This is default featured slide 1 title

Go to Blogger edit html and find these sentences.Now replace these sentences with your own descriptions.

This is default featured slide 2 title

Go to Blogger edit html and find these sentences.Now replace these sentences with your own descriptions.

This is default featured slide 3 title

Go to Blogger edit html and find these sentences.Now replace these sentences with your own descriptions.

This is default featured slide 4 title

Go to Blogger edit html and find these sentences.Now replace these sentences with your own descriptions.

This is default featured slide 5 title

Go to Blogger edit html and find these sentences.Now replace these sentences with your own descriptions.

segunda-feira, 27 de fevereiro de 2017

Mikrotik - Suricata IDS/IPS avaliar

sexta-feira, 17 de fevereiro de 2017

Mikrotik - Simple SSTP VPN server

Few posts ago, I have gone over the procedure needed to get OpenVPN going. However, what about SSTP-based VPN?
This guide is going to assume you are to enter commands into the New Terminal window from WinBox. That way I will simply repeat commands needed instead of going through the screens. Commands are actually quite descriptive and easy to “translate” into GUI actions if that is your preference.
Prerequisite for any VPN server is to get certificates sorted. Procedure is exactly the same as for OpenVPN server setup with the slight difference being that common-name really matters. It must match either external IP or external host name – no exceptions.
For completeness sake, I will repeat the certificate creation steps here:

add name=ca-template days-valid=3650 key-size=2048 key-usage=crl-sign,key-cert-sign
add name=server-template common-name=* days-valid=3650 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server
add name=client-template days-valid=3650 key-size=2048 key-usage=tls-client

sign ca-template name=ca-certificate
sign server-template name=server-certificate ca=ca-certificate
sign client-template name=client-certificate ca=ca-certificate
Depending on your router’s speed, that sign command might time-out – nothing to worry about – just wait for CPU to drop below 100%. Or alternatively check the name of certificate – template part will disappear once signing is completed.
For later shenaningans, we will need root certificate export (just move it somewhere on your computer afterward):

export-certificate ca-certificate export-passphrase=""
Next we need a IP address pool for clients. I will assume you have your clients in some other network (e.g. 192.168.1.x) and this new network is just for VPN (notice that it can be the same pool as one used for OpenVPN):

pool add name="vpn-pool" ranges=
Instead of editing the default encrypted profile, we can create a new one. Assumption is your Mikrotik will also be a DNS server. And while at it, you can create a bit more imaginative user/password (again, if you did this for OpenVPN server, you can just reuse the same profile and user):

profile add name="vpn-profile" use-encryption=yes local-address= dns-server= remote-address=vpn-pool
secret add name=user profile=vpn-profile password=password
Finally, we get to enable SSTP VPN server interface – first step that is actually needed if you already have OpenVPN server running:

/interface sstp-server server
set enabled=yes default-profile=vpn-profile authentication=mschap2 certificate=server-certificate force-aes=yes pfs=yes
One curiosity is force-aes flag that is officially listed as not working with Windows clients. I’ve tested it on Windows 7 and 10 without any issues. You can clear it if you play with something older.
With this, our SSTP VPN server is up and running – onto the client setup!
For client we first need to import our certificate authority and we need to do it a bit roundabout way. First we start MMC (Microsoft Management Console) using mmc.exe and to it add Certificates (File->Add/Remove Snap-in). When asked select Computer account for Local Computer and find Trusted Root Certification Authorities. Right-click on it will show Import to which we give certificate we’ve exported a few steps ago.
In the Network and Sharing Center now we can go and Set up a new connection. When asked we just select Connect to a workplace and write destination host name (or IP). Remember that it must match certificate common-name (or a matching wildcard) you gave to your server certificate.
If all steps went fine, you should be presented with user name / password prompt and off you go.
PS: Do not forget to adjust firewall if necessary (TCP port 443).

/ip firewall filter
add chain=input protocol=tcp dst-port=443 action=accept place-before=0 comment="Allow SSTP"
[2017-01-26: Adjusted certificate creation to work on RouterOS 6.38 and later]
[2017-01-26: Changed key size to 2048 (instead of 4096) so it doesn’t take ages to generate certificates. :)]


Mikrotik - Access Point and Station combo

While wireless is available in the most hotels these days, the good old ethernet cable seems to be disappearing bit by bit. That means you cannot simply plug-in your own wireless and have it just work. Having a device capable of bridging two wireless networks is becoming a necessity. Why would you even bother, you wonder?
One reason is convenience – if you always connect to your own wireless access point, you have everything setup and ready to go without annoying web prompts. Particularly handy if you bring your Roku or Chromecast with you as they generally have no provisions for even entering user name/password combination.
Other reason is security. Connecting to an open network (or one with widely known key) means every single device is fully exposed to snooping gremlins hiding around. And you will be surprised how much data is actually not encrypted. Yes, having your own wireless doesn’t necessarily fix that as you still go over unprotected media but it is a necessary first step. In one of the future posts we can talk about connecting over VPN and how to skin that particular cat.
For me a favorite wireless-to-wireless bridge device was aging Asus WL-330gE. Unfortunately, the device hasn’t had any update in ages and using alternative firmware makes wireless bridging functionality much more difficult than it should be.
Lately I’ve been using two Mikrotik mAP lite devices back-to-back. One serves the function of a wireless client toward the hotel’s wireless while the other is an access point with VPN on board. As I needed one mAP for another project of mine, I started to wonder how to setup the same device to be both wireless client and an access point.
This guide is going to assume you are to enter commands into the New Terminal window from WinBox. That way I will simply repeat commands needed instead of going through the screens. Commands are actually quite descriptive and easy to “translate” into GUI actions if that is your preference.
Assuming you start with fresh mAP lite, first order of business is connecting to its default wireless network and cleaning the whole router out. This will allow connecting WinBox via the cable to the router’s MAC address as default configuration assumes that port is intended for WAN.

reset-configuration no-defaults=yes skip-backup=yes
Since all is deleted, pretty much the only thing one can do is connect to ethernet port and use neighbor discovery on your Mikrotik. When device is found, just connect using the MAC address.
If we do not know exact wireless network we are interested in, we can enable wireless and perform a scan to see what is around.

