pěkný... ale proč do toho tahat další službu když to samí se dá udělat na úrovni firewallu. Takhle se musím starat o další službu která nefunguje když board nemá přístup k VPN.
Kdyby byl router z veřejkou zabezpečen už v době útoků obyčejným dropem na inputu tak nebylo třeba netinstalovat.
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky
Re: MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
honzam píše:pgb píše:mě říkali že jsem paranoidní, když jsem vypínal winbox mac server, před normální winbox jsem stavěl firewally, defaultní politiku na inputu mám drop a víš co ... ono se mi to vyplácí
Už chybí povolit přístup jen z jedné IP adresy. A na tu IP adresa posadit VPNku Né dělám si srandu, ale vyplácí se to
Zdravím, VPNka, alespoň pro mě je široký pojem. Jaký konkrétní typ je nejlepší použít? Dík, mpcz, 18jun2019
0 x
Některá ta opatření mi připadají až extrémní, já to dělám nějak takhle. Mám definovanou "admin-net" třeba 172.16.0.0/16 a pak "mgmt-net" 172.17.0.0/16.
Na všech mikrotikách mám v imputu filtr, že můžou komunikovat jen s mgmt-net. Na všech routerech (nejen mikrotiky ale i páteřní cisco, L3 switche...) mám ve forwardu nastaveno, že mgmt-net smí komunikovat jen s admin-net.
V nějakém subnetu z admin-net mám pár virtuálek - monitoring, NTP server, SMTP server, logserver, web/ftp s firmwary, windows stroj s RDP... Subnet z admin-net máme i v kanclu, taky z toho rozsahu máme servisní VPN...
Všechna zařízení mají na mamagement adresu z mgmt-net - nejen mikrotiky ale i všechny ostatní spoje, switche, UPSky...
Takto mám zajištěno, že se celkem bez problémů dostanu ke všem zařízením pro správu, na zařízeních mám dostupné nějaké základní služby (NTP, mám odkud sosnout firmware) a zařízení na sebe vzájemně vidí jen v rámci jednoho subnetu (takže např. jen pár mikrotiku na jednom situ).
Když musí mít mikrotik veřejku, tak má ještě sekundární mgmt adresu (a ve všech je univerzální FW na inputu, který povoluje jen komunikaci s DST adresou z mgmt-net).
Když už misí mít veřejku jiný krám kde není možné nastavit rozumný firewall, přehazuji management na předem definované nestandardní porty. Porty jsou vybrané tak, aby seděly do jedné "bitové masky" (třeba 33328-33335) což pak boxy s TCAM umí zpracovat ve filtrech jako jedno pravidlo. Komunikaci navazovanou na tyto porty z internetu blokuji na hraničním routeru.
Na všech mikrotikách mám v imputu filtr, že můžou komunikovat jen s mgmt-net. Na všech routerech (nejen mikrotiky ale i páteřní cisco, L3 switche...) mám ve forwardu nastaveno, že mgmt-net smí komunikovat jen s admin-net.
V nějakém subnetu z admin-net mám pár virtuálek - monitoring, NTP server, SMTP server, logserver, web/ftp s firmwary, windows stroj s RDP... Subnet z admin-net máme i v kanclu, taky z toho rozsahu máme servisní VPN...
Všechna zařízení mají na mamagement adresu z mgmt-net - nejen mikrotiky ale i všechny ostatní spoje, switche, UPSky...
Takto mám zajištěno, že se celkem bez problémů dostanu ke všem zařízením pro správu, na zařízeních mám dostupné nějaké základní služby (NTP, mám odkud sosnout firmware) a zařízení na sebe vzájemně vidí jen v rámci jednoho subnetu (takže např. jen pár mikrotiku na jednom situ).
Když musí mít mikrotik veřejku, tak má ještě sekundární mgmt adresu (a ve všech je univerzální FW na inputu, který povoluje jen komunikaci s DST adresou z mgmt-net).
Když už misí mít veřejku jiný krám kde není možné nastavit rozumný firewall, přehazuji management na předem definované nestandardní porty. Porty jsou vybrané tak, aby seděly do jedné "bitové masky" (třeba 33328-33335) což pak boxy s TCAM umí zpracovat ve filtrech jako jedno pravidlo. Komunikaci navazovanou na tyto porty z internetu blokuji na hraničním routeru.
0 x
a když router neni připojen do sítě tak aby se na něj dalo dostat z těch povolených subnetů tak jak do toho lezeš?
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
tohle mě taky zajimahapi píše:a když router neni připojen do sítě tak aby se na něj dalo dostat z těch povolených subnetů tak jak do toho lezeš?
0 x
Vezmu noťas a nastavím mu tu správnou IP?
1 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
nesmysl. Ten povolenej subnet neni na lokálním iface takže k čemu to bude?
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
hapi píše:a když router neni připojen do sítě tak aby se na něj dalo dostat z těch povolených subnetů tak jak do toho lezeš?
