Jednoduchý Winbox hardening

[zdenek.svarc]

Hodí se nejen v souvislosti s https://n0p.me/winbox-bug-dissection, pokud z nějakého důvodu nechcete povolit Winbox po VPN.

Winbox nechat na portu 8291 disable, SSH dát třeba na port 2222 a nechat enable. Před každý přihlášením se na Winbox prvně přes SSH povolit Winbox a pak zase vypnout. Aktivní Winbox session bude fungovat dál, i když služba Winbox bude mezi tím vypnuta. Takže třeba takhle:

Kód: Vybrat vše

ssh -l admin -p 2222 mikrotik.domain // MacOS SSH login
ip service enable winbox
*** Winbox login ***
ip service disable winbox
*** Winbox logout ***


[ludvik]

Ono by asi mikrotik moc nezatížilo udělat takovouto možnost řekněme scriptování přímo do winboxu (myslím binárky). Port knocking by je také nezabil.

[the.max]

Proč to dělat jednoduše, když to jde složitě, že

Co třeba použít to SSHčko na vytvoŕení tunelu a pak se skrz ten tunel připojit winboxem?

Kód: Vybrat vše

ssh -L 8291:ip.adre.sa.mikrotiku:8291 remoteadmin@ip.adre.sa.mikrotiku

Tímhle si vytvořím SSH tunel a následně si spustím winbox a do pole Connect to: zadám adresu 127.0.0.1

Samozřejmě můžu použít libovolný jiný lokální port, takže třeba pro port 12345 by to vypadalo takhle:

Kód: Vybrat vše

ssh -L 12345:ip.adre.sa.mikrotiku:8291 remoteadmin@ip.adre.sa.mikrotiku

A winboxem se pak připojím na 127.0.0.1:12345

A předpokládám že místním síťaŕům nemusím pripomínat, že číslo portu by mělo být vyšší, než 1024.

Jo a pokud někdo má SSHčko na jiném portu, tak je potřeba ještě přidat parametr -p za který se doplní port.

Unixem nepolíbení klikači mohou tunel vytvořit i pomocí Putty.

[zdenek.svarc]

Proč to dělat jednoduše, když to jde složitě, že ...

Třeba proto, že má admin Winbox plný předdefinovaných routerů bez jednotného loginu

UPDATE: k variantě s SSH tunelem.

Kód: Vybrat vše

ssh -l admin -p 2222 IP_OR_DOMAIN_ADDRESS -L 8291:127.0.0.1:8291

a Winbox službu omezit na přístup z localhostu, tedy:

Kód: Vybrat vše

ip service set winbox address=127.0.0.1

OUTDATE: K variantě s SSH tunelem doplním, že Winbox služba musí být omezena na IP adresu toho síťového rozhraní, na který budeme vytvářet SSH tunel (ip service set winbox address=xxx.xxx.xxx.xxx), protože právě tuto IP adresu propaguje SSH tunel vůči Winbox službě jako zdrojovou.

[the.max]

To sice jo, ale co je za problém nahodit tunel, a ve winboxu neklikat na adresu 2x ale jen jednou a adresu přepsat na localhost? A až mě winbox přestane bavit, tak ho zavřu a jen shodim tunel. Dle tvého postupu se musím nejdřív připojit SSHčkem do mikrotika, což mi zabere stjně času jako nahodit tunel, pak si povolit winbox a nakonec ho zase vypnout. Ale je to fuk, každej má jiné postupy, nicméně winbox zabalenej v SSH bude bezpečnější, než winbox potulující se Internetem samostatně.

[zdenek.svarc]

To sice jo, ale co je za problém nahodit tunel, a ve winboxu neklikat na adresu 2x ale jen jednou a adresu přepsat na localhost? ...

Protože "má admin Winbox plný předdefinovaných routerů bez jednotného loginu", proboha. Přestaň být ješitný a dvakrát přemýšlej než něco napíšeš. Děkuju.

[pgb]

souhlasím taky s řešením přes forward na 127.0.0.1 a tu samou ip dát do ip services

zajímavá koncepce práce:
1. přístup z venku pouze přes vpn
2. přístup na RB pouze SSH přes klíč + tunelování portu localportu 8291:127.0.0.1:8291
3. protože jsme paranoidní, tak máme pouze youbico a to si zaměstnanec nezkopíruje
4. winbox povolen pouze z 127.0.0.1


- Akorát nevím, jestli už to není úplná panika
- Dalším je zabezpečení mactelnet/macwinbox .......

[pgb]

K variantě s SSH tunelem doplním, že Winbox služba musí být omezena na IP adresu toho síťového rozhraní, na který budeme vytvářet SSH tunel (ip service set winbox address=xxx.xxx.xxx.xxx), protože právě tuto IP adresu propaguje SSH tunel vůči Winbox službě jako zdrojovou.