/interface wireless
scan wlan1
Once we wither find network by scan or because we already new its name, it is time to set it up. Of course, security profile mode and all other parameters must match network you are connecting to.

wireless security-profiles add name=client-profile mode=dynamic-keys authentication-types=wpa2-psk wpa2-pre-shared-key=hotel_wireless_password
wireless set wlan1 ssid=hotel_network_name security-profile=client-profile frequency=auto disabled=no
This is actually one of rare situations where it is probably worth actually using GUI and wireless Scanner tool instead of getting all this sorted out manually. Regardless, if all went well, you should see upper case R next to the wlan1 interface.
As we destroyed the whole network configuration, we need to setup DHCP client on wlan1 interface so we can obtain IP. This is a nice second checkpoint as you should see the hotel’s IP address getting assigned to your router.
dhcp-client add interface=wlan1 disabled=no
address print
Now that we have client sorted out, we need to create the access point. That involves setting up a security profile, creating the access point interface on top of the existing wlan1, getting its DHCP server interface sorted out, NAT, and lastly the basic firewall.
wireless security-profiles add name=ap-profile mode=dynamic-keys authentication-types=wpa2-psk wpa2-pre-shared-key=access_point_password
wireless add name=ap-wlan master-interface=wlan1 mode=ap-bridge ssid=access_point_network_name security-profile=ap-profile disabled=no

address add interface=ap-wlan address=
dhcp-server network add address= gateway=
pool add name=ap-pool ranges=
dhcp-server add name=ap-dhcp interface=ap-wlan address-pool=ap-pool disabled=no

/ip firewall nat
add chain=srcnat out-interface=wlan1 action=masquerade

/ip firewall filter
add chain=forward action=accept in-interface=wlan1 connection-state=established,related disabled=no
add chain=forward action=accept out-interface=wlan1 disabled=no
add chain=forward action=drop disabled=no

/system reboot
Assuming everything went fine, after reboot, you will have your access point going through hotel’s wireless.
This setup is not necessarily the most comfortable one as every time you want to connect to new network you will have to use WinBox over the ethernet cable. And no, you cannot use access point for configuration since access point is only active if its master – hotel’s connection – is running.
Again no, you cannot do it other way round – have the access point as the main wireless interface and station as slave because you need to have station tracking for your hotel’s access point. If you setup your access point first, you will need to set its frequency to match hotel’s access point at all times. That doesn’t play well if you roam through hotel and see APs with the same name and different frequency nor it will play well if AP changes its frequency, for example, due to radar detection.
However, this setup gives you the full power of Mikrotik to use in a wireless bridge at the cost of a single device.
Me? I’ll stick to my double mAP method.
PS: Yes, you could work around the need for Ethernet cable but it gets complicated enough that it is not worth the trouble.
PPS: Yes, firewall is VERY basic.


Mikrotik - musics and beeps

quinta-feira, 16 de fevereiro de 2017

Librenms - Movendo a instalação para outro servidor

How do I move my LibreNMS install to another server?

If you are moving from one CPU architecture to another then you will need to dump the rrd files and re-create them. If you are in
this scenario then you can use Dan Brown's migration scripts.
If you are just moving to another server with the same CPU architecture then the following steps should be all that's needed:
- Install LibreNMS as per our normal documentation, you don't need to run through the web installer or building the sql schema.     
- Stop cron by commenting out all lines in `/etc/cron.d/librenms`
- Dump the MySQL database `librenms` and import this into your new server.
- Copy the `rrd/` folder to the new server.
- Copy the `config.php` file to the new server.
- Renable cron by uncommenting all lines in `/etc/cron.d/librenms`

Segurança - Fortinet libera acesso a treinamento de cibersegurança

Fabricante oferece cursos de especialista em segurança de rede, como parte do investimento em novos profissionais de segurança de TI, para ajudar a preencher a falta de qualificação no mercado

A Fortinet anuncia o acesso universal e gratuito ao seu programa de treinamento e certificação Network Security Expert (NSE) (Especialista em Segurança de Rede). Ao oferecer o programa NSE ao público em geral, a Fortinet dá um grande passo para engajar uma nova geração de professionais de cibersegurança, fornecendo uma saída para obter a qualificação altamente desejável e lucrativa no campo em expansão de segurança de TI.

“Diante de um cenário de ameaças cada vez mais hostil, as empresas estão expandindo seus investimentos em segurança de infraestrutura, mas lutando para encontrar o talento cada vez mais raro necessário para implementar e operar suas soluções. Como líder da indústria, a Fortinet acredita que é sua responsabilidade promover o desenvolvimento e a educação contínua de talentos de cibersegurança e preencher a falta de qualificação em cibersegurança. A abertura para o público do programa Especialistas em Segurança de Rede da Fortinet aumenta o acesso a recursos educacionais e cria novas oportunidades para os profissionais de segurança de TI atuais e futuros, cujas habilidades serão fundamentais para garantir o crescimento contínuo da economia digital”, pontua Ken Xie, fundador, presidente e CIO da Fortinet.

Preenchendo a falta de qualificação em cibersegurança

Relatórios recentes destacam a grande falta de profissionais com a qualificação em cibersegurança necessária para combater o volume e a complexidade em expansão das ameaças. Essa falta de qualificação em cibersegurança traz desafios para as empresas, pois elas não conseguem encontrar tais profissionais e proteger seus funcionários, dados, investimentos e lucros dos riscos cada vez maiores dos ciberataques.

Há muito tempo, a Fortinet defende a ideia de aumentar a conscientização, a compreensão e o conhecimento sobre o cenário global da cibersegurança. Lançado em 2015, o programa NSE da Fortinet tornou-se rapidamente um padrão na indústria de treinamento e certificação de cibersegurança, promovendo a formação contínua de profissionais de segurança de TI do mundo inteiro e ajudando a diminuir a falta de qualificação em cibersegurança.

Como a ferramenta principal usada para desenvolver e manter as qualificações dos funcionários, parceiros e usuários finais da Fortinet, o programa NSE da Fortinet utiliza um currículo de vários níveis que evolui a partir dos princípios básicos e contexto geral da cibersegurança, até estratégias avançadas e conceitos técnicos de segurança. Este projeto já forneceu mais de 50.000 certificações NSE no mundo todo.

A demanda do programa NSE da Fortinet também levou à criação da Fortinet Network Security Academy para instituições de educação públicas, de nível básico ou superior. Essas instituições fazem parceria com a Fortinet e usam o currículo do programa NSE para desenvolver cursos de cibersegurança, que são atualmente oferecidos em escolas em 46 países.

