe está fuera de línea.

Otra pestaña de la cual podemos sacar ventaja es Tracemon.

Esta nos entrega un mapa con los saltos que hicieron los probe para llegar a su destino final, en cada punto podemos ver IP utilizada y ASN al cual pertenece esa IP.

Esto que acabo de mostrar aquí son de las configuraciones mas sencillas que se pueden crear en la plataforma, no soy ningún experto, pero sigo intentando sacarle partido a RIPE Atlas. Actualmente tengo dos probes corriendo, uno con mi ASN ( AS207036 ) y otro detrás del ASN de CLARO.

Para cerrar, si estas interesado en hospedar un probe de manera seria y con compromiso de tenerlo conectado, contáctame, actualmente estoy registrado como Embassador en Republica Dominicana, esto quiere decir que puedo asignar probes de algunos que tengo disponible.