pěkný... ale proč do toho tahat další službu když to samí se dá udělat na úrovni firewallu. Takhle se musím starat o další službu která nefunguje když board nemá přístup k VPN.
Kdyby byl router z veřejkou zabezpečen už v době útoků obyčejným dropem na inputu tak nebylo třeba netinstalovat.
❗️Toto je původní ISPforum.cz ve stavu k únoru 2020 běžící v omezeném režimu pro archivační účely. Aktivní verzi naleznete na adrese https://telekomunikace.cz
MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky
- hapi
- Příspěvky: 12989
- Registrován: 19 years ago
-
mpcz
- Příspěvky: 2779
- Registrován: 20 years ago
honzam píše:pgb píše:mě říkali že jsem paranoidní, když jsem vypínal winbox mac server, před normální winbox jsem stavěl firewally, defaultní politiku na inputu mám drop a víš co ... ono se mi to vyplácí
Už chybí povolit přístup jen z jedné IP adresy. A na tu IP adresa posadit VPNkuNé dělám si srandu, ale vyplácí se to
Zdravím, VPNka, alespoň pro mě je široký pojem. Jaký konkrétní typ je nejlepší použít? Dík, mpcz, 18jun2019
0 x
-
rsaf
- Příspěvky: 1669
- Registrován: 19 years ago
Některá ta opatření mi připadají až extrémní, já to dělám nějak takhle. Mám definovanou "admin-net" třeba 172.16.0.0/16 a pak "mgmt-net" 172.17.0.0/16.
Na všech mikrotikách mám v imputu filtr, že můžou komunikovat jen s mgmt-net. Na všech routerech (nejen mikrotiky ale i páteřní cisco, L3 switche...) mám ve forwardu nastaveno, že mgmt-net smí komunikovat jen s admin-net.
V nějakém subnetu z admin-net mám pár virtuálek - monitoring, NTP server, SMTP server, logserver, web/ftp s firmwary, windows stroj s RDP... Subnet z admin-net máme i v kanclu, taky z toho rozsahu máme servisní VPN...
Všechna zařízení mají na mamagement adresu z mgmt-net - nejen mikrotiky ale i všechny ostatní spoje, switche, UPSky...
Takto mám zajištěno, že se celkem bez problémů dostanu ke všem zařízením pro správu, na zařízeních mám dostupné nějaké základní služby (NTP, mám odkud sosnout firmware) a zařízení na sebe vzájemně vidí jen v rámci jednoho subnetu (takže např. jen pár mikrotiku na jednom situ).
Když musí mít mikrotik veřejku, tak má ještě sekundární mgmt adresu (a ve všech je univerzální FW na inputu, který povoluje jen komunikaci s DST adresou z mgmt-net).
Když už misí mít veřejku jiný krám kde není možné nastavit rozumný firewall, přehazuji management na předem definované nestandardní porty. Porty jsou vybrané tak, aby seděly do jedné "bitové masky" (třeba 33328-33335) což pak boxy s TCAM umí zpracovat ve filtrech jako jedno pravidlo. Komunikaci navazovanou na tyto porty z internetu blokuji na hraničním routeru.
Na všech mikrotikách mám v imputu filtr, že můžou komunikovat jen s mgmt-net. Na všech routerech (nejen mikrotiky ale i páteřní cisco, L3 switche...) mám ve forwardu nastaveno, že mgmt-net smí komunikovat jen s admin-net.
V nějakém subnetu z admin-net mám pár virtuálek - monitoring, NTP server, SMTP server, logserver, web/ftp s firmwary, windows stroj s RDP... Subnet z admin-net máme i v kanclu, taky z toho rozsahu máme servisní VPN...
Všechna zařízení mají na mamagement adresu z mgmt-net - nejen mikrotiky ale i všechny ostatní spoje, switche, UPSky...
Takto mám zajištěno, že se celkem bez problémů dostanu ke všem zařízením pro správu, na zařízeních mám dostupné nějaké základní služby (NTP, mám odkud sosnout firmware) a zařízení na sebe vzájemně vidí jen v rámci jednoho subnetu (takže např. jen pár mikrotiku na jednom situ).
Když musí mít mikrotik veřejku, tak má ještě sekundární mgmt adresu (a ve všech je univerzální FW na inputu, který povoluje jen komunikaci s DST adresou z mgmt-net).
Když už misí mít veřejku jiný krám kde není možné nastavit rozumný firewall, přehazuji management na předem definované nestandardní porty. Porty jsou vybrané tak, aby seděly do jedné "bitové masky" (třeba 33328-33335) což pak boxy s TCAM umí zpracovat ve filtrech jako jedno pravidlo. Komunikaci navazovanou na tyto porty z internetu blokuji na hraničním routeru.
0 x
- hapi
- Příspěvky: 12989
- Registrován: 19 years ago
a když router neni připojen do sítě tak aby se na něj dalo dostat z těch povolených subnetů tak jak do toho lezeš?
0 x
-
basty
- Příspěvky: 2475
- Registrován: 20 years ago
- Kontaktovat uživatele:
tohle mě taky zajimahapi píše:a když router neni připojen do sítě tak aby se na něj dalo dostat z těch povolených subnetů tak jak do toho lezeš?
0 x
-
ludvik
- Příspěvky: 4448
- Registrován: 15 years ago
Vezmu noťas a nastavím mu tu správnou IP?
1 x
- hapi
- Příspěvky: 12989
- Registrován: 19 years ago
nesmysl. Ten povolenej subnet neni na lokálním iface takže k čemu to bude?