O NSE 1 apresenta os conceitos básicos de segurança da rede e fornece um contexto histórico do mercado de cibersegurança. O NSE 2 apresenta as principais soluções de segurança usadas para enfrentar os desafios descritos no NSE 1. O NSE 3 fornece uma explicação mais detalhada sobre os produtos de segurança avançada e capacidades usadas para proteger contra ameaças e vetores de ataque específicos.

terça-feira, 14 de fevereiro de 2017

Wi-Fi - nem implantamos o 802.11AC e já vem o 802.11ax!

Chips com nova geração Wi-Fi: 802.11ax chegam a partir de junho

Qualcomm prepara modelos de amostra de processadores com o novo padrão que deve chegar oficialmente até 2018 para substituir o Wi-Fi 802.11ac.
Autor da Foto
A Qualcomm vai começar a despachar chips de amostra para a próxima geração de Wi-Fi em junho, ajudando as fabricantes de aparelhos e redes a desenvolverem produtos que possam quadruplicar as velocidades dos usuários e a duração de bateria.
Os novos chips usam uma versão inicial da IEEE 802.11ax, uma especificação feita para tornar as LANs wireless mais eficientes e aumentar o seu desempenho como resultado. O padrão formal não deve ser assinado até o final do próximo ano, mas é comum que alguns componentes usando um novo padrão cheguem antes que esse passo seja dado.
Essa é a próxima geração do Wi-Fi depois da 802.11ac, que já é capaz de velocidades na casa dos gigabits com os recursos e condições corretas. Essa tecnologia ainda está chegando a aparelhos de consumidores finais e redes corporativas e de provedores de redes.
O novo padrão 802.11ax melhora alguns recursos do 11ac e adiciona outros novos truques. O padrão é desenvolvido para fornecer um melhor desempenho em situações complicadas que as pessoas encontrem no mundo real, como ambientes com muitas redes Wi-Fi competindo. 
A especificação inclui usar múltiplas antenas para enviar até 12 streamings de dados ao mesmo tempo. Mas também usa tecnologias do mundo celular, incluindo agendamento de tráfego, que conecta e desconecta os aparelhos da rede de forma eficiente para que não precisem competir muito um com o outro.
Isso pode ajudar a reduzir o consumo de energia do Wi-Fi em até dois terços, aponta a Qualcomm. Mesmo os usuários com aparelhos com a atual 11ac e a mais antiga 11n deverão ver um melhor desempenho quando utilizarem uma rede 11ax, de acordo com a fabricante.
A Qualcomm chamou a nova linha de produtos de portfólio de ponta a ponta porque inclui silício para as duas pontas de uma conexão entre cliente e rede. O IPQ8074 é um SoC (system on chip) integrado para pontos de acesso corporativos, gateways de provedores de serviço e roteadores Wi-Fi residenciais. Ele possui quatro vezes a capacidade de um 11ac e inclui recursos para cobrir uma área mais ampla e reduzir interferência danosa em áreas com muitos pontos de acesso sobrepostos, de acordo com a Qualcomm.
O QCA6290 é um SoC para aparelhos Wi-Fi. Pode usar as bandas 2.4GHz e 5GHz ao mesmo tempo para velocidades de até 1.8Gbps, segundo a companhia. Ele é feito para usos que incluem streaming de vídeo 4K (Ultra HD) e videochamadas e Wi-Fi no carro com múltiplos streamings de vídeo.

domingo, 12 de fevereiro de 2017

Artigo - Certificados SSL/TLS grátis são a melhor opção?

Após ler esse artigo (ou talvez antes de começá-lo), acredito que muitos de vocês pensarão “Claro que esse cara será contra os certificados SSL/TLS grátis; afinal, o principal produto da empresa dele está sendo comercializado de graça!”
Christian Simko | Vice President of Marketing at GlobalSign Grande Boston e Região, Estados UnidosRelações públicas e comunicações
Christian Simko | Vice President of Marketing at GlobalSign  – Grande Boston e Região, Estados Unidos Relações públicas e comunicações
Por by Christian Simko*
Bem, de fato, eu trabalho em uma empresa que comercializa certificados SSL/TLS, mas meu objetivo aqui não é dizer que as opções gratuitas são ruins e que você deveria ter um dos certificados da GlobalSign (ou de qualquer outra autoridade certificadora).
Meu ponto é que qualquer que seja o recurso usado para criar um ambiente mais seguro e criptografado é de grande valia para negócios em geral e seus consumidores.
Afinal, eu também uso internet e me causa grande preocupação ver uma página de cadastro ou pagamento online sem o uso do SSL/TLS.
Eu acho ótimo ver que empresas têm tornado o protocolo SSL/TLS cada vez mais acessível aos consumidores, e contribuindo para criar uma internet mais segura para todos. No entanto, nem todas essas opções gratuitas são iguais e muitas delas possuem limitações. Assim, é importante não se apegar somente à característica “grátis” desses produtos, mas sim refletir sobre o seu objetivo em adquirir um SSL/TLS, como esse tipo de certificado contribuirá para a proteção do seu negócio hoje e no futuro, e também comparar as opções disponíveis. Veja, a seguir, algumas perguntas que você deve se fazer antes de optar por um ou outro.
1. Qual o nível de confiança você precisa em seu certificado SSL/TLS?
Qualquer SSL/TLS é melhor do que nenhum, já que todos os certificados (com exceção do nível de confiança) oferecem uma sessão segura e informações criptografadas no website. Assim, dependendo da sua necessidade (ou da necessidade de seus clientes), certificados com validação de domínio (DV) gratuitos podem ser suficientes. Porém, se o fato de associar a identidade de sua marca à uma presença web forte e confiável é essencial para os seus usuários, você deve considerar uma opção de validação organizacional (OV) ou estendida (EV). Esta última opção, também conhecida como certificado “barra verde”, oferece o maior nível de confiança e maior credibilidade aos websites, pois exibi a identidade da empresa de maneira fácil e direta, contendo o nome da empresa e a coloração verde no navegador. ev-ssl-nagevadores
2. Qual tipo de suporte você espera?
Fornecedores de certificados grátis nem sempre oferecem suporte grátis; muitas vezes, eles não oferecem suporte algum. Se você é uma empresa de hospedagem ou revendedora e está considerando oferecer suporte aos seus clientes ou deixá-los lidar com as questões técnicas por conta própria, então o suporte de fornecedores não é algo importante para você. Porém, se você não tem capacidade para atender solicitações ou está oferecendo certificados como um valor agregado aos seus serviços que impactarão a experiência de seus usuários, bem, o suporte tem grande impacto para os seus negócios. Afinal, você não quer colocar a reputação de sua marca em risco, nem perder clientes por insatisfação no serviço prestado.
3. O produto “gratuito” é realmente gratuito?
Produtos grátis tendem a levar você a pagar por outra coisa. Nenhum fornecedor de tecnologia ou software está te dando algo de graça por ser um bom samaritano. Se você quiser características, funções e capacidades mais completas, ou um serviço e suporte adicionais, provavelmente você terá que pagar por isso. Essa tática tem sido muito usada por empresas de tecnologia e com grande taxa de sucesso.
Dessa forma, quando você estiver avaliando opções de certificados SSL/TLS gratuitos, esteja atento aos custos extras ou adicionais difíceis de perceber logo de cara. O que quero dizer é: avalie o valor do pacote total, considerando:
  • Existe alguma opção de upgrade para esses certificados, que ofereça um nível de confiança maior, caso eu precise? Qual o valor dessa mudança e como é o processo?
  • O fornecedor oferece licenças flexíveis para todos os tipos de certificados e soluções que podem ser escaláveis para atender necessidades futuras (minhas e de meus clientes)?
  • Existe algum comprometimento requerido, caso eu queira revender esses certificados; por exemplo: o fornecedor requer um valor mínimo em vendas por ano?
  • Preciso pagar valores extras para ter o serviço de suporte?
  • Existe algum custo para configuração ou custo para abrir uma conta de parceiro?
4. O SSL/TLS grátis é o melhor para você?
Adotar um TLS as a Service (TLSaaS) ajuda a criar uma internet mais segura para todos e as opções gratuitas tornam esse protocolo ainda mais acessível, porém é importante pesquisar as diferentes opções e fornecedores. No final do dia, a solução e o fornecedor que você escolher para aprimorar a segurança de seu negócios ou adicionar valor ao seu portfólio de produtos, seja um certificado grátis ou não, é uma decisão que somente você poderá tomar.
Se a integração TLS é parte fundamental da estratégia do seu negócio e uma vantagem competitiva no mercado em que você atua, considere um provedor que possa te entregar uma solução completa; ou seja, que permita que você automatize e gerencie o ciclo de vida dos certificados para atender às necessidade de sua empresa ou clientes de maneira satisfatória.

