Pokusy o přihlášení na Mikrotiky

[basty]

Vim ze je to bezp. Riziko, ale tolikrát mi mac telnet winbox zachránil výjezd ze bych neměnil. Je to super věc.

[mpcz]

Taky si myslím že to je výborná věc. Na diagnostiku i při zřizovačkách. Je to jedna z věcí, pro které se vždy přikloním k Mikrotiku, pokud ty ostatní věci budou nerozhodně. mpcz, 24.5.2018

[LaCosta]

Fakt to stoji za precitanie ... https://blog.talosintelligence.com/2018 ... r.html?m=1

[mpcz]

Zdravím, v posledních dnech se objevují v logu tyto záznamy. Dá se z toho něco podrobnějšího vyčíst? Děkuji. mpcz, 25.5.2018

logg.jpg (75.24 KiB) Zobrazeno 3636 x

[menicks]

s takovouhle restrikcí se můžeš jít zahrabat ...

naseverejky,10.0.0.0/8,192.168.0.0/16

... stačí jeden neaktualizovanej, nezafirewallovany mk třeba u klienta na veřejce nebo i ve vnitřní síti s nat 1:1 a průnik je na světě .. .dyť ten vir první co zkoumá je jeho nejbližší okolí

no a ted si na chvilku predstavme, ze se objevi nejaka dira v mac-telnetu/mac-winboxu a muzes
si vymejslet firewally treba s 'drop any any' na prvnim radku

On projde mac telnet přes vlany? Husty

[pgb]

nerozumím otázce, mac telnet je ve výchozím stavu zapnutý na jakémkoliv rozhraní, které má fyzický přístup do sítě a má mac adresu (je jedno jeslti to je bridge, vlana, tunely, kombinace)

[Dalibor Toman]

s takovouhle restrikcí se můžeš jít zahrabat ... ... stačí jeden neaktualizovanej, nezafirewallovany mk třeba u klienta na veřejce nebo i ve vnitřní síti s nat 1:1 a průnik je na světě .. .dyť ten vir první co zkoumá je jeho nejbližší okolí

no a ted si na chvilku predstavme, ze se objevi nejaka dira v mac-telnetu/mac-winboxu a muzes
si vymejslet firewally treba s 'drop any any' na prvnim radku

On projde mac telnet přes vlany? Husty

Nevim jak se mac-(telnet|winbox) chova ale i kdyby nenaslouchal na vsechn interfacech (mackach zarizeni) tak VLANek je jen 4000

[radik]

On projde mac telnet přes vlany? Husty

Pres VLANy ano, ale ne mezi VLANy (z jedne do druhe). To jaksi z principu VLAN neni ani mozny.

A pokud jsou od sebe izolovani klienti navzajem, tak je stejne chyba v mac telnetu/winboxu jedno, protoze se klienti mezi sebou neuvidi. Jedine uvidi router ISP, ale tak to jde resit vypnutim sluzby (a nebo ACL pokud je router ISP zpojeny do switche).

[Dalibor Toman]

no ted mi doslo, ze jsem vlaste napsal ohledne firewallu na MAc telnet nesmysl. Ona ta komunikace je normalni bezne UDP na port 20561, zvlastni je jen tim, ze je odesilana na IP 255.255.255.255.
Takze firewallem to bloknout jde

[i4wifi]

V češtině také dnes na rootu:
https://www.root.cz/clanky/malware-vpnf ... a-tp-link/

[Selič]

​no ted mi doslo, ze jsem vlaste napsal ohledne firewallu na MAc telnet nesmysl. Ona ta komunikace je normalni bezne UDP na port 20561, zvlastni je jen tim, ze je odesilana na IP 255.255.255.255.
Takze firewallem to bloknout jde

Samozřejmě, že to firewall zablokuje. Je to vyzkoušeno na defaultním firewallu na SXT jednotkách - pokud si to člověk nepovolí, tak nefunguje ani SSH, Winbox ani MAC telnet.
Taky mi dosud není známo, že by vir napadl SXT s tímto firewallem na veřejné IP adrese - firmwary od 6.28 do nojnovějších.