MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

rsaf

Taky to vidím na úmrtí HW (např. poškozená databáze uživatelů) nebo nějaký SW BUG související s danou (dnes již odepsanou) platformou/typem boardu.

A trošku souhlasím s Hapim, že to v tématu o aktuálních BUGách prostě nemá co dělat.

honzam

Připomínám že zítra budou zveřejněny chyby které dokáží schodit celý router na kterém je nastaveno IPV6.

selic

Taky to vidím na úmrtí HW (např. poškozená databáze uživatelů) nebo nějaký SW BUG související s danou (dnes již odepsanou) platformou/typem boardu.

A trošku souhlasím s Hapim, že to v tématu o aktuálních BUGách prostě nemá co dělat.

Kolik to ukazuje vadných bloků na flash?

jirina_ce

mě říkali že jsem paranoidní, když jsem vypínal winbox mac server, před normální winbox jsem stavěl firewally, defaultní politiku na inputu mám drop a víš co ... ono se mi to vyplácí

Už chybí povolit přístup jen z jedné IP adresy. A na tu IP adresa posadit VPNku :) Né dělám si srandu, ale vyplácí se to

Ty si děláš legraci, ale u nás VPN bylo to jediné co po měsíci lítání a netinstalování po síti pomohlo... (domněnka: ty potvůrky se snad napadali po L2 vrstvě navzájem).

Service:

- WWW, WWW-SSL, FTP, TELNET = disable

- API-SSL, SSH, SNMP (oba jiné porty než default) = blokace na jednu konkrétní IP.

- Winbox = povolen pouze na 3 IP (VPN, důvěryhodná a rezervní).

Našli jsme si svůj postup jak znefunkčnit MAC Telnet (ale když chceme a víme jak, tak funguje).

VPN má ochranu, pokud se na ni 2x za sebou špatně přihlásíš, tak BAN zdrojové IP na 30 dní.

Routery mají povolen pouze forward (a na něm určité restrikce pro zničení neobvykle silně agresivních chování), input povolen pouze z těch 3 IP...

Ano je to občas docela voser, když se něco servisuje, ale co se dá dělat.

Pokud máš na RB dost portů, doporučuji jeden vyhradit jako fyzický přístup (servisní port) kde funguje vše bez těch krutých omezení... (v případě nutnosti osobního servisu na POPu).

Na každém POPu jiná hesla (kdo zná klíč podle kterého se definuje heslo, tak to není takový problém)...

Také mi říkali, že to přeháním, nakonec ta VPN byla uznaná jako dobrý nápad. Teď pracuji na tom, aby byl management, (dohled-nagios) oddělen od uživatelských dat (zkouším několik bláznivin jako EoIP, VLAN, atd.)...

Víc nevyzradím, nebo mi utrhnou hlavu :)

hapi

pěkný... ale proč do toho tahat další službu když to samí se dá udělat na úrovni firewallu. Takhle se musím starat o další službu která nefunguje když board nemá přístup k VPN.

Kdyby byl router z veřejkou zabezpečen už v době útoků obyčejným dropem na inputu tak nebylo třeba netinstalovat.

mpcz

mě říkali že jsem paranoidní, když jsem vypínal winbox mac server, před normální winbox jsem stavěl firewally, defaultní politiku na inputu mám drop a víš co ... ono se mi to vyplácí

Už chybí povolit přístup jen z jedné IP adresy. A na tu IP adresa posadit VPNku :) Né dělám si srandu, ale vyplácí se to

Zdravím, VPNka, alespoň pro mě je široký pojem. Jaký konkrétní typ je nejlepší použít? Dík, mpcz, 18jun2019

rsaf

Některá ta opatření mi připadají až extrémní, já to dělám nějak takhle. Mám definovanou "admin-net" třeba 172.16.0.0/16 a pak "mgmt-net" 172.17.0.0/16.

Na všech mikrotikách mám v imputu filtr, že můžou komunikovat jen s mgmt-net. Na všech routerech (nejen mikrotiky ale i páteřní cisco, L3 switche...) mám ve forwardu nastaveno, že mgmt-net smí komunikovat jen s admin-net.

V nějakém subnetu z admin-net mám pár virtuálek - monitoring, NTP server, SMTP server, logserver, web/ftp s firmwary, windows stroj s RDP... Subnet z admin-net máme i v kanclu, taky z toho rozsahu máme servisní VPN...

Všechna zařízení mají na mamagement adresu z mgmt-net - nejen mikrotiky ale i všechny ostatní spoje, switche, UPSky...