*Christian Simko | Vice President of Marketing at GlobalSign Grande Boston e Região, Estados Unidos Relações públicas e comunicações

Certificado digital - Let's Encrypt tem limitações

Certificado SSL Gratuito para toda a internet

Certificado SSL gratuito para toda a internet! Essa é a proposta da Let’s Encrypt (Vamos Criptografar), projeto criado em 2012 por dois colaboradores da Mozilla em conjunto com a Electronic Frontier Foundation e a Universidade de Michigan.
Anunciada publicamente em 2014, recebendo a colaboração da Linux Foundation rapidamente ganhou visibilidade na internet, em outubro de 2015 já estava homologada pela maioria dos navegadores conhecidos como Chrome, Firefox, Internet Explorer.
Com o rápido crescimento devido a sua proposta inicial, que é entregar Certificados SSL gratuitamente para toda internet e com o patrocínio de grandes empresas como Cisco, Facebook e Akamai (Veja todos os patrocinadores em –, emitiu 1 milhão de certificados em pouco tempo.
O mais impressionante é que 44 dias após atingir a marca de 1 milhão a Let’s Encrypt já tinha emitido mais de 2 milhões de certificados, hoje (10/06/2016) já possui mais de 4,5 milhões de certificados ativos, conforme o gráfico disponibilizado pela própria empresa em
Esse números são facilmente explicados quando realmente entendemos que a proposta da Let’s Encrypt é muito valiosa, que é criptografar, automatizar e facilitar, isso tudo de forma gratuita e muito simples.
Esse certificado conta com um novo modelo de validação de dados onde não é necessário receber e-mails ou fazer ativações complexas, para este fim foi lançado um novo protocolo chamado ACME que faz a validação automática através de um cliente desenvolvido pela própria Certificadora.
O processo de validação original das certificadoras como Geotrust, Comodo e Symantec é o seguinte:
1) Você cria uma chave privada e um arquivo CSR que inclui informações sobre seu domínio e organização;
2) Você envia esse arquivo CSR para a certificadora;
3) A certificadora valida o arquivo por e-mail (link) ou por HTTP (criando um arquivo na raiz do seu site) e lhe envia o certificado válido .CRT;
4) Você faz a instalação do arquivo enviado pela certificadora e pronto, seu certificado está instalado.
Já o processo com a Lets Encrypt é feito da seguinte forma:
1) Você instala e configura o cliente no servidor onde o certificado será instalado (você verá os tipos de instalações para as suas aplicações no final desse conteúdo);
2) O cliente automaticamente irá identificar os certificados que você quer instalar;
3) Ele fará todo o processo de validação para você e entregará um certificado que pode ser instalado;
4) Pronto! Seu certificado encontra-se instalado.

Certificado SSL Gratuito, mas esse processo é seguro?

Sim, com uma troca de chaves ele garante segurança na emissão conforme demonstrado pelas publicações da própria Let’s Encrypt:
Instalar Certificado SSL gratuito - publicações Let's Encrypt
Como demonstrado na imagem acima, o cliente da Let’s Encrypt garante que a emissão está sendo efetuada para o servidor que fez a requisição, é bem parecido com uma validação por HTTP utilizada pelas certificadoras já existentes, só que de forma automática.
Com a validação sendo feita de forma correta, o certificado é emitido com base nos testes de chaves executados conforme demonstração na imagem abaixo:
Instalar Certificado SSL gratuito - publicações Let's Encrypt
Com a chave autorizada o certificado é emitido ao servidor e poderá ser utilizado em qualquer aplicação configurada no ambiente.
Segue abaixo as principais dúvidas referentes a você obter certificados ssl gratuitos para o seu website:

1) Eu posso utilizar o certificado SSL Grátis para qualquer tipo de site?

Sim, você pode instalar e configurar em qualquer ambiente e em qualquer provedor.

2) Irá demonstrar alguma mensagem informando que meu certificado SSL é gratuito?

Não, nada é informado. Ele é idêntico aos certificados pagos.

3) Qual a diferença do certificado grátis da Let’s Encrypt para os certificados Pagos do Mercado?

