MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[whef]

To máš do jisté míry pravdu, já se někde bojím upgradovat, co udělá nová verze ROSU, vždy to není bez problémů, zvlášt třeba na x86 a jinde, to co roky fungovalo v nové verzi nemusí či se to může nějak hryznout. Ty novější verze podle mne nejsou dostatečně odzkoušené, i když Tik píše, že ano.

Však to je pořád ta samá díra. Opravená v dubnu. Jenom se teď se zneužitelnostmi roztrhl pytel protože uživatelé neupgradují. Jediné co jim zbývá je informovat, informovat

[hapi]

nemáme problém s upgradem x86 routerů. Jedeme vždy na poslední nebo minimálně na tý co je opravená.

Já doufám že si všichni všimly tohoto:

Please upgrade, change password and inspect configuration for irregularities

a ne že tu zase bude 10 stránek vo ničem.

[roman.wifi@post.sk]

hapi: to presne delam uz niekolko dni, noci. Zatim, je to v pohode. Par noci som sa sice nevyspal a to som spravil len na sieti a klientou s verejnymi IP. Ostatnych budem musiet robit postupne a po nociach. Dava tam 6.43.2. Zvlasne je,. ze som tam mal 6.36.4 a ked som hned isiel na 6.43.2 tak to trvalo 12-15minut na vysielacoch nez RB nabehlo. Potom som to robil, ze zo 6.36.4 som dal na 6.40.9 potom na 6.42.9 a nasledne 6.43.2. Vtedy to bolo v poriadku. Utoky na vymenene RB stale su v logu ich vidno, ked nato pozeram. Stale skusaju sa donich dostat cez port 8291. Zatial som to v sieti inde nenasiel, ten "vir". Moc klientou som nepresiel, ale tych, ktorych ano, som nic nenasiel zatial.

[mpcz]

nemáme problém s upgradem x86 routerů. Jedeme vždy na poslední nebo minimálně na tý co je opravená.

Já doufám že si všichni všimly tohoto:

Please upgrade, change password and inspect configuration for irregularities

a ne že tu zase bude 10 stránek vo ničem.

Ano Hapi, v podstatě máš pravdu (kromě (zase) té šílené hrubky). Stroj po upgrade atd. je stroj v klidu. Možná bych ale hledal příčinu i! jinde. Velká část kolegů nebo prostých uživatelů ví, že je třeba upgradovat atd. Zkus najít jednoho, kdo to neví. Ale co vím jistě, brzdí je představa ručního upgradování, do kterého se jim nechce nebo na to prostě nemají v tom kvantu strojů čas. Představa, násobená nejistotou, z které verze na kterou verzi je bezpečný upgrade. Odpovím si otázkou: "kolik existuje nástrojů na takový jednoduchý, automatický a bezpečný proces"? Mohl jsem samozřejmě nějaké přehléhnout, ale když nepočítám návody (spíše nápady) v podobě pár řádků v linuxu, které jsou dle mého velké části uživatelů k ničemu, nezahléhl jsem doposud ani jeden vhodný. mpcz, 11.oct.2018

[mpcz]

hapi: to presne delam uz niekolko dni, noci. Zatim, je to v pohode. Par noci som sa sice nevyspal a to som spravil len na sieti a klientou s verejnymi IP. Ostatnych budem musiet robit postupne a po nociach. Dava tam 6.43.2. Zvlasne je,. ze som tam mal 6.36.4 a ked som hned isiel na 6.43.2 tak to trvalo 12-15minut na vysielacoch nez RB nabehlo. Potom som to robil, ze zo 6.36.4 som dal na 6.40.9 potom na 6.42.9 a nasledne 6.43.2. Vtedy to bolo v poriadku. Utoky na vymenene RB stale su v logu ich vidno, ked nato pozeram. Stale skusaju sa donich dostat cez port 8291. Zatial som to v sieti inde nenasiel, ten "vir". Moc klientou som nepresiel, ale tych, ktorych ano, som nic nenasiel zatial.

Zdravím, to děláš ručně? Ta delay 15 min. je divná, ten skok přes verze se mi nezdá zas tak velký. Možná bych se zaměřil i na verzi bios-u a verzi RB, o tom se nezmiňuješ. Já jsem měl při upgrade v kombajnu nastaveno, že vše na 6.35 + bios a v druhém kole od 6.35 to má upgradovat na (tehdy poslední) 6.43.2 a bios + hesla, porty, služby atd. rovnou a nikdy to nezkolabovalo. mpcz, 11.oct.2018

[iTomB]

Zdravím, to děláš ručně? Ta delay 15 min. je divná, ten skok přes verze se mi nezdá zas tak velký. Možná bych se zaměřil i na verzi bios-u a verzi RB, o tom se nezmiňuješ. Já jsem měl při upgrade v kombajnu nastaveno, že vše na 6.35 + bios a v druhém kole od 6.35 to má upgradovat na (tehdy poslední) 6.43.2 a bios + hesla, porty, služby atd. rovnou a nikdy to nezkolabovalo. mpcz, 11.oct.2018

