Pokusy o přihlášení na Mikrotiky

dalibortoman

DD,

nevim, co chces slyset. Skeny jsou a budou. Pokud ma neco verejnou IP a neni chraneno firewallem, tak se vzdycky najde neco/nekdo, kdo se na to pokusi pripojit. Nic konkretniho se z tech pokusu o prihlaseni, vykoukat neda. Krome toho, ze ty pokusy o prihlaseni jsou neuspesne a jake Ti bezi sluzby. K PPTP nevim, co rict - nepouzivam nevim jak se chova. Pruniky (Chimay-red) se v logu neobjevi = z logu se nedozvis, ze se nekdo proboril dovnitr. Pokud mas ROS ve stare verzi pak zalezi na jeke platforme ten ROS bezi. K X86 a misbe jsou k mani exploity, takze pokud mas neco z toho tak uz jsi mel nezvanou navstevu. U ostatnich architektur je IMHO sance na prunik mensi ale sazet se na to asi nevyplati.

Na MT GW IMO nema co delat zaply www/www-ssl a ani FTP. Pokud je potrebujes, tak jen pro vymezeny rozsah IP - to samozrejme plati i pro ostatni sluzby

noxus28

JJ ako bolo spomenuté pokiaľ je možnosť všetky služby z WAN zakázať a nie len v services / povolené IP ale na tvrdo firewall pravidlom. Prípadne povoliť len z adries o ktorých vieš že to potrebuješ. Hlavne momentálne pozor na winbox

mpcz

to DT: dík, třeba toto. Z toho je nejdůležitější poznatek, že průnik není zalogován. Vůbec nijak? A co mi není jasné, je stav, kdy před vypuknutím aféry BYLA verze 6.35, pak jsem dal 6.4x. Dá se spolehlivě určit, jestli byl před upgrade RB nebo X86 napaden/prolomen, jestli upgrade ROSu všechny skryté úpravy "virem" zlikvidoval, popř. jak spolehlivě identifikovat pozůstatky z "viru" v systému po upgrade, popř. jeho stále aktivní části. A je už někomu známo/tuší, co vlastně má "vir" za cíl? Jak řeší upgrade ROS ti, co mají veřejku na RB 532 atd., pro kteréžto RB není pokračování ROS? Je toho hodně, že .. Děkuji, mpcz, 8.may.2018

myghael

RB133, RB532, RB532A a podobné historické kousky ještě v provozu potkávám, ale jako bránu do internetu už to dnes (snad) nikdo nepoužívá. Pokud ano, zřejmě o důvod víc k upgradu, přinejmenším na RB433AH, ne-li rovnou na něco aktuálního. Ti co chtějí prkno s 3+ ethernety a kartou/kartama si můžou koupit RouterBoard M33G, po všech ohledech plnohodnotný routerboard klasické koncepce (holá deska s ethernet porty a sloty na karty).

mpcz

A RB600, na který se mi nikdy nepodařilo instalovat/provozovat ROS 6.xx bez problémů? A co RB532 u klienta s věřejkou? Není to to stejné? Dík, mpcz 9.may.2018

dalibortoman

to DT: dík, třeba toto. Z toho je nejdůležitější poznatek, že průnik není zalogován. Vůbec nijak? A co mi není jasné, je stav, kdy před vypuknutím aféry BYLA verze 6.35, pak jsem dal 6.4x. Dá se spolehlivě určit, jestli byl před upgrade RB nebo X86 napaden/prolomen, jestli upgrade ROSu všechny skryté úpravy "virem" zlikvidoval, popř. jak spolehlivě identifikovat pozůstatky z "viru" v systému po upgrade, popř. jeho stále aktivní části. A je už někomu známo/tuší, co vlastně má "vir" za cíl? Jak řeší upgrade ROS ti, co mají veřejku na RB 532 atd., pro kteréžto RB není pokračování ROS? Je toho hodně, že .. Děkuji, mpcz, 8.may.2018

spolehlive nebudes vedet nic. Pokud mas pochynosti, pak by mel pomoci netinstall. Breberky snad format flashky neprezijou a do BIOSu se snad Mikrotikum zatim take nic nedostalo (doufam). Osobne ale celkem verim prohlaseni MIkrotiku, ze nove ROSy pri instalaci zlikviduji vsechno, co neznaji. To se da snadno zaridit seznamem souboru, ktere jsou soucasti instalace a jejich kontrolnimi soucty. Asi budou jeste nejake soubory, ktere nejsou schopni zverifikovat (konfigurace apod) ale spustitelne binarky by meli byt schopni pohlidat