Existem diversos tipos de certificados, e você pode saber mais neste post [O que é Certificado SSL: O guia definitivo], os certificados emitidos pela Let’s Encrypt são somente certificados de validação de domínio, e neste segmento o que muda é somente a garantia em dólares, que as certificadoras comerciais entregam para seus certificados caso eles sejam explorados por algum hacker.

4) É possível ter a barra verde com certificados da Let’s Encrypt?

Não, somente o https:// estará verde pois os certificados com a GreenBar são somente emitidos depois de serem verificados por certificadoras comerciais, muito bem verificados diga-se de passagem.

5) Qual é a validade dos certificados da Let’s Encrypt?

Todos os certificados emitidos possuem validade de até 90 dias, ou seja eu aconselho você automatizar a renovação, nos tutoriais demonstramos como fazer este procedimento.

6) É possível configura https/2 com o certificado da Let’s Encrypt?

Sim, você pode saber mais sobre esse protocolo no artigo [HTTP2 seja bem vindo e adeus SDPY] e também como ele ajuda no desempenho do seu site.
Abaixo também informo quais são os limites dos certificados grátis emitidos pela Let’s Encrypt.
Os certificados possuem algumas limitações, sendo elas:
  1. Certificados SSL grátis podem possuir no máximo 100 nomes (SANs) em um mesmo certificado;
  2. A quantidade de requisições é de 5 requisições de certificado por SEMANA para cada domínio, ou seja, você pode certificar 5 x 100 domínios por certificado = 500 páginas com SSL gratuito por semana 🙂
  3. Você pode requisitar até 5 certificados para o mesmo FQDN por semana, ou seja, caso você solicite e, até 5 destes certificados com FQDN completos podem ser utilizados ao mesmo tempo, mas onde vou usar isto? Normalmente é usado em ambientes com Loadbalance ou com distribuição de carga, quem precisa deste tipo de emissão vai entender o que digo com esta informação.
  4. Por IP podem ser requisitados até 500 certificados a cada 3 horas, caso você necessite de um ambiente de testes por favor utilize o Staging Client neste link;
  5. Não existem limites de emissões para diferentes domínios, obedecendo somente os limites acima descritos POR DOMÍNIO.
Para saber mais sobre os limites dos certificados Let’s Encrypt recomendo a leitura desse artigo
Certo, agora você já sabe que pode ter um certificado seguro para o seu site de forma gratuita, eu aconselho que você faça a instalação do mesmo, abaixo tem alguns tutoriais que poderão te ajudar a instalar em seu ambiente, qualquer dúvida pergunte nos comentários.
A lista abaixo será atualizada sempre que sair um novo tutorial de instalação.
Instalar certificado SSL gratuito com Let’s Encrypt no Apache com Centos 7
Se você gostou deste conteúdo, peço que ajude mais pessoas a conhecer o Certificado SSL gratuito, compartilhando este artigo com seus amigos.
Quer saber mais coisas sobre segurança? Acesse a categoria Segurança do Blog.
Caso tenha alguma dúvida sobre o assunto, por favor deixe seu comentário que terei o prazer de conversar com você a respeito.


sexta-feira, 10 de fevereiro de 2017

Certificado Digital - Artigo, apesar de antigo, ainda é muito bom

Entendendo o mercado de certificados SSL

O SSL (Secure Socket Layer) é o protocolo usado para criar páginas seguras, encriptando toda a transmissão entre o cliente e o servidor. Eles são os responsáveis pela efetividade do protocolo HTTPS e pelo tradicional cadeado nas páginas protegidas por ele.

Os dois usos mais comuns são em páginas de comércio eletrônico, onde é necessário oferecer um ambiente seguro para concluir a transação e transmitir dados confidenciais e também a criação de ambientes administrativos como os usados pela maioria dos gestores de conteúdo, onde você tem acesso ao conteúdo do site e por isso precisa acessar sem que outras pessoas possam capturar suas senhas e outras informações.

Certificados SSL podem ser gerados facilmente através do OpenSSL, que é a mesma biblioteca utilizada pelo SSH e por diversos outros sistemas de encriptação. Você mesmo pode gerar seu próprio certificado SSL rapidamente, em praticamente qualquer distribuição Linux usando o comando "openssl", como em:

# openssl req -new -x509 -days 1095 -sha1 -newkey rsa:1024 -nodes
-keyout server.key -out meuservidor.csr

Este comando gera dois arquivos separados, o "server.key", que contém a chave criptográfica e o "meuservidor.csr", que contém o certificado que será fornecido aos clientes. Para usá-los, você precisa apenas adicionar duas linhas separadas dentro da configuração do site (virtual host) dentro da configuração do Apache, especificando as localizações dos arquivos gerados:

SSLCertificateFile /etc/apache2/ssl/meuservidor.csr
SSLCertificateKeyFile /etc/apache2/ssl/server.key

Estes certificados caseiros são chamados de certificados self-signed (auto-assinados), já que você mesmo faz o papel de entidade certificadora, gerando e assinando o certificado. O algoritmo de encriptação usado é o mesmo, de forma que um certificado self-signed corretamente gerado oferece a mesma segurança que um certificado reconhecido. O grande problema é que os navegadores nos clientes não serão capazes de verificar a autenticidade do certificado, de forma que os visitantes receberão um aviso de "certificado não reconhecido" ao acessarem a página:

O propósito de entidades certificadoras, como a Verisign é confirmar a titularidade dos certificados, confirmando que o certificado recebido ao acessar determinado site pertence realmente à entidade que o está fornecendo. É isso que garante que você está mesmo acessando o home banking do banco em que tem conta e não o site de um script kiddie qualquer.

Certificados assinados por entidades certificadoras são automaticamente aceitos pelos navegadores (já que sua identidade já foi confirmada pela entidade certificadora), o que evita a exibição da mensagem. Ou seja, ao obter um certificado reconhecido, você obtém o selo de aprovação da entidade cerificadora, que comprova a autenticidade do seu site e passa a oferecer um certo nível de garantia contra fraudes. É por isso que um certificado reconhecido é praticamente um pré-requisito para qualquer página de comércio eletrônico.

Uma das entidades certificadoras mais tradicionais é a Verisign (, que oferece uma série de garantias sobre os certificados emitidos. O grande problema com relação à Verisign é o preço: o certificado de validação mais simples custa nada menos de US$ 499 anuais, com opções de até US$ 1499:

Com preços tão altos, não é de se estranhar que existam inúmeras outras entidades certificadoras menores, que oferecem preços mais competitivos.

