100 ročná bezpecnostna diera WinBoxu

[midnight_man]

Kedy na to už konečne prídu a niečo s tým spravia?
Je sice pekné, že keď zabudnem heslo do routra tak v
C:\users\(meno usera)\AppData\Roaming\Mikrotik\Winbox\winbox.cfg

nájdem všetky svoje heslá v krásnej textovej podobe...ale to bezpečnosti na kráse nepridáva.

Čo vy na to? O tomto už viem tak 2-3 roky, písal som o tom aj na MK fóre ale klasika...zatĺkať, zatĺkať, zatĺkať.

[ludvik]

No pokud si ty hesla ukládáš, tak někde být musí ... Sice by nemusela být přímo v plain textu, ale to na tom nic nemění - buď bys musel mít nějaké master heslo, nebo by bylo hardcoded v binárce. Otázkou je, jestli ovšem neexistuje lepší možnost v rámci windows (něco jako systémová peněženka), to nevím. Ale MK zjevně také ne.

[hapi]

přijde mi to jako dobrý rejpání do mikrotiku. Když nechceš aby se tam ukládaly loginy tak je nenech ukládat.

[Walkeer]

Kedy na to už konečne prídu a niečo s tým spravia?
Je sice pekné, že keď zabudnem heslo do routra tak v
C:\users\(meno usera)\AppData\Roaming\Mikrotik\Winbox\winbox.cfg

nájdem všetky svoje heslá v krásnej textovej podobe...ale to bezpečnosti na kráse nepridáva.

Čo vy na to? O tomto už viem tak 2-3 roky, písal som o tom aj na MK fóre ale klasika...zatĺkať, zatĺkať, zatĺkať.

Mas lepsi napad jak to udelat?

[zdenek.svarc]

Chlapi nerad to říkám, ale těch bezpečnostních chyb v Mikrotik ekosystému je víc, jenom se o nich nemluví. A to vůbec nechci domyslet, kolik chyb je zero-day. Je potřeba to ošetřit na systémové úrovni vhodnou bezpečnostní politikou firmy, jiná možnost není.

U nás je zákaz ukládání hesel do Winboxu. Máme tři úrovně techniků. Každý junior a senior technik si pamatuje pouze jedno svoje heslo, protože přístupy se ověřují vůči RADIUS databázi (viewtopic.php?f=77&t=10056). Zákaznické jednotky ve Winboxu neudržujeme. Do routerů mají plný přístup stejně pouze tři lidé na úrovni senior technika, junior technici mají pouze read právo. A rozhodně se vyplatí logovat topics account na remote syslog.

Montážní technici nemají přístup do routerů (edit pro upřesnění: do routerů v rámci infrastruktury sítě) vůbec, není důvod. Všechno co potřebují, vidí v big wireless table a zákaznickém radiusu.

[Myghael]

+1

kdo si má pamatovat tolik hesel

[zdenek.svarc]

Jo, ještě by se hodilo doplnit, že do síťových prvků infrastruktury se dá nalogovat pouze z určitých IP adres, které získáte po navázání VPN tunelu. Takže ani únik přístupového hesla do routerů neznamená automaticky průnik do systému. Takže takové dvouúrovňové zabezpečení. Ale takhle to má asi většina providerů.

Kdo by chtěl být mimořádně aktivní, může si pro login zprovoznit na routerech port-knocking. U nás jsme ale tuhle úroveň bezpečnosti zavrhli jako překombinovanou.

[midnight_man]

ale to vsetko neznamena ze hesla musia byt ulozene pomaly v textaku

[Walkeer]

Montážní technici nemají přístup do routerů vůbec, není důvod. Všechno co potřebují, vidí v big wireless table a zákaznickém radiusu.

To musi byt super montorvat router do ktereho nemam zadny pristup tipuji, ze takto to nastavane nema zadny jiny provider v CR co se wifi routeru tyka.
Co udela technik pripade, ze se wifi zarizeni nepripoji do site, ze ktere, jestli to chapu dobre, na nej lze vyhradne pristupovat?

Jo, ještě by se hodilo doplnit, že do síťových prvků infrastruktury se dá nalogovat pouze z určitých IP adres, které získáte po navázání VPN tunelu. Takže ani únik přístupového hesla do routerů neznamená automaticky průnik do systému.

On lze zakazat login pres seriak, nebo pouzivate vyhradne zarizeni bez seriaku?

[Walkeer]

ale to vsetko neznamena ze hesla musia byt ulozene pomaly v textaku

Jasne, muze byt ulozen v registrech jako to dela WinSCP, ale to je tak vsechno. Asi by ho slo zasifrovat, ale kam zase ulozit ten klic ze Leda ten klic ulozit do binarky toho winboxu, ale to uz je hodne uchylny, navic by to stejne slo prolomit.