Špatně, dej si tam loopback 127.0.0.1 ... funguje vždy

[JirkaK]

souhlasím taky s řešením přes forward na 127.0.0.1 a tu samou ip dát do ip services

zajímavá koncepce práce:
1. přístup z venku pouze přes vpn
2. přístup na RB pouze SSH přes klíč + tunelování portu localportu 8291:127.0.0.1:8291
3. protože jsme paranoidní, tak máme pouze youbico a to si zaměstnanec nezkopíruje
4. winbox povolen pouze z 127.0.0.1


- Akorát nevím, jestli už to není úplná panika
- Dalším je zabezpečení mactelnet/macwinbox .......

Jakou VPNKu spolecne s YubiKey pouzivas?
Co presne myslis "tunelování portu localportu 8291:127.0.0.1:8291" ve spojitosti s SSHckem?

[iTomB]

Tak si udelejte port knocking na odchozim mikrotiku (z firmy, z domova) pomoci scriptu a je to ...

[zdenek.svarc]

Tak si udelejte port knocking na odchozim mikrotiku (z firmy, z domova) pomoci scriptu a je to ...

Chystám do samostatného tipu

[pgb]

Jakou VPNKu spolecne s YubiKey pouzivas?
Co presne myslis "tunelování portu localportu 8291:127.0.0.1:8291" ve spojitosti s SSHckem?

VPN s yubikey žádnou. Mám OpenVPN nebo L2TP+IPsec => tím se připojím do sítě, následně můžes dát "ssh -L 8291:127.0.0.1:8291 admin@10.9.8.7" (nezadávám heslo, použiju youbikey, to ti vytvoří ssh na mikrotik + forwardne port (v putty podobně)), pak se k tomu můžeš připojit přes winbox na adresu 127.0.0.1)

edit:
1. nemám rád port knocking (osobní názor, ale funguje taky, ale jen na principu "tajemství")
2. v openssh nebyl za poslední dlouhá léta žádný remote exploit

[zdenek.svarc]

K variantě s SSH tunelem doplním, že Winbox služba musí být omezena na IP adresu toho síťového rozhraní, na který budeme vytvářet SSH tunel (ip service set winbox address=xxx.xxx.xxx.xxx), protože právě tuto IP adresu propaguje SSH tunel vůči Winbox službě jako zdrojovou.

Špatně, dej si tam loopback 127.0.0.1 ... funguje vždy

UPDATE: SSH tunel se terminuje na adrese definované v parametru "-L".

OUTDATE: Negativní. Skutečně 127.0.0.1 nefunguje (verze 6.42.6) a skutečně se SSH tunel terminuje na IP adrese vnějšího rozhraní. Samozřejmě se to může jinak chovat na zařízení v bridge nebo obecně v jiné konfiguraci.

[JirkaK]

Diky za info.
Pokud jsem to tedy pochopil spravne tak youbikey pouzijes jen na zaslani hesla ssh klientovi. Tzn, ze pouzivas statickeho hesla (nikoliv sifrovaneho jednorazoveho).
Co brani tvym zemastnancum, kterym YubiKey davas kvulii paranoe (aby neznali hesla), to heslo precist libovolnym keylogerem?
JK

Jakou VPNKu spolecne s YubiKey pouzivas?
Co presne myslis "tunelování portu localportu 8291:127.0.0.1:8291" ve spojitosti s SSHckem?

VPN s yubikey žádnou. Mám OpenVPN nebo L2TP+IPsec => tím se připojím do sítě, následně můžes dát "ssh -L 8291:127.0.0.1:8291 admin@10.9.8.7" (nezadávám heslo, použiju youbikey, to ti vytvoří ssh na mikrotik + forwardne port (v putty podobně)), pak se k tomu můžeš připojit přes winbox na adresu 127.0.0.1)

edit:
1. nemám rád port knocking (osobní názor, ale funguje taky, ale jen na principu "tajemství")
2. v openssh nebyl za poslední dlouhá léta žádný remote exploit

[pgb]

Nedalo mi to a zkusil jsem to, nejspíš tam budete mít neco ve firewallu. Funguje.

Kód: Vybrat vše

[admin@MikroTik] > /user ssh-keys import public-key-file=ddd.txt

[admin@MikroTik] > export
# jan/02/1970 00:03:02 by RouterOS 6.42.6
# software id = 7ULK-7NMN
#
# model = 960PGS
# serial number = 78D2078CFFB3
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set winbox address=127.0.0.1/32
set api-ssl disabled=yes
/system routerboard settings
set silent-boot=no


Z PC

Kód: Vybrat vše

ssh -L 8291:127.0.0.1:8291 admin@192.168.100.84

a pak winbox na 127.0.0.1 a funguje