Alguns exemplos são a Thawte ( a GeoTrust (, a NetworkSolutions (, a Digicert ( e a Comodo (, que possui opções a partir de US$ 79 anuais.

A Comodo é a mesma empresa que desenvolve o Comodo Firewall, distribuído gratuitamente como uma forma de divulgação dos serviços de certificação. No site está disponível também a opção de gerar um certificado de teste (válido por 90 dias) gratuitamente, que você pode usar para fins de teste, ou quando quiser colocar uma loja virtual no ar rapidamente, deixando para aderir a um dos planos pagos mais tarde:

Existem ainda casos de empresas que oferecem certificados de baixo custo, como a Godaddy (, a mesma que faz registro de domínios), que oferece certificados a partir de US$ 29.90:

Em termos de segurança, não existe muita diferença entre um certificado emitido pela Godaddy ou pela Verisign, as principais diferenças são o nível de validação e as garantias oferecidas por cada uma em caso de fraude ou de quebra da chave criptográfica. Assim como em outras áreas, o principal fator na decisão acaba sendo a questão da confiança.

Muitos serviços de hospedagem oferecem a possibilidade de utilizar um certificado compartilhado, onde a empresa responsável "empresta" seu próprio certificado para uso dos clientes, em troca de uma taxa de manutenção anual. Esta opção pode parecer interessante devido ao baixo custo e à facilidade de implementação, mas não é o mesmo que obter seu próprio certificado, já que muito provavelmente você precisará hospedar seu site em um subdomínio e os clientes verão o nome da empresa de hospedagem (e não o nome da sua empresa) ao examinarem as propriedades do certificado.

Existe ainda a possibilidade de obter também um certificado gratuito no Ele é reconhecido pela CAcert, mas o certificado raiz deles não vem pré-instalado na maioria dos navegadores, o que faz com que os clientes continuem recebendo a mensagem de certificado não válido ao acessar o servidor, de forma similar ao que temos ao usar um certificado self-signed.

Ao contratar os serviços de uma entidade certificadora, sua parte no trabalho é a de gerar uma chave de encriptação e uma requisição de certificado, o que é novamente feito usando o openssl:

# openssl req -new -nodes -keyout gdhn.key -out gdhn.csr

O "gdhn.key" e o "gdhn.csr" indicam os arquivos com a chave e com a requisição do certificado que serão gerados. Você precisará responder as mesmas perguntas sobre o país, estado, cidade, nome da empresa, etc., que precisam ser respondidos corretamente, já que as informações serão examinadas não apenas pela entidade certificadora, mas também pelos clientes:

Country Name (2 letter code) [AU]: BR
State or Province Name (full name) [Some-State]: Estado
Locality Name (eg, city) []: Cidade
Organization Name (eg, company) []: Minha Empresa LTDA
Organizational Unit Name (eg, section) []: Vendas
Common Name (eg, YOUR name) []:

O campo "Common Name" deve ser preenchido com o domínio onde o certificado será usado (incluindo o "www" ou o subdomínio usado), caso contrário os clientes receberão um aviso ao acessarem o site:

Em geral, as entidades certificadores oferecem a opção de obter um certificado curinga (wildcard), que cobre automaticamente todos os subdomínios usados no site. Entretanto, como eles abrem a possibilidade de usar vários subdomínios usando um único certificado, as certificadoras cobram bem mais caro por eles:

Depois de gerar a requisição, o próximo passo é enviar o arquivo .csr para a entidade certificadora, que o usará para gerar o certificado. O arquivo .csr é na verdade um arquivo de texto plano, cujo conteúdo pode ser copiado e colado em um formulário web. Depois de confirmada sua identidade e feito o pagamento, você receberá de volta o certificado assinado, que pode ser então usado na configuração do Apache.

A configuração consiste em adicionar as linhas "SSLCertificateFile" e "SSLCertificateKeyFile" indicando a localização do arquivo .crt e .key recebidos. Em muitos casos, você receberá também um terceiro arquivo, com extensão "ca-bundle" ou similar, que é usado em conjunto com uma terceira opção a "SSLCertificateChainFile". Este terceiro arquivo contém uma combinação de certificados que permitem aos clientes chegar até o certificado raiz da entidade certificadora, de forma a comprovarem a autenticidade do seu certificado ele é também chamado de certificado intermediário (Intermediate Certificate). Aqui temos um exemplo de configuração com as três opções:

DocumentRoot /var/www/gdhn
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/ssl_gdhn_com_br.crt
SSLCertificateKeyFile /etc/apache2/ssl/gdhn_com_br.key
SSLCertificateChainFile /etc/apache2/ssl/

O processo de emissão do certificado inclui uma verificação de identidade, que é justamente um dos principais papéis da entidade certificadora, já que se qualquer um pudesse gerar certificados válidos no nome de qualquer outro, o sistema perderia completamente o sentido. Nos planos mais simples, como no certificado gratuito oferecido pela Comodo, é feita uma simples verificação de titularidade via e-mail, onde você deve confirmar um código enviado para uma conta administrativa, como "admin@meudominio" ou "hostmaster@meudominio". Nos planos mais caros (onde a entidade certificadora realmente oferece garantias, inclusive financeiras sobre o certificado emitido) o processo é mais burocrático, incluindo o envio de documentos.


A Cacert ainda não vem preinstalado com CA.
a GoDaddy tem uma promoçao de certificados a R$13,25 (2017-02-10)
incluir comentarios sobre startssl rapidssl,
incluir comentarios sobre sssforfree letsencrypt e by .

Pra descontrair - Super-heróis e criptografia

Mozilla lista super-heróis que usam a criptografia para o bem

Empresa apoia internet livre e democrática e listou personagens de quadrinhos que utilizam ferramenta para proteção da sociedade, mostrando como os aspectos da ficção também estão no cotidiano das pessoas 09/02/2017 às 13h51 - Atualizado em 09/02/2017 às 13h51

A criptografia pode ser considerada vilã em alguns discursos ou por políticos, como no caso Apple versus FBI, em que o governo norte-americano pressionou a empresa de tecnologia a ceder dados de usuários. No entanto, a mesma protege e dificulta o vazamento de informações pessoais de milhões usuários. Sem a criptografia, tanto a vida online quanto a offline podem ser expostas para pessoas má intencionadas.

