MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[hapi]

pěkný... ale proč do toho tahat další službu když to samí se dá udělat na úrovni firewallu. Takhle se musím starat o další službu která nefunguje když board nemá přístup k VPN.

Kdyby byl router z veřejkou zabezpečen už v době útoků obyčejným dropem na inputu tak nebylo třeba netinstalovat.

[mpcz]

mě říkali že jsem paranoidní, když jsem vypínal winbox mac server, před normální winbox jsem stavěl firewally, defaultní politiku na inputu mám drop a víš co ... ono se mi to vyplácí

Už chybí povolit přístup jen z jedné IP adresy. A na tu IP adresa posadit VPNku Né dělám si srandu, ale vyplácí se to

Zdravím, VPNka, alespoň pro mě je široký pojem. Jaký konkrétní typ je nejlepší použít? Dík, mpcz, 18jun2019

[rsaf]

Některá ta opatření mi připadají až extrémní, já to dělám nějak takhle. Mám definovanou "admin-net" třeba 172.16.0.0/16 a pak "mgmt-net" 172.17.0.0/16.
Na všech mikrotikách mám v imputu filtr, že můžou komunikovat jen s mgmt-net. Na všech routerech (nejen mikrotiky ale i páteřní cisco, L3 switche...) mám ve forwardu nastaveno, že mgmt-net smí komunikovat jen s admin-net.
V nějakém subnetu z admin-net mám pár virtuálek - monitoring, NTP server, SMTP server, logserver, web/ftp s firmwary, windows stroj s RDP... Subnet z admin-net máme i v kanclu, taky z toho rozsahu máme servisní VPN...
Všechna zařízení mají na mamagement adresu z mgmt-net - nejen mikrotiky ale i všechny ostatní spoje, switche, UPSky...
Takto mám zajištěno, že se celkem bez problémů dostanu ke všem zařízením pro správu, na zařízeních mám dostupné nějaké základní služby (NTP, mám odkud sosnout firmware) a zařízení na sebe vzájemně vidí jen v rámci jednoho subnetu (takže např. jen pár mikrotiku na jednom situ).
Když musí mít mikrotik veřejku, tak má ještě sekundární mgmt adresu (a ve všech je univerzální FW na inputu, který povoluje jen komunikaci s DST adresou z mgmt-net).
Když už misí mít veřejku jiný krám kde není možné nastavit rozumný firewall, přehazuji management na předem definované nestandardní porty. Porty jsou vybrané tak, aby seděly do jedné "bitové masky" (třeba 33328-33335) což pak boxy s TCAM umí zpracovat ve filtrech jako jedno pravidlo. Komunikaci navazovanou na tyto porty z internetu blokuji na hraničním routeru.

[hapi]

a když router neni připojen do sítě tak aby se na něj dalo dostat z těch povolených subnetů tak jak do toho lezeš?

[basty]

a když router neni připojen do sítě tak aby se na něj dalo dostat z těch povolených subnetů tak jak do toho lezeš?

tohle mě taky zajima

[ludvik]

Vezmu noťas a nastavím mu tu správnou IP?

[hapi]

nesmysl. Ten povolenej subnet neni na lokálním iface takže k čemu to bude?

[pepulis]

a když router neni připojen do sítě tak aby se na něj dalo dostat z těch povolených subnetů tak jak do toho lezeš?

Na tom predce nic neni. Pokud ma router povolen pristup pouze ze segmentu napr. 192.168.1.0/24, tak v pripade, ze ho mam odpojeny ze site a na stole, tak si na notebooku nastavim jakoukoliv ip z toho rozsahu a je. Mozna jsem ale dozat jen nepochopil .

[ludvik]

cituji: Všechna zařízení mají na mamagement adresu z mgmt-net

nesmysl. Ten povolenej subnet neni na lokálním iface takže k čemu to bude?

Ale je fakt, že všechny tyhle "enterprise" řešení práci dost komplikují. Ne vše má RS232 abych mohl dělat i bez IP. A ne vše má rozumné CLI. Prostě otrava. Chce to samostatný management port, aby se dalo na místě jednoduše připojit. Jenže to také někdy nejde.
V případě mikrotiku lze použít mac-telnet. Sice po určitých zkušenostech je to také díra do systému ... ale mohu ho zakázat jen tam, kde jsou obyč lidé a nechat na infrastrukturních portech. A v případě nouze prostě něco odpojit.

[rsaf]

good point - SSH na nestandardní port přehazuju prakticky všude a většinou mám povolené SSH na uplink portu nebo tak něco.
Osobně si myslím, že SSH se silným heslem (ideálně s klíčem) na nestandardním portu nepředstavuje žádné zásadní bezpečnostní riziko i pokud je to na veřejce.

[franko]

Zdravim,


tak se dostali i do moji site ... , tedy jen na jeden router RB2011L, verze 6.42.9 ... zatim netusim jak... , nechtene ve zmatku jsem smazal soubor 7wmp0b4s.rsc, tak ze nevim , co tam vsechno bylo.

Zjistene zmeny :
- winbox port vypnuty
- ssh port zmeneny
- pridano pravidlo do inputu from any to any dst tcp port 3797
- zmeneny DNS servery na 171.244.3.111 a 171.244.3.112
- vytvorena VPN PPTP, user "aa" a heslo "aa"

[basty]

router jak byl zabezpecen? Mel verejnou IP bez firewallu?

[franko]

Router ma samozrejme verejku,

Firewall nastaven (pravidla pro spoofing, blokovani standardnich portu (80,8080,81,22,3389, atd.) pro forward), ovsem .... moje chyba ,,, ze pro tento jediny router nemam aktivovane pravidla na inputu pro (web na porte 88 a winbox otevren do sveta). Tak ze museli jit zrejme touto cestou. Kontroluji jeste netflow logy.


Kazdopadne jsem se ted opanceroval firewallem

[Selič]

Bylo povoleno API smerem do internetu?

[franko]

Hele api povolené nebylo. Nevím,jak tam vlezli,uživatele tam mám jiného než admin a silné heslo (písmena,číslice, spec znak). Našel jsem v logach nějaké legitimní spojení skrze web.... A pak tam honili tu vpnku...a spojení na port 3797 do teď loguji (action reject) a tam se snaží spojovat z nějakého ruského subnetu.