<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:Helvetica;
        panose-1:2 11 6 4 2 2 2 2 2 4;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
span.EstiloCorreo23
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=ES-AR link=blue vlink=purple style='word-wrap:break-word'><div class=WordSection1><p class=MsoNormal><span style='font-size:12.0pt;mso-fareast-language:EN-US'>Muchas gracias Emilio. Muy completa tu respuesta. <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;mso-fareast-language:EN-US'>Slds. <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span lang=ES>De:</span></b><span lang=ES> LACNOG <lacnog-bounces@lacnic.net> <b>En nombre de </b>Emilio Piovesan vía LACNOG<br><b>Enviado el:</b> miércoles, 21 de diciembre de 2022 14:10<br><b>Para:</b> Latin America and Caribbean Region Network Operators Group <lacnog@lacnic.net><br><b>CC:</b> emilio@drwifi.ec<br><b>Asunto:</b> Re: [lacnog] RV: Issue 38462210: Server involved in fraud at 200.x.x.x<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Hola Fernando,<o:p></o:p></p><div><p class=MsoNormal>Te dejo este enlace de una presentación en un MUM de Mikrotik de Wardner Maia en Berlín en el año 2018.<o:p></o:p></p></div><div><div><div><table class=MsoNormalTable border=0 cellspacing=0 cellpadding=0 width=300 style='width:225.0pt;background:#E9E9EB;border-collapse:collapse'><tr><td style='padding:0cm 0cm 0cm 0cm'><p class=MsoNormal align=center style='text-align:center'><span style='color:black'><img width=300 height=225 style='width:3.125in;height:2.3437in' id="Imagen_x0020_1" src="cid:image001.png@01D91551.3947C780"></span><span style='font-family:"Helvetica",sans-serif'><o:p></o:p></span></p></td></tr><tr><td style='padding:0cm 0cm 0cm 0cm'><table class=MsoNormalTable border=0 cellspacing=0 cellpadding=0 width=300 style='width:225.0pt;background:#E9E9EB;background-color:rgba(233, 233, 235, 1)'><tr><td style='padding:6.0pt 0cm 6.0pt 0cm;background-color:rgba(233, 233, 235, 1)'><div style='margin-left:12.0pt;margin-right:12.0pt;max-width:100%;overflow:hidden'><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Helvetica",sans-serif;color:black'><a href="https://mum.mikrotik.com/presentations/EU18/presentation_5195_1524667160.pdf"><span style='color:black;text-decoration:none'>presentation_5195_1524667160</span></a></span><span style='font-size:9.0pt;font-family:"Helvetica",sans-serif'><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:8.5pt;font-family:"Helvetica",sans-serif;color:black'><a href="https://mum.mikrotik.com/presentations/EU18/presentation_5195_1524667160.pdf"><span style='color:#A2A2A9;text-decoration:none'>PDF Document · 2 MB</span></a></span><span style='font-size:8.5pt;font-family:"Helvetica",sans-serif'><o:p></o:p></span></p></div></td></tr></table></td></tr></table></div></div><div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Tuve el agrado de conocer brevemente a Warder y aparte de agradable, un gran conocedor del mundo de networking. <o:p></o:p></p></div></div></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>En esta presentación, hablaba de IPv6, con una técnica CG-NAT para conexiones IPv4. Salta a la diapositiva 41 aprox.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>En esta técnica, se asigna rangos de puertos dinámicos a los usuarios con dirección IP privada, para que accedan a internet con source-port con un rango específico conocido. Al saber de antemano que una IP pública es compartida por 20 clientes (por ejemplo) y sabiendo también que el cliente 1 utiliza puertos dinámicos 15000 a 17999, cliente 2 utiliza puertos 18000 a 20999, etc. cuando te hagan este tipo de reporta y te den además de la IP de origen, el puerto; sabrás qué usuario del cg-nat lo hizo.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Todo esto va acompañado de un buen sistema de aprovisionamiento y un buen sistema de logging que te automatice en gran escala la asignación de puertos y el registro de varios meses que enlace al cliente final.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Por cierto, se recomienda usar netmap, no same.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Quizás no te ayude a detectar a tu cliente atacante si la conexión ya desapareció, pero puede ayudarte a prevenir y detectar ataques futuros.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Si el ataque sigue activo, pregunta cual es la IP de destino atacada y rastrea con Torch o con Firewall Connections todas las conexiones hacia ese destino. O deja una regla en firewall con log activado.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Espero la info sea de tu utilidad.<o:p></o:p></p></div><div><p class=MsoNormal>Un saludo,<o:p></o:p></p></div><div><p class=MsoNormal>Emilio Piovesan<o:p></o:p></p></div><div><p class=MsoNormal><a href="mailto:Emilio@telecu.net">Emilio@telecu.net</a><o:p></o:p></p></div><div><p class=MsoNormal>+593-9-99422000<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal>Sent from my iPhone<o:p></o:p></p></div><div><p class=MsoNormal><br><br><o:p></o:p></p><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><p class=MsoNormal style='margin-bottom:12.0pt'>On Dec 21, 2022, at 7:50 AM, Fernando R. Soto <<a href="mailto:frsoto@gmail.com">frsoto@gmail.com</a>> wrote:<o:p></o:p></p></blockquote></div><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><p class=MsoNormal>Hola Buen Día. Por favor<br><br>Estoy recibiendo avisos de que unos de nuestros abanados está enviando correo extorsivos..<br>Esta detrás de un Nateo con Mikrotik (regla same)<br>Alguna idea de como lo puedo detectar? Aparte de puerto tcp 25 q otro puerto puede estar usando?<br><br><br><br>-----Mensaje original-----<br>De: Netcraft Takedown Service <<a href="mailto:takedown-response+38462210@netcraft.com">takedown-response+38462210@netcraft.com</a>> <br>Enviado el: miércoles, 21 de diciembre de 2022 02:02<br>Asunto: RE: Issue 38462210: Server involved in fraud at 200.x.x.x<br><br>Hola,<br><br>Hemos descubierto un servidor de correo electrónico en su red que envía mensajes de correo electrónico que intentan extorsionar a los usuarios.<br><br>El servidor tiene la dirección IP 200.x.x.x<br><br>Les hemos contactado antes sobre este asunto el 2022-12-19 22:56:05 (UTC)<br><br>Hemos adjuntado un ejemplo de correo electrónico fraudulento demostrando la participación del servidor de correo. Por favor, cierre este ataque lo antes posible.<br><br>Se proporciona más información sobre el problema detectado en <a href="https://incident.netcraft.com/b63ff90010b2/">https://incident.netcraft.com/b63ff90010b2/</a><br><br>Saludos,<br><br>Netcraft<br><br>Teléfono: +44(0)1225 447500<br>Fax: +44(0)1225 448600<br>Número de emisión de Netcraft: 38462210<br><br>Para contactar nosotros sobre este ataque responde a este correo electrónico. NOTA: las repuestas son registradas pero no están siempre leídas. Por caso que estas contactado por error, o si busca más informaciones, no dude en ponerse en contacto con nosotros a través: <a href="mailto:takedown@netcraft.com">takedown@netcraft.com</a>.<br><br>Se puede analizar este correo con los instrumentos de x-arf. Para obtener más información, consulte <a href="http://www.xarf.org/">http://www.xarf.org/</a>.<br><br><br>_______________________________________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a><o:p></o:p></p></div></blockquote></div></div></body></html>