Na tom predce nic neni. Pokud ma router povolen pristup pouze ze segmentu napr. 192.168.1.0/24, tak v pripade, ze ho mam odpojeny ze site a na stole, tak si na notebooku nastavim jakoukoliv ip z toho rozsahu a je. Mozna jsem ale dozat jen nepochopil .
0 x
cituji: Všechna zařízení mají na mamagement adresu z mgmt-net
Ale je fakt, že všechny tyhle "enterprise" řešení práci dost komplikují. Ne vše má RS232 abych mohl dělat i bez IP. A ne vše má rozumné CLI. Prostě otrava. Chce to samostatný management port, aby se dalo na místě jednoduše připojit. Jenže to také někdy nejde.
V případě mikrotiku lze použít mac-telnet. Sice po určitých zkušenostech je to také díra do systému ... ale mohu ho zakázat jen tam, kde jsou obyč lidé a nechat na infrastrukturních portech. A v případě nouze prostě něco odpojit.
hapi píše:nesmysl. Ten povolenej subnet neni na lokálním iface takže k čemu to bude?
Ale je fakt, že všechny tyhle "enterprise" řešení práci dost komplikují. Ne vše má RS232 abych mohl dělat i bez IP. A ne vše má rozumné CLI. Prostě otrava. Chce to samostatný management port, aby se dalo na místě jednoduše připojit. Jenže to také někdy nejde.
V případě mikrotiku lze použít mac-telnet. Sice po určitých zkušenostech je to také díra do systému ... ale mohu ho zakázat jen tam, kde jsou obyč lidé a nechat na infrastrukturních portech. A v případě nouze prostě něco odpojit.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
good point - SSH na nestandardní port přehazuju prakticky všude a většinou mám povolené SSH na uplink portu nebo tak něco.
Osobně si myslím, že SSH se silným heslem (ideálně s klíčem) na nestandardním portu nepředstavuje žádné zásadní bezpečnostní riziko i pokud je to na veřejce.
Osobně si myslím, že SSH se silným heslem (ideálně s klíčem) na nestandardním portu nepředstavuje žádné zásadní bezpečnostní riziko i pokud je to na veřejce.
2 x
Zdravim,
tak se dostali i do moji site ... , tedy jen na jeden router RB2011L, verze 6.42.9 ... zatim netusim jak... , nechtene ve zmatku jsem smazal soubor 7wmp0b4s.rsc, tak ze nevim , co tam vsechno bylo.
Zjistene zmeny :
- winbox port vypnuty
- ssh port zmeneny
- pridano pravidlo do inputu from any to any dst tcp port 3797
- zmeneny DNS servery na 171.244.3.111 a 171.244.3.112
- vytvorena VPN PPTP, user "aa" a heslo "aa"
tak se dostali i do moji site ... , tedy jen na jeden router RB2011L, verze 6.42.9 ... zatim netusim jak... , nechtene ve zmatku jsem smazal soubor 7wmp0b4s.rsc, tak ze nevim , co tam vsechno bylo.
Zjistene zmeny :
- winbox port vypnuty
- ssh port zmeneny
- pridano pravidlo do inputu from any to any dst tcp port 3797
- zmeneny DNS servery na 171.244.3.111 a 171.244.3.112
- vytvorena VPN PPTP, user "aa" a heslo "aa"
- Přílohy
-
- mikrotik_hack.png (8.78 KiB) Zobrazeno 2848 x
0 x
router jak byl zabezpecen? Mel verejnou IP bez firewallu?
0 x
Router ma samozrejme verejku,
Firewall nastaven (pravidla pro spoofing, blokovani standardnich portu (80,8080,81,22,3389, atd.) pro forward), ovsem .... moje chyba ,,, ze pro tento jediny router nemam aktivovane pravidla na inputu pro (web na porte 88 a winbox otevren do sveta). Tak ze museli jit zrejme touto cestou. Kontroluji jeste netflow logy.
Kazdopadne jsem se ted opanceroval firewallem
Firewall nastaven (pravidla pro spoofing, blokovani standardnich portu (80,8080,81,22,3389, atd.) pro forward), ovsem .... moje chyba ,,, ze pro tento jediny router nemam aktivovane pravidla na inputu pro (web na porte 88 a winbox otevren do sveta). Tak ze museli jit zrejme touto cestou. Kontroluji jeste netflow logy.
Kazdopadne jsem se ted opanceroval firewallem
0 x
Bylo povoleno API smerem do internetu?
0 x
"Slepému neukážeš, hluchému nepovíš, debilovi nedokážeš..."
Hele api povolené nebylo. Nevím,jak tam vlezli,uživatele tam mám jiného než admin a silné heslo (písmena,číslice, spec znak). Našel jsem v logach nějaké legitimní spojení skrze web.... A pak tam honili tu vpnku...a spojení na port 3797 do teď loguji (action reject) a tam se snaží spojovat z nějakého ruského subnetu.
0 x