[Myghael]

Montážní technici nemají přístup do routerů vůbec, není důvod. Všechno co potřebují, vidí v big wireless table a zákaznickém radiusu.

To musi byt super montorvat router do ktereho nemam pristup tipuji, ze takto to nastavane nema zadny jiny provider v CR co se wifi routeru tyka.

Jo, ještě by se hodilo doplnit, že do síťových prvků infrastruktury se dá nalogovat pouze z určitých IP adres, které získáte po navázání VPN tunelu. Takže ani únik přístupového hesla do routerů neznamená automaticky průnik do systému.

On lze zakazat login pres seriak, nebo pouzivate vyhradne zarizeni bez seriaku?

Tak tak. Jakože velice obdobná bezpečnostní opatření jako u Zdeňka máme taky, login do instalovaného zařízení technici mají vždy. Teprve po instalaci na dálku provede správce zabezpečení nastavením silného hesla a připojením na radius atd. Myslím, že je to lepší. Kdyby měli něco namontovat a ono to nejelo, můžou to vyřešit sami, takhle by museli složitě volat o přístup nebo tak něco. A běda pokud se jim nepodaří donutit jednotku ke spojení se sítí...

Na ukládání hesel máme speciální virtuální stroj, co také automaticky mění hesla pro lokální login na mikrotiky (+ je samozřejmě i rozesílá).

[zdenek.svarc]

Montážní technici nemají přístup do routerů vůbec, není důvod. Všechno co potřebují, vidí v big wireless table a zákaznickém radiusu.

To musi byt super montorvat router do ktereho nemam zadny pristup tipuji, ze takto to nastavane nema zadny jiny provider v CR co se wifi routeru tyka.
Co udela technik pripade, ze se wifi zarizeni nepripoji do site, ze ktere, jestli to chapu dobre, na nej lze vyhradne pristupovat?

A to je co zbytečné rýpání? Celou dobu se bavíme o síťových prvcích v rámci operátorské infrastruktury. O zákaznických wifi routerech, potažmo CPE, nebyla řeč. Viz níže.

Jo, ještě by se hodilo doplnit, že do síťových prvků infrastruktury se dá nalogovat pouze z určitých IP adres, které získáte po navázání VPN tunelu. Takže ani únik přístupového hesla do routerů neznamená automaticky průnik do systému.

On lze zakazat login pres seriak, nebo pouzivate vyhradne zarizeni bez seriaku?

Není mi známo, že by šel standardní cestou odstavit celý seriový port nebo login na něj, ale rozhodně jde nastavit na nesmyslné hodnoty. V tom ale nevidím smysl. U nás má zákaznická jednotka login na admina s jedinečným heslem, které je shodné s heslem do PPPoE daného zákazníka. Je v tom pořádek a dává to smysl.

Marně přemýšlím, proč se tak primitivně ptáš, a jediné vysvětlení se mi nabízí takové, že ve své síti snad používáte u zákazníků stejné hesla?

[honzam]

My ano všichni zákazníci stejné heslo. Myslím že naše konkurence to má zrovna tak. Není to zrovna ideální ale je to tak z historických důvodů

[hapi]

a co pak na to Telefonika a jejich modemy? všichni stejný aby to nedělalo paseku. I když tam se na to nedá dostat z venku atd. atd.

Nicméně všechno to tu je offtopic. Faktem je že midnight_man měl dlouhou chvíli a tak si musel rejpnout do winboxu i když je chyba v obsluze. Vždy když spravuju zařízení z cizího pc tak kontroluju jestli nemám zatrhnuto zapamatování hesla a pro jistotu zapínám i šifrování pro spojení.

[zdenek.svarc]

Dívej se na fištróny, když jde o okecávání vlastních nedostatků, tak je najednou i telefonika dobrá Jenomže Stando, přístupová síť TO2 má autentizaci na úrovni DSLAM portu, tohle ti neprojde Ale vážně, pokud chcete používat stejné hesla u klientů, váš rybíz. Klidně si je používejte, akorát nebrečte, až vám někdo projede síť botem A že zakazujete přístup na Winbox CPE jednotky? No to by vás spousta našich zákazníků sežrala, protože si administrují svůj RouterOS z různých koutů světa sami. Hlavně mi neříkejte, že některým to selektivně povolujete. To si pak zrovna nasaďte papírový pytlík na hlavu a napište na něj cvičená opice. Ne, nechci být jízlivý, ani se nad nikoho povyšovat. Jenom jsem rád, když vítězí zdravý rozum.

A ano, zakecali jsme to. Kolegu midnight_mana je třeba s nadsázkou politovat, že na tuhle vlastnost RouterOS přišel až nyní. Bohužel je to vlastnost, žádná chyba. Skutečných bezpečnostních chyb a nedostatků je v RouterOS bohužel víc. Proto ta bezpečnostní politika.