Ma to automatickej upgrade, kterej si muzes presmerovat k sobe, takze pak si urcis kdy se to ma samo upgradovat. Pripadne si ten nastroj vytvor, mel by jsi byt ajtak, pokud se hrabes do ISP.
Ja si ho udelal, muzu resit verzi i typ mikrotiku (ci urcite rade zamezim upgrade celoplosne), neni problem dodelat, ze zakazu jen konkretni board. Reboot vysilace i s klientama se dela najednou, takze vypadek cca 2 minuty na jeden sektor vcetne klientu.

[mpcz]

Zdravím, to děláš ručně? Ta delay 15 min. je divná, ten skok přes verze se mi nezdá zas tak velký. Možná bych se zaměřil i na verzi bios-u a verzi RB, o tom se nezmiňuješ. Já jsem měl při upgrade v kombajnu nastaveno, že vše na 6.35 + bios a v druhém kole od 6.35 to má upgradovat na (tehdy poslední) 6.43.2 a bios + hesla, porty, služby atd. rovnou a nikdy to nezkolabovalo. mpcz, 11.oct.2018

Ma to automatickej upgrade, kterej si muzes presmerovat k sobe, takze pak si urcis kdy se to ma samo upgradovat. Pripadne si ten nastroj vytvor, mel by jsi byt ajtak, pokud se hrabes do ISP.
Ja si ho udelal, muzu resit verzi i typ mikrotiku (ci urcite rade zamezim upgrade celoplosne), neni problem dodelat, ze zakazu jen konkretni board. Reboot vysilace i s klientama se dela najednou, takze vypadek cca 2 minuty na jeden sektor vcetne klientu.

Ano, tak to je přesně ono, o čem se výše zmiňuji.
Zkrácené znění: "Já to mám vyřešeno, vše jsem vyřešil, pokud jsi ISP, tak si to napiš.". Kde je pravda, z toho nikdo nepozná a hlavně: tyto argumenty jsou dle mého úplně mimo a především, upgradovací nástroj pro velkou část uživatelů stále nikde (nebo nevíme). Tím pádem tisíce a tisíce strojů stále čekají na upgrade. Tak to je. mpcz, 11.oct.2018

[iTomB]

Ano, tak to je přesně ono, o čem se výše zmiňuji.
Zkrácené znění: "Já to mám vyřešeno, vše jsem vyřešil, pokud jsi ISP, tak si to napiš.". Kde je pravda, z toho nikdo nepozná a hlavně: tyto argumenty jsou dle mého úplně mimo a především, upgradovací nástroj pro velkou část uživatelů stále nikde (nebo nevíme). Tím pádem tisíce a tisíce strojů stále čekají na upgrade. Tak to je. mpcz, 11.oct.2018

A s cim mas problem? Ja to mam upravene hlavne pro svoji sit, vyuzivam sve servery k tomu atd. Mam tam sve zabezpeceni, odpovida to logice me site (routovani atd). Celej SW je navrzen tak, aby maximalne vyhovoval me. Ten kdo nema linux server s web serverem by tohle stejne nevyuzil.
A ted te trosku asi nastvu. Nastroje od mikrotiku jsou:
1. autoupgrade v ROS primo
2. upgrade v DUDE

[mpcz]

Ale vůbec ne. Vím o nich. Vždyť se jen potvrzuje to, co píši výše. Proč je tedy kolegové nepoužívají? Zřejmě proto, že jim z nějakého důvodu nepasují. Nebo jim pasují a upgrade neprovádí úmyslně?
ad. 1 - autoupgrade je dle mého nesmysl, důvodů je více, stačí se zeptat, kdo ho používá s úspěchem. Kromě toho, upgrade ROS není zdaleka vše, co ten kombajn musí udělat. Kde máš ten zbytek?
ad. 2 - DUDE mě zatím neoslovil (solidní nástroj na Tento účel bych si představoval jinak). Možná, že až se zde objeví vícero kladných a praktických zkušeností s DUDE po provedení Všech potřebných operací souvisejících s touto problematikou, změním názor. mpcz, 11.oct.2018

[roman.wifi@post.sk]

mpcz: hm,..ano, robim to vsetko rucne. Aspom viem, ci to nabehne, alebo nie. Ked som tam, tak menim porty, hesla, atd. Mozno, ze by to spravil nejaky automat zamna, aj "odstranil vir". Ja si to radsej skontolujem a spravim sam. Niesom ITckar, tak asi preto to takto radsej robim.

