classic.ISPforum.cz

Hodí se nejen v souvislosti s https://n0p.me/winbox-bug-dissection, pokud z nějakého důvodu nechcete povolit Winbox po VPN.

Winbox nechat na portu 8291 disable, SSH dát třeba na port 2222 a nechat enable. Před každý přihlášením se na Winbox prvně přes SSH povolit Winbox a pak zase vypnout. Aktivní Winbox session bude fungovat dál, i když služba Winbox bude mezi tím vypnuta. Takže třeba takhle:

Ono by asi mikrotik moc nezatížilo udělat takovouto možnost řekněme scriptování přímo do winboxu (myslím binárky). Port knocking by je také nezabil.

Proč to dělat jednoduše, když to jde složitě, že

Co třeba použít to SSHčko na vytvoŕení tunelu a pak se skrz ten tunel připojit winboxem?



Tímhle si vytvořím SSH tunel a následně si spustím winbox a do pole Connect to: zadám adresu 127.0.0.1

Samozřejmě můžu použít libovolný jiný lokální port, takže třeba pro port 12345 by to vypadalo takhle:



A winboxem se pak připojím na 127.0.0.1:12345

A předpokládám že místním síťaŕům nemusím pripomínat, že číslo portu by mělo být vyšší, než 1024.

Jo a pokud někdo má SSHčko na jiném portu, tak je potřeba ještě přidat parametr -p za který se doplní port.

Unixem nepolíbení klikači mohou tunel vytvořit i pomocí Putty.

the.max píše:Proč to dělat jednoduše, když to jde složitě, že ...

Třeba proto, že má admin Winbox plný předdefinovaných routerů bez jednotného loginu

UPDATE: k variantě s SSH tunelem.

a Winbox službu omezit na přístup z localhostu, tedy:


OUTDATE: K variantě s SSH tunelem doplním, že Winbox služba musí být omezena na IP adresu toho síťového rozhraní, na který budeme vytvářet SSH tunel (ip service set winbox address=xxx.xxx.xxx.xxx), protože právě tuto IP adresu propaguje SSH tunel vůči Winbox službě jako zdrojovou.

To sice jo, ale co je za problém nahodit tunel, a ve winboxu neklikat na adresu 2x ale jen jednou a adresu přepsat na localhost? A až mě winbox přestane bavit, tak ho zavřu a jen shodim tunel. Dle tvého postupu se musím nejdřív připojit SSHčkem do mikrotika, což mi zabere stjně času jako nahodit tunel, pak si povolit winbox a nakonec ho zase vypnout. Ale je to fuk, každej má jiné postupy, nicméně winbox zabalenej v SSH bude bezpečnější, než winbox potulující se Internetem samostatně.

the.max píše:To sice jo, ale co je za problém nahodit tunel, a ve winboxu neklikat na adresu 2x ale jen jednou a adresu přepsat na localhost? ...

Protože "má admin Winbox plný předdefinovaných routerů bez jednotného loginu", proboha. Přestaň být ješitný a dvakrát přemýšlej než něco napíšeš. Děkuju.

souhlasím taky s řešením přes forward na 127.0.0.1 a tu samou ip dát do ip services

zajímavá koncepce práce:
1. přístup z venku pouze přes vpn
2. přístup na RB pouze SSH přes klíč + tunelování portu localportu 8291:127.0.0.1:8291
3. protože jsme paranoidní, tak máme pouze youbico a to si zaměstnanec nezkopíruje
4. winbox povolen pouze z 127.0.0.1


- Akorát nevím, jestli už to není úplná panika
- Dalším je zabezpečení mactelnet/macwinbox .......

zdenek.svarc píše:K variantě s SSH tunelem doplním, že Winbox služba musí být omezena na IP adresu toho síťového rozhraní, na který budeme vytvářet SSH tunel (ip service set winbox address=xxx.xxx.xxx.xxx), protože právě tuto IP adresu propaguje SSH tunel vůči Winbox službě jako zdrojovou.