Takto mám zajištěno, že se celkem bez problémů dostanu ke všem zařízením pro správu, na zařízeních mám dostupné nějaké základní služby (NTP, mám odkud sosnout firmware) a zařízení na sebe vzájemně vidí jen v rámci jednoho subnetu (takže např. jen pár mikrotiku na jednom situ).

Když musí mít mikrotik veřejku, tak má ještě sekundární mgmt adresu (a ve všech je univerzální FW na inputu, který povoluje jen komunikaci s DST adresou z mgmt-net).

Když už misí mít veřejku jiný krám kde není možné nastavit rozumný firewall, přehazuji management na předem definované nestandardní porty. Porty jsou vybrané tak, aby seděly do jedné "bitové masky" (třeba 33328-33335) což pak boxy s TCAM umí zpracovat ve filtrech jako jedno pravidlo. Komunikaci navazovanou na tyto porty z internetu blokuji na hraničním routeru.

hapi

a když router neni připojen do sítě tak aby se na něj dalo dostat z těch povolených subnetů tak jak do toho lezeš?

basty

a když router neni připojen do sítě tak aby se na něj dalo dostat z těch povolených subnetů tak jak do toho lezeš?

tohle mě taky zajima

ludvik

Vezmu noťas a nastavím mu tu správnou IP?

hapi

nesmysl. Ten povolenej subnet neni na lokálním iface takže k čemu to bude?

pepulis

a když router neni připojen do sítě tak aby se na něj dalo dostat z těch povolených subnetů tak jak do toho lezeš?

Na tom predce nic neni. Pokud ma router povolen pristup pouze ze segmentu napr. 192.168.1.0/24, tak v pripade, ze ho mam odpojeny ze site a na stole, tak si na notebooku nastavim jakoukoliv ip z toho rozsahu a je. Mozna jsem ale dozat jen nepochopil :-).

ludvik

cituji: Všechna zařízení mají na mamagement adresu z mgmt-net

nesmysl. Ten povolenej subnet neni na lokálním iface takže k čemu to bude?

Ale je fakt, že všechny tyhle "enterprise" řešení práci dost komplikují. Ne vše má RS232 abych mohl dělat i bez IP. A ne vše má rozumné CLI. Prostě otrava. Chce to samostatný management port, aby se dalo na místě jednoduše připojit. Jenže to také někdy nejde.

V případě mikrotiku lze použít mac-telnet. Sice po určitých zkušenostech je to také díra do systému ... ale mohu ho zakázat jen tam, kde jsou obyč lidé a nechat na infrastrukturních portech. A v případě nouze prostě něco odpojit.

rsaf

good point - SSH na nestandardní port přehazuju prakticky všude a většinou mám povolené SSH na uplink portu nebo tak něco.

Osobně si myslím, že SSH se silným heslem (ideálně s klíčem) na nestandardním portu nepředstavuje žádné zásadní bezpečnostní riziko i pokud je to na veřejce.

franko

Zdravim,

tak se dostali i do moji site ... , tedy jen na jeden router RB2011L, verze 6.42.9 ... zatim netusim jak... , nechtene ve zmatku jsem smazal soubor 7wmp0b4s.rsc, tak ze nevim , co tam vsechno bylo.

Zjistene zmeny :

- winbox port vypnuty

- ssh port zmeneny

- pridano pravidlo do inputu from any to any dst tcp port 3797

- zmeneny DNS servery na 171.244.3.111 a 171.244.3.112

- vytvorena VPN PPTP, user "aa" a heslo "aa"

basty

router jak byl zabezpecen? Mel verejnou IP bez firewallu?

franko

Router ma samozrejme verejku,

Firewall nastaven (pravidla pro spoofing, blokovani standardnich portu (80,8080,81,22,3389, atd.) pro forward), ovsem .... moje chyba ,,, ze pro tento jediny router nemam aktivovane pravidla na inputu pro (web na porte 88 a winbox otevren do sveta). Tak ze museli jit zrejme touto cestou. Kontroluji jeste netflow logy.

Kazdopadne jsem se ted opanceroval firewallem

selic

Bylo povoleno API smerem do internetu?

franko

Hele api povolené nebylo. Nevím,jak tam vlezli,uživatele tam mám jiného než admin a silné heslo (písmena,číslice, spec znak). Našel jsem v logach nějaké legitimní spojení skrze web.... A pak tam honili tu vpnku...a spojení na port 3797 do teď loguji (action reject) a tam se snaží spojovat z nějakého ruského subnetu.

honzam

Upgradujte: https://www.tenable.com/security/research/tra-2019-46

« Předchozí stránka Další stránka »