'Hacknul' jsem si asi 3 MT pomoci https://github.com/BigNerd95/Chimay-Red a v logu se neobjevilo vubec nic. Ani sestreleni WWW serveru se nezalogovalo (Content-Length: -1 chyba v obsluze HTTP requestu je skolacka). Lze tak ziskat soubor s hesly a v tom exploitu je hned i dekodovaci utilita, ktera vyzradi plain text hesla.

Bohuzel zadny zakaznicky MT WiFi router, ktery uz je prokazatelne skrz WWW napadeny se mi nepodarilo hacknout (abych ho upgradem prelecil aniz bych musel konkatovat zakaznika). Asi se ta breberka brani nasobnemu hacku.

Stare ROSy (5.x) jsou proti tomuto utoku asi v bezpeci (i kdyby ne staci zastavit WWW service). Ale verejku na MT by mel chranit firewall. Problem je, ze nove je potreba ten MT chranit jeste pred zakaznikem, co je k nemu pripojeny. Coz netusim jak bezpecne vyresit aniz bych ustrihl moznost managementu toho MT nasim technikem po eth

mpcz

Aha, no nevím, jestli to chápu dobře, ale pokud se někdo spokojí pouze s upgrade, má problém, protože útočník již zná heslo do přihlášení. Pak se může dostat do MKT kdy se mu zachce. Takový vlom by už byl logován? Dík, mpcz, 8.may.2018

dalibortoman

Aha, no nevím, jestli to chápu dobře, ale pokud se někdo spokojí pouze s upgrade, má problém, protože útočník již zná heslo do přihlášení. Pak se může dostat do MKT kdy se mu zachce. Takový vlom by už byl logován? Dík, mpcz, 8.may.2018

samozrejme hesla jsou potencialne prozrazena. Ja nel na mysli spis to, zda neni mozne, aby po upgradu zustal ten virus aktivni.

Prihlaseni beznym zpusobem se loguje.

mpcz

OK a co tak v době, když je vlomen do systému, upravit si nějaký soubor s konfigurací? Třeba si přidat další účet a heslo "pro příště". Upgradem se to asi neovlivní a možnost se kdykoliv vlomit je tu. Přidaného účtu si málokdo bez upozornění všimne. A odborník by určitě přišel i na dokonalejší věci. mpcz, 8.may.2018

rsaf

Hele co pořád řešíš? Hesla jsou poteniálně prozrazena, V zařízení potenciálně běžel škodlivý kód, který mohl dělat cokoliv, teoreticky vč. ovlivnění procesu upgrade na novou verzi tak, aby zůstal žít. Neříkám že se to dělo nebo děje, ale potenciálně možné to je. Potenciálně mohl být napaden i BIOS. Netinstall je tak o něco jistější než klasický upgrade, ovšem 100% by byl asi až JTAG.

Za poslední rok nebo dva byly minimálně dvě zásadní bezpečnostní chyby v managementu jak v ROS tak v UBNT. Každý kdo si má všech 5 pohromadě musí nezbytně dojít k tomu, že 100% managementu jeho zařízení prostě musí zmizet z internetu (u ISP i ze zákaznické sítě).

myghael

A RB600, na který se mi nikdy nepodařilo instalovat/provozovat ROS 6.xx bez problémů? A co RB532 u klienta s věřejkou? Není to to stejné? Dík, mpcz 9.may.2018

To je zvláštní, mě na RB600A tohle chodí. Ale řešit tento problém, tak to rovnou spojím s upgradem na RBM33G, který je výkonnější a má výrazně menší spotřebu - a stojí krucinál míň než 900 Kč. Samozřejmě do něj nenaperu 4 ks miniPCI karet, ale tohle už dnes řeší málokdo, takže počet slotů na RB M33G je dostatečný, případně rozhodím na jeden či víc RB M11G (nebo RB433AH/RB411AH pokud nutně musím mít miniPCI a ne miniPCI-E). U RB532 lze říct totéž, samozřejmě pokud nepotřebuji nutně jednu z těch nástaveb (jedna měla 16x ethernet, druhá 4x miniPCI).