A Mozilla luta por uma internet livre e democrática, assim como diversos super-heróis. Por conta disso, a empresa nominou alguns heróis que utilizam a criptografia para o bem e para a proteção da sociedade, a fim de denotar que aspectos do universo da ficção também estão no cotidiano de todas pessoas. Confira abaixo a lista:

Barbara Gordon

Créditos: / Barbara Gordon (DC Comics)

Barbara Gordon, também conhecida como Batgirl ou Oráculo, comumente auxilia Batman com sua expertise em computação. Ela criptografa linhas de comunicação que permitem um compartilhamento de informações sigilosas com o Cavaleiro das Trevas, permitindo que eles ajam em conjunto contra o crime.

Acredite ou não, as pessoas não são tão diferentes de Barbara Gordon quando compartilham suas informações online. Se você está logado em sua conta de banco, e-mail, ou redes sociais, há chances de seu usuário e senhas estarem codificados, protegendo vocês de espiões. E, talvez, do próprio Coringa.


Créditos: / Batman (DC Comics)

Bruce Wayne, que além de ser mestre em artes marciais e possuir uma perseverança indomável e um inigualável senso de justiça, construiu um dos maiores centros tecnológicos do universo dos quadrinhos: a Batcaverna. Todos os sistemas do local são criptografados e qualquer possível brecha na segurança faz soar um alarme para que o Batman e a Oráculo se prevenirem.

Também existem espaços físicos criptografados na “vida real”. Empresas de tecnologia, por exemplo, possuem servidores que contém informação criptografada armazenada. Caso utilize algum tipo de navegador (como o Firefox), sua informação provavelmente está em contato com inúmeros servidores todos os dias. No entanto, diferente da ficção, assim que a falha for descoberta, possivelmente alguém já terá invadido seu sistema e seus dados. Por isso, uma criptografia forte reduz drasticamente a chance de alguma informação sua ser acessada por cibercriminosos.

Rick Jones e Os Vingadores

Créditos: / Rick Jones and the Avengers (Marvel Comics)

Rick Jones e o resto do Teen Brigade transmitem informação em tempo real para Os Vingadores: mensagens criptografadas e secretas servem como alertas de ameaças ou até mesmo apontar civis que precisem de ajuda. Jones e sua equipe são uma aliada frequente, além de informantes, de Os Vingadores, por conta disso a privacidade é imprescindível para eles.

Essa comunicação criptografada que trafega de uma fonte para diversos destinos também é comum mundo “real”. Por exemplo, uma rede de criptografia chamada I-24/7 permite agentes da Interpol e países aliados a distribuir seguramente informações para outros centros de inteligência ou Governos.


Créditos: Marvel / Spider-Man (Marvel Comics)

O Homem-Aranha abusa do sarcasmo e ironias para deter criminosos nos quadrinhos – atividade que exerce mesmo sendo um mero estudante. Por conta disso, George Stacy, capitão da NYPD (Departamento de Polícia de Nova Iorque), mesmo sabendo da verdadeira identidade de Peter Parker, eventualmente ajuda o herói a se afastar de atividades escolares para combater o crime. Por conta disso, o diálogo presencial de ambos, em público, é criptografado:  isto é, uma linguagem que apenas os dois podem entender.

Encriptação é a garantia de que a informação irá sair e chegar apenas nos envolvidos, sem vazar para terceiros. A Mozilla acredita no poder da criptografia e no poder dos super-heróis. No entanto, no mundo digital, os mocinhos e vilões não são tão fáceis de se identificar. É por isso que a empresa utiliza grande parte de seu tempo desenvolvendo tecnologia e políticas para um mundo online mais seguro. Como um herói que é parte engenheiro de software e outra parte jurista – lutando com todo seu coração para um mundo mais seguro e justo.


quinta-feira, 9 de fevereiro de 2017

GenieACS - instalacao (tambem funciona para Ubuntu14.04)

Installation in Debian 8.6

For Sable Version

1- Get package dependencies. I like to use joe as editor for later file edition.
aptitude install checkinstall build-essential zlib1g-dev libssl-dev libreadline6-dev libyaml-dev sudo unzip redis-server mongodb libsqlite3-dev curl joe tmux
2- Get, Compile and Install Ruby 2.3.1
cd /opt
tar -zxvf ruby-2.3.1.tar.gz
cd ruby-2.3.1
make install
gem install rails
gem install bundle --pre
3- Get, Compile and Install Node 0.12.17
cd /opt
tar -xzvf node-v0.12.17.tar.gz
cd node-v0.12.17
make install
4- Get GenieACS stable 1.0.7
cd /opt
tar -xzvf genieacs-1.0.7.tgz
mv package genieacs
cd genieacs
npm install
npm run configure
5- Get GenieACS GUI stable v1.0
cd /opt
mv genieacs-gui-1.0 genieacs-gui
cd genieacs-gui
bundle update
cp config/graphs-sample.json.erb config/graphs.json.erb
cp config/index_parameters-sample.yml config/index_parameters.yml
cp config/summary_parameters-sample.yml config/summary_parameters.yml
cp config/parameters_edit-sample.yml config/parameters_edit.yml
cp config/parameter_renderers-sample.yml config/parameter_renderers.yml
cp config/roles-sample.yml config/roles.yml
cp config/users-sample.yml config/users.yml
From this point you can follow other guides like startup/stop scripts and such.

For Alpha (1.1.0) Version

1- Get package dependencies. I like to use joe as editor for later file edition.
aptitude install checkinstall build-essential zlib1g-dev libssl-dev libreadline6-dev libyaml-dev sudo unzip redis-server mongodb libsqlite3-dev curl joe tmux
2- Get, Compile and Install Ruby 2.3.1
cd /opt
tar -zxvf ruby-2.3.1.tar.gz
cd ruby-2.3.1
make install
gem install rails
gem install bundle --pre
3- Get, Compile and Install Node 4.6.2
cd /opt
tar -xzvf node-v4.6.2.tar.gz
cd node-v4.6.2
make install
4- Get GenieACS alpha 1.1.0
cd /opt
cd genieacs-master
npm install
npm run configure
npm run compile
5- Get GenieACS GUI alpha v1.1.0
cd /opt
cd genieacs-gui-master
bundle install
bundle update
cp config/graphs-sample.json.erb config/graphs.json.erb
cp config/index_parameters-sample.yml config/index_parameters.yml
cp config/summary_parameters-sample.yml config/summary_parameters.yml
cp config/parameters_edit-sample.yml config/parameters_edit.yml
cp config/parameter_renderers-sample.yml config/parameter_renderers.yml
cp config/roles-sample.yml config/roles.yml
cp config/users-sample.yml config/users.yml
bin/rails db:migrate RAILS_ENV=development
From this point you can follow other guides like startup/stop scripts and such.