Špatně, dej si tam loopback 127.0.0.1 ... funguje vždy

pgb píše:souhlasím taky s řešením přes forward na 127.0.0.1 a tu samou ip dát do ip services

zajímavá koncepce práce:
1. přístup z venku pouze přes vpn
2. přístup na RB pouze SSH přes klíč + tunelování portu localportu 8291:127.0.0.1:8291
3. protože jsme paranoidní, tak máme pouze youbico a to si zaměstnanec nezkopíruje
4. winbox povolen pouze z 127.0.0.1


- Akorát nevím, jestli už to není úplná panika
- Dalším je zabezpečení mactelnet/macwinbox .......

Jakou VPNKu spolecne s YubiKey pouzivas?
Co presne myslis "tunelování portu localportu 8291:127.0.0.1:8291" ve spojitosti s SSHckem?

Tak si udelejte port knocking na odchozim mikrotiku (z firmy, z domova) pomoci scriptu a je to ...

iTomB píše:Tak si udelejte port knocking na odchozim mikrotiku (z firmy, z domova) pomoci scriptu a je to ...

Chystám do samostatného tipu

JirkaK píše:Jakou VPNKu spolecne s YubiKey pouzivas?
Co presne myslis "tunelování portu localportu 8291:127.0.0.1:8291" ve spojitosti s SSHckem?

VPN s yubikey žádnou. Mám OpenVPN nebo L2TP+IPsec => tím se připojím do sítě, následně můžes dát "ssh -L 8291:127.0.0.1:8291 admin@10.9.8.7" (nezadávám heslo, použiju youbikey, to ti vytvoří ssh na mikrotik + forwardne port (v putty podobně)), pak se k tomu můžeš připojit přes winbox na adresu 127.0.0.1)

edit:
1. nemám rád port knocking (osobní názor, ale funguje taky, ale jen na principu "tajemství")
2. v openssh nebyl za poslední dlouhá léta žádný remote exploit

pgb píše:

zdenek.svarc píše:K variantě s SSH tunelem doplním, že Winbox služba musí být omezena na IP adresu toho síťového rozhraní, na který budeme vytvářet SSH tunel (ip service set winbox address=xxx.xxx.xxx.xxx), protože právě tuto IP adresu propaguje SSH tunel vůči Winbox službě jako zdrojovou.

Špatně, dej si tam loopback 127.0.0.1 ... funguje vždy

UPDATE: SSH tunel se terminuje na adrese definované v parametru "-L".

OUTDATE: Negativní. Skutečně 127.0.0.1 nefunguje (verze 6.42.6) a skutečně se SSH tunel terminuje na IP adrese vnějšího rozhraní. Samozřejmě se to může jinak chovat na zařízení v bridge nebo obecně v jiné konfiguraci.

Diky za info.
Pokud jsem to tedy pochopil spravne tak youbikey pouzijes jen na zaslani hesla ssh klientovi. Tzn, ze pouzivas statickeho hesla (nikoliv sifrovaneho jednorazoveho).
Co brani tvym zemastnancum, kterym YubiKey davas kvulii paranoe (aby neznali hesla), to heslo precist libovolnym keylogerem?
JK

pgb píše:

JirkaK píše:Jakou VPNKu spolecne s YubiKey pouzivas?
Co presne myslis "tunelování portu localportu 8291:127.0.0.1:8291" ve spojitosti s SSHckem?

VPN s yubikey žádnou. Mám OpenVPN nebo L2TP+IPsec => tím se připojím do sítě, následně můžes dát "ssh -L 8291:127.0.0.1:8291 admin@10.9.8.7" (nezadávám heslo, použiju youbikey, to ti vytvoří ssh na mikrotik + forwardne port (v putty podobně)), pak se k tomu můžeš připojit přes winbox na adresu 127.0.0.1)

edit:
1. nemám rád port knocking (osobní názor, ale funguje taky, ale jen na principu "tajemství")
2. v openssh nebyl za poslední dlouhá léta žádný remote exploit

Nedalo mi to a zkusil jsem to, nejspíš tam budete mít neco ve firewallu. Funguje.




Z PC
a pak winbox na 127.0.0.1 a funguje