Sám jsem příznivec starých věcí a mám doma krabici plnou historických routerboardů (od RB112 a RB133 dále, i ty RB532, RB600 a RB433UAH bych našel) i jiných síťových zařízení, která mnohdy ještě k něčemu využiju, ale provozovat to 24/7 na síti či jako bránu do internetu? "Problém" s upgradem RB532 a podobných "vykopávek" bych doporučil řešit přechodem na novější board. Každý kdo si domů schválně koupí mikrotik jako router může oželet těch pár stokorun za novější výbavičku, i kdyby jetou z bazaru. Třeba něco ze série hEX nebo hAP.

selic

Ze strany zákazníka jsme to vyřešili povolením SSH a Winboxu pouze z jedné konkrétní IP adresy mimo rozsah DHCP "zákazníka". Technik holt musí nastavit IP ručně.

dalibortoman

Stare ROSy (5.x) jsou proti tomuto utoku asi v bezpeci (i kdyby ne staci zastavit WWW service). Ale verejku na MT by mel chranit firewall. Problem je, ze nove je potreba ten MT chranit jeste pred zakaznikem, co je k nemu pripojeny. Coz netusim jak bezpecne vyresit aniz bych ustrihl moznost managementu toho MT nasim technikem po eth

Ze strany zákazníka jsme to vyřešili povolením SSH a Winboxu pouze z jedné konkrétní IP adresy mimo rozsah DHCP "zákazníka". Technik holt musí nastavit IP ručně.

mac-winbox/mac-telnet zakazany? Neighbor discovery smerm k zakaznikovi take?

mpcz

Aha, no nevím, jestli to chápu dobře, ale pokud se někdo spokojí pouze s upgrade, má problém, protože útočník již zná heslo do přihlášení. Pak se může dostat do MKT kdy se mu zachce. Takový vlom by už byl logován? Dík, mpcz, 8.may.2018

Prihlaseni beznym zpusobem se loguje.

Zdravím, nastražil jsem jeden plonkový MKT s veřejkou a starým 6.35, netrvalo dlouho a v logu toto:

may/11 06 system,info sntp change time May/11/2018 06 => May/11/2018 06

may/11 07 system,error,critical login failure for user admin from 123.249.42.98 via web

may/11 07 system,info,account user admin logged in from 123.249.42.98 via web

may/11 07 system,info,account user admin logged out from 123.249.42.98 via web

may/11 07 system,info sntp change time May/11/2018 07 => May/11/2018 07

may/11 09 system,info sntp change time May/11/2018 09 => May/11/2018 09

may/11 09 system,error,critical login failure for user admin from 47.52.63.226 via web

may/11 09 system,info,account user admin logged in from 47.52.63.226 via web

may/11 09 system,info,account user admin logged out from 47.52.63.226 via web

may/11 09 system,info sntp change time May/11/2018 09 => May/11/2018 09

may/11 10 system,info sntp change time May/11/2018 10 => May/11/2018 10

may/11 09 system,info sntp change time May/11/2018 09 => May/11/2018 09

may/11 09 system,error,critical login failure for user admin from 47.52.63.226 via web

may/11 09 system,info,account user admin logged in from 47.52.63.226 via web

may/11 09 system,info,account user admin logged out from 47.52.63.226 via web

may/11 09 system,info sntp change time May/11/2018 09 => May/11/2018 09

Kdo se tím podrobněji zabývá: jedná se o opakované prolamování do přihlášení z několika různých zdrojů? Někdo tady psal, že po prolomení se už další nepodaří. A někdo také to, že haknutí není logováno. Je nebo není? Děkuji, mpcz, 13.may.2018