-------- Comentários ----
 - há uma carencia grande de documentação para configurar corretamente os CPEs.
- os scripts passa-a-passo para Ubuntu 14.04 ou qq outro que está no site não funcionam corretamente, acreditem testei todos, inclusive o scrip .sh que dá uma m...a!
- para mim o produto não é escalavel o suficiente e nem gera relatorios que eu preciso.
- falta eu incluir os adendos como fail2ban e e concatenar as informações de criação de scripts de down e up que estao espalhado pelo site do projeto. (não sei se farei já que ele não me atendo para aquilo que eu preciso)
  - tem um bug violento na aba de Devices cuja tabela vem em branco na versão 1.1.0, sei que na versao anterior estava funcionando....mas acho que perco alguma features da 1.1 que talvez me seja util.

segunda-feira, 6 de fevereiro de 2017

Mikrotik - Use Let’s Encrypt SSL certificate on Mikrotik RouterOS

These are step by step instructions how to import and use a Let’s Encrypt SSL certificate on your Mikrotik routerboard.
There are a number of Let’s Encrypt clients out there. But my favourite so far is by . The only requirement is a shell. Works fine running as a unprivileged user as well.
In the steps below, I’m using DNS validation, but of course you can use web based as well.
In that case forward a port to the computer running and use –standalone and –httpport (if you use a non standard port) instead of –dns.


  1. Download and install Or, if you’re in “dont-really- care-what-i-download-and-run”-mode:
    $ curl | sh
  2. Then issue a new certificate:
    $ --issue --dns -d
  3. Add the TXT record displayed to your DNS. Look for this:
    Domain: '' 
    TXT value: 'iamNo7r3alIaHacK3rbutItc4nBfunM3ss1nGaroUnD'
  4. After you’ve added your TXT record, issue a renewal:
    $ --renew -d                                                                                                              [205/397] 
    [thu 12 jan. 2017 20:06:09 CET] Renew: '' 
    [thu 12 jan. 2017 20:06:09 CET] Single domain='' 
    [thu 12 jan. 2017 20:06:09 CET] Getting domain auth token for each domain 
    [thu 12 jan. 2017 20:06:09 CET] 
    [thu 12 jan. 2017 20:06:14 CET] Success 
    [thu 12 jan. 2017 20:06:14 CET] Verify finished, start to sign. 
    [thu 12 jan. 2017 20:06:15 CET] Cert success.
  5. Install your cert. And yes, you should specify the same file for –capath and –certpath.
    $ --installcert -d \
              --capath /home/certs/ \
              --certpath /home/certs/ \
              --keypath /home/ogg/certs/
    [thu 12 jan. 2017 20:18:03 CET] Installing cert to:/home/certs/
    [thu 12 jan. 2017 20:18:03 CET] Installing CA to:/home/certs/
    [thu 12 jan. 2017 20:18:03 CET] Installing key to:/home/certs/
    You now have two files to upload to your Mikrotik device. and
  6. Upload the two files to your Mikrotik. I’m assuming you have ssh enabled and can login.
    $ scp                              100% 1337     1.6KB/s   00:00
    $ scp                              100% 8888     1.6KB/s   00:00
  7. SSH into your router and import the certificates
    /certificate import
    /certificate import
    you can then verify they’re imported. Remember the name of your certificate (used in the last step).
    /certificate print
    Flags: K - private-key, D - dsa, L - crl, C - smart-card-key, A - authority, I - issued, R - revoked, E - expired, T - trusted
     #        NAME                       COMMON-NAME                 SUBJECT-ALT-NAME         FINGERPRINT                   
     0 K    T  133713371337133713371337133...
     1   L  T  Let's Encrypt Authority X3                           713371337133713371337133713...
  8. Final step, tell your www-ssl service to use the certificate.
    /ip service set www-ssl
And that’s it! already have set up a cronjob for you doing the renewal. You can then use a shell script to automatically upload after renewal. To do so, point to that script –reload-cmd for it to be run after renewal.
On the Mikrotik side, you can write a script that checks if there are any certs to import, import them. You can then run this using the Scheduler. Maybe once a day/week or so to make sure you never have outdated certificates.

Example scripts



Thanks Olle Gustafsson

sábado, 4 de fevereiro de 2017

Mikrotik - auto upgrade script

##   Automatically upgrade RouterOS and Firmware
##   script by Maxim Krusina,
##   based on:
##   created: 2014-12-05
##   updated: 2015-12-09
##   tested on: RouterOS 6.33.1 / multiple HW devices, won't work on 6.27 and older (different update process & value naming)

########## Set variables

## Notification e-mail
:local email ""

########## Do the stuff

## Check for update
/system package update
set channel=current

## Waint on slow connections
:delay 15s;

## Important note: "installed-version" was "current-version" on older Roter OSes
:if ([get installed-version] != [get latest-version]) do={ 

   ## New version of RouterOS available, let's upgrade
   /tool e-mail send to="$email" subject="Upgrading RouterOS on router $[/system identity get name]" body="Upgrading RouterOS on router $[/system identity get name] from $[/system package update get installed-version] to $[/system package update get latest-version] (channel:$[/system package update get channel])"
   :log info ("Upgrading RouterOS on router $[/system identity get name] from $[/system package update get installed-version] to $[/system package update get latest-version] (channel:$[/system package update get channel])")     

   ## Wait for mail to be send & upgrade
   :delay 15s;
   ## "install" command is reincarnation of the "upgrade" command - doing exactly the same but under a different name

} else={

   ## RouterOS latest, let's check for updated firmware
    :log info ("No RouterOS upgrade found, checking for HW upgrade...")

   /system routerboard

   :if ( [get current-firmware] != [get upgrade-firmware]) do={ 

      ## New version of firmware available, let's upgrade
      /tool e-mail send to="$email" subject="Upgrading firmware on router $[/system identity get name]" body="Upgrading firmware on router $[/system identity get name] from $[/system routerboard get current-firmware] to $[/system routerboard get upgrade-firmware]"
      :log info ("Upgrading firmware on router $[/system identity get name] from $[/system routerboard get current-firmware] to $[/system routerboard get upgrade-firmware]")
      ## Wait for mail to be send & upgrade
      :delay 15s;

      ## Wait for upgrade, then reboot
      :delay 180s;
      /system reboot

   } else={

   :log info ("No Router HW upgrade found")