U verzii je jasne, ze dam hned apgrade biosu. Nenapisal som to tam, sorry. Povodny bios tam bol 3.41 a ked som isiel na 6.42, je to asi velky skok. Ako pises, verzie mozno problem neboli, skor to vidim na ten bios, ze potreboval viac casu.

Tym, co si to vedia zlahcit, klobuk dole a tym ktorym nie (ako ja) vela casu stravenych za PC . Tu clovek zisti, co ma aspon prerobit v najblizsej dobe, atd.

[whef]

Přidávám se k tomu, že taky většinu věcí a upgradů dělám ručně, šlo by to víc automatizovat, ale já nejsem programátor a i když člověk na to víc programátor nemusí, tak nevím jestli bych to tomu automatu svěřil, občas se prostě nějaké zařízení sekne, či nastane jiný problém, taky kontroluju každý mikrotik zvlášť jak je nastaven atd. V síti máme taky ještě některý starší kousky, který už letos likviduju, který se těžko aktualizujou. K tomu je otázka jestli je dobré mít síť třeba na jednom fw. či několika posledních verzích z důvodu diverzifikace rizika, není jistý, že ten poslední soft není ještě děravější než předešlý. Jinak máme hlavně zavirované bohužel ty důležitější tiky, který jsem nechtěl aktualizovat přes den, když na firmy a lidi jedou. Už je tedy máme přeinstalované, ale prostě to lidem přes den nechci moc přerušovat a v noci je zas problém se někam dostat atd. Je hodně slabých míst, věřím, že velká část se dá eleminovat a třeba Hapi to má zmáknuté, ale já tomu nechci věnovat podstatnou část života, myslím, že za to ten čas nestojí. Doufám, že se to přežena a že příští rok za zas někdo zaměří na druhou platformu. Když byli problémy na UBNT tak jsem něco takového čekal i na Tiku. Vzhledem ke složitosti tiku očekávám ještě hodně objevených chyb.

[alcom]

Hezký večer.
Nevíte někdo, jak upgradovat ROS u hacknutého boardu, kdy upgrade nelze ani přes System/Packages ani skrz nakopírování .npk do files a následném rebootu? Měli jsme několik variant tohoto "bordelu" a zablokovaný upgrade je jen u varianty, která mění heslo u uživatele "admin" (nové heslo je lehce zjistitelné přes WinboxExploit.py a původní heslo zůstává u uživatele "admina"). Soubor s novější verzí .npk zůstává ve files i po rebootu, v logu nic není, kromě samotného "router rebooted".

Dnes jsem zkusil i netinstall, ale "infikovaný" board se mi v něm vůbec nezobrazí, po dalším rebootu najede normálně. Boot-device mám samozřejmě nastavený na try-ethernet-once-then-nand. U jiných desek mi to funguje normálně.

Mám to vypozorované u verzí 6.30.2 a 6.31.

Mějte se,
Drahoš V. / alcom.cz

[whef]

Měl jsem asi stejný vir i problém, skoro se to zdálo jak HW chyba MK, na několikátý pokus a ještě podle nějakého US fora, se mi to nějakým zázrakem přes netinstal povedlo. Byla to zatím nejzákeřnější mutace.

Hezký večer.
Nevíte někdo, jak upgradovat ROS u hacknutého boardu, kdy upgrade nelze ani přes System/Packages ani skrz nakopírování .npk do files a následném rebootu? Měli jsme několik variant tohoto "bordelu" a zablokovaný upgrade je jen u varianty, která mění heslo u uživatele "admin" (nové heslo je lehce zjistitelné přes WinboxExploit.py a původní heslo zůstává u uživatele "admina"). Soubor s novější verzí .npk zůstává ve files i po rebootu, v logu nic není, kromě samotného "router rebooted".

Dnes jsem zkusil i netinstall, ale "infikovaný" board se mi v něm vůbec nezobrazí, po dalším rebootu najede normálně. Boot-device mám samozřejmě nastavený na try-ethernet-once-then-nand. U jiných desek mi to funguje normálně.

Mám to vypozorované u verzí 6.30.2 a 6.31.

Mějte se,
Drahoš V. / alcom.cz

[hapi]

skuz i starší nebo i poslední netinstaly. Pokud máš nový boardy, starý netinstaly nefungujou.

[mpcz]

V tomto nemám zatím úplně jasno, co ale vím zatím jistě, je:
- mám tu v šuplíku pár RB, které fungují zdá se normálně, ale netinstall se na nich nedaří. Různé verze jsem zkoušel, nic. Tabulka kompatibility RB-bios-Netinstall od Sergeje není.
- fleška s biosem není blokovaná, zkoušel jsem různé části přepsat a evidentně ROS nedělá ani kontrolní součet, což bývá jinde běžné. Vyvozuji z toho, že pokud zájemce o blokaci bude vědět, co kde je, může se mu podařit to celé cíleně shodit. mpcz, 12.oct.2018