0 x
-
pepulis
- Příspěvky: 1418
- Registrován: 21 years ago
hapi píše:a když router neni připojen do sítě tak aby se na něj dalo dostat z těch povolených subnetů tak jak do toho lezeš?
Na tom predce nic neni. Pokud ma router povolen pristup pouze ze segmentu napr. 192.168.1.0/24, tak v pripade, ze ho mam odpojeny ze site a na stole, tak si na notebooku nastavim jakoukoliv ip z toho rozsahu a je. Mozna jsem ale dozat jen nepochopil
0 x
-
ludvik
- Příspěvky: 4448
- Registrován: 15 years ago
cituji: Všechna zařízení mají na mamagement adresu z mgmt-net
Ale je fakt, že všechny tyhle "enterprise" řešení práci dost komplikují. Ne vše má RS232 abych mohl dělat i bez IP. A ne vše má rozumné CLI. Prostě otrava. Chce to samostatný management port, aby se dalo na místě jednoduše připojit. Jenže to také někdy nejde.
V případě mikrotiku lze použít mac-telnet. Sice po určitých zkušenostech je to také díra do systému ... ale mohu ho zakázat jen tam, kde jsou obyč lidé a nechat na infrastrukturních portech. A v případě nouze prostě něco odpojit.
hapi píše:nesmysl. Ten povolenej subnet neni na lokálním iface takže k čemu to bude?
Ale je fakt, že všechny tyhle "enterprise" řešení práci dost komplikují. Ne vše má RS232 abych mohl dělat i bez IP. A ne vše má rozumné CLI. Prostě otrava. Chce to samostatný management port, aby se dalo na místě jednoduše připojit. Jenže to také někdy nejde.
V případě mikrotiku lze použít mac-telnet. Sice po určitých zkušenostech je to také díra do systému ... ale mohu ho zakázat jen tam, kde jsou obyč lidé a nechat na infrastrukturních portech. A v případě nouze prostě něco odpojit.
0 x
-
rsaf
- Příspěvky: 1669
- Registrován: 19 years ago
good point - SSH na nestandardní port přehazuju prakticky všude a většinou mám povolené SSH na uplink portu nebo tak něco.
Osobně si myslím, že SSH se silným heslem (ideálně s klíčem) na nestandardním portu nepředstavuje žádné zásadní bezpečnostní riziko i pokud je to na veřejce.
Osobně si myslím, že SSH se silným heslem (ideálně s klíčem) na nestandardním portu nepředstavuje žádné zásadní bezpečnostní riziko i pokud je to na veřejce.
2 x
-
franko
- Příspěvky: 56
- Registrován: 17 years ago
Zdravim,
tak se dostali i do moji site ... , tedy jen na jeden router RB2011L, verze 6.42.9 ... zatim netusim jak... , nechtene ve zmatku jsem smazal soubor 7wmp0b4s.rsc, tak ze nevim , co tam vsechno bylo.
Zjistene zmeny :
- winbox port vypnuty
- ssh port zmeneny
- pridano pravidlo do inputu from any to any dst tcp port 3797
- zmeneny DNS servery na 171.244.3.111 a 171.244.3.112
- vytvorena VPN PPTP, user "aa" a heslo "aa"
tak se dostali i do moji site ... , tedy jen na jeden router RB2011L, verze 6.42.9 ... zatim netusim jak... , nechtene ve zmatku jsem smazal soubor 7wmp0b4s.rsc, tak ze nevim , co tam vsechno bylo.
Zjistene zmeny :
- winbox port vypnuty
- ssh port zmeneny
- pridano pravidlo do inputu from any to any dst tcp port 3797
- zmeneny DNS servery na 171.244.3.111 a 171.244.3.112
- vytvorena VPN PPTP, user "aa" a heslo "aa"
- Přílohy
-
- mikrotik_hack.png (8.78 KiB) Zobrazeno 3853 x
0 x
-
basty
- Příspěvky: 2475
- Registrován: 20 years ago
- Kontaktovat uživatele:
router jak byl zabezpecen? Mel verejnou IP bez firewallu?
0 x
-
franko
- Příspěvky: 56
- Registrován: 17 years ago
Router ma samozrejme verejku,
Firewall nastaven (pravidla pro spoofing, blokovani standardnich portu (80,8080,81,22,3389, atd.) pro forward), ovsem .... moje chyba ,,, ze pro tento jediny router nemam aktivovane pravidla na inputu pro (web na porte 88 a winbox otevren do sveta). Tak ze museli jit zrejme touto cestou. Kontroluji jeste netflow logy.
Kazdopadne jsem se ted opanceroval firewallem
Firewall nastaven (pravidla pro spoofing, blokovani standardnich portu (80,8080,81,22,3389, atd.) pro forward), ovsem .... moje chyba ,,, ze pro tento jediny router nemam aktivovane pravidla na inputu pro (web na porte 88 a winbox otevren do sveta). Tak ze museli jit zrejme touto cestou. Kontroluji jeste netflow logy.
Kazdopadne jsem se ted opanceroval firewallem
0 x
- Selič
- Příspěvky: 818
- Registrován: 16 years ago
- antispam: Ano
Bylo povoleno API smerem do internetu?
0 x
-
franko
- Příspěvky: 56
- Registrován: 17 years ago
Hele api povolené nebylo. Nevím,jak tam vlezli,uživatele tam mám jiného než admin a silné heslo (písmena,číslice, spec znak). Našel jsem v logach nějaké legitimní spojení skrze web.... A pak tam honili tu vpnku...a spojení na port 3797 do teď loguji (action reject) a tam se snaží spojovat z nějakého ruského subnetu.
0 x