Stránka 1 z 1
Ochrání Mikrotik děravou kameru Avtech
Napsal: 30 Apr 2017 16:29
od vitov
Mám za Mikrotikem RB751U-2HnD kameru od Avtechu. Mikrotik má pevnou veřejnou (překlad 1:1) adresu. Bohužel kamera od Avtech má děravý firmware (ELF IMEIJ malware) a výrobce zatím nevypadá, že by to chtěl zalepit. Kamera mi jen zasílá fotky či v případě pohybu krátká videa na FTP. Také někdy nakouknu na živý náhled z jedné pevné adresy nebo z mobilu od O2 (z venčí přistupuji pouze na kameru na port 88). Když nebudu používat cloudové služby Avtechu, je nějaká šance nastavit restrikce na mikrotiku tak, abych zachoval výše popsanou funkčnost a přitom zabránil kompromitaci kamery malwarem?
Re: Ochrání Mikrotik děravou kameru Avtech
Napsal: 30 Apr 2017 20:56
od pgb
vpn a zavřít veřejný přístup
Re: Ochrání Mikrotik děravou kameru Avtech
Napsal: 02 May 2017 09:31
od CrazyApe
Nevim jak funguje ten malware ale nesel by proste jednoduse kameru hodit na neverejku a na mikrotiku nastavit ve firewallu ze na 88 port na vnitrni ip kamery pristup pouze z nejakeho adresslistu ip a vse ostatni drop ?
Re: Ochrání Mikrotik děravou kameru Avtech
Napsal: 02 May 2017 11:18
od pazda
CrazyApe píše:Nevim jak funguje ten malware ale nesel by proste jednoduse kameru hodit na neverejku a na mikrotiku nastavit ve firewallu ze na 88 port na vnitrni ip kamery pristup pouze z nejakeho adresslistu ip a vse ostatni drop ?
Pak by byl problém s přístupem z telefonu (pokud nemá pevnou IP).
Re: Ochrání Mikrotik děravou kameru Avtech
Napsal: 02 May 2017 11:21
od vitov
Ano, svou "domácí - XX.XX.XX.XX" adresu bych zkusil pořešit takto (ta 147 je ta kamera)
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=88 protocol=tcp src-address=XX.XX.XX.XX to-addresses=192.168.0.147
ale ten rozsah mobilního připojení O2 nevím jak udělám.
Re: Ochrání Mikrotik děravou kameru Avtech
Napsal: 02 May 2017 11:39
od Invia
Rozsah o2 nejspíš neuděláš. Nejlepší bude ta VPN a vse ostatní zavřít.
Re: Ochrání Mikrotik děravou kameru Avtech
Napsal: 02 May 2017 13:01
od goblajz
Povol si přístup jen z českých IP adres a budeš mít od největšího bordelu klid...
Spouštěj tento script každý den:
Kód: Vybrat vše
/tool fetch url=http://www.iwik.org/ipcountry/mikrotik/CZ
:delay 10
/import file-name=CZ
file remove CZ
a povol přístup jen pro address list CZ.
Re: Ochrání Mikrotik děravou kameru Avtech
Napsal: 02 May 2017 14:29
od vitov
Děkuji, protože si nejsem moc jistý v kramflecích, raději se zeptám. Bude to s tím whitelistem pro kameru stačit takto?
Kód: Vybrat vše
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=88 log=yes log-prefix="Kamera" protocol=tcp src-address-list=CZ to-addresses=192.168.0.147
Script a scheduler jsem doplnil.
Re: Ochrání Mikrotik děravou kameru Avtech
Napsal: 02 May 2017 15:42
od goblajz
Ano, tak by to mělo fungovat.
Povolit vše potřebné a nakonec drop všeho ostatního.
Re: Ochrání Mikrotik děravou kameru Avtech
Napsal: 02 May 2017 16:48
od ludvik
Používat NAT takto je sice možné, ale není to správné logicky. Filtruje se v tabulce "filter".
Tedy nat nechat obecně. Následně omezit input (mikrotika také chceme nějak chránit) a forward - stylem povolit established,related, pak povolit přesně co chci aby fungovalo a na konci vše zakázat.
Re: Ochrání Mikrotik děravou kameru Avtech
Napsal: 02 May 2017 16:54
od goblajz
Jo jasně, nevšiml jsem si že nastavuje NAT...
Re: Ochrání Mikrotik děravou kameru Avtech
Napsal: 03 May 2017 16:58
od vitov
goblajz píše:Povol si přístup jen z českých IP adres a budeš mít od největšího bordelu klid...
Spouštěj tento script každý den:
Kód: Vybrat vše
/tool fetch url=http://www.iwik.org/ipcountry/mikrotik/CZ
:delay 10
/import file-name=CZ
file remove CZ
a povol přístup jen pro address list CZ.
Jde nějak jednoduše zabránit tomu, aby vkládání address listu nebylo v logu mikrotiku? Je to spousta řádků.
Re: Ochrání Mikrotik děravou kameru Avtech
Napsal: 06 May 2017 19:53
od iTomB
Zkus port knocking, neni pak potreba extra specifikovat IP a otevres si kdykoliv a kdekoliv jen sam pro sebe ...
Tom