Povšiml jsem si, že při nakonfigurování mikrotiku jako běžný router LAN (192.168.0.1)->WAN (10.0.0.1) + maškaráda nefunguje NAT zcela dle zažitých představ a už vůbec ne podle toho, CO JE UVEDENO V MANUÁLU (3.7). Při provozu z LAN do WAN je vše OK, ale klient (10.0.0.2) připojený na WAN se dopingá na všechny stroje v LAN (např. 192.168.0.2) a klidně si i otevře na těchto PC služby.
Skoro se mi to nechce ani věřit, ale je to tak. Zrovna tak několik firem, které jsou umístěny na LAN z důvodu zabezpečení v oddělených adaptérech ETH1-3 se vidí navzájem a klidně si můžou studovat data konkurence (pokud jdu z jedné sítě do druhé přes NAT a samozřejmě nemají dostatečně zabezpečené své PC) !!!
V každém případě jde o bezpečnostní hazard, který se asi musí řešit odděleně, v manuálu výrobce však o tomto není ani zmínka, spíše naopak, je zde ujištění, ŽE TENTO NAT JE JEDNOSMĚRNÝ.
Očekával bych však IMPLICITNĚ blokaci a pak teprve povolování požadovaných funkcí.
Může tohle někdo potvrdit nebo vyvrátit a event. dát srozumitelné a praxí ověřené řešení, když už se tím manuál nehodlá nějak solidně zabývat?
Vycházím z velmi jednoduché úvahy : buď má 99 proc. uživatelů Mikrotik OS vážnou díru v routeru nebo existují tisíce lidí, kteří ví, jak to pořešit.
Velmi prosím o jedno - vyjadřujte se prosím jen tehdy, pokud máte konkrétní znalosti, které OPRAVDU vedou k řešení problému a chcete se o ně ČITELNĚ podělit.
Děkuji.
mpcz
02/05/2008
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Mikrotik firewall - vážná bezpečnostní díra (?)
Mikrotik firewall - vážná bezpečnostní díra (?)
Naposledy upravil(a) mpcz dne 02 May 2008 22:09, celkem upraveno 3 x.
0 x
-
Petr Vlašic
- Příspěvky: 588
- Registrován: 19 years ago
- Bydliště: Lanžhot
- Kontaktovat uživatele:
Mohl by jste to trochu rozvést? Máte to na mysli tak, že klienti umístnění na jeden stroj a různé LAN rozhraní mezi kterými není NAT se mezi sebou pingnou a nebo tak, že se dá proplout i proti NATu?
0 x
Vždyť je to tak jednoduché…stačilo se zamyslet, špetku toho RTFM et voilà!
Mě by zajímalo, jak se z vnější sítě dopingám na pc v lokální síti. Přece útočník ve veknovní síti má úplně jinej adresní rozsah, než pc v lokální síti.
0 x
hafieror píše:Mě by zajímalo, jak se z vnější sítě dopingám na pc v lokální síti. Přece útočník ve veknovní síti má úplně jinej adresní rozsah, než pc v lokální síti.
preco ? ak si tam hodi routu ktora smeruje do vnutra siete tak to bez firewallu prejst jednoducho musi.
najjedoduchsia ochrana je toto:
iptables -I INPUT -i eth0 -s 10.0.0.0/8 -j DROP
iptables -I INPUT -i eth0 -s 172.16.0.0/12 -j DROP
iptables -I INPUT -i eth0 -s 192.168.0.0/16 -j DROP
iptables -I INPUT -i eth0 -s 127.0.0.0/8 -j DROP
0 x
-
Petr Vlašic
- Příspěvky: 588
- Registrován: 19 years ago
- Bydliště: Lanžhot
- Kontaktovat uživatele:
hafieror píše:Mě by zajímalo, jak se z vnější sítě dopingám na pc v lokální síti. Přece útočník ve veknovní síti má úplně jinej adresní rozsah, než pc v lokální síti.
Až na to, že pojmy vnitřní a vnější síť jsou jen zlehčující pojmy neznalých a tak jak uvádíte to klidně může fungovat, viz. Směrování.
0 x
Vždyť je to tak jednoduché…stačilo se zamyslet, špetku toho RTFM et voilà!
great píše:NAT nieje FIREWALL a ani ho nenahradza.
Presne tak, pokud chcete mit z RouterOS firewall tak ho tak musite taky nakonfigurovat...
0 x
Martin Špánek :: Rajhradice.net ::
pokud vim tak Maskarada je soucasti zabezpeceni a to v tom ze schova vse odchozi za IP routeru, vic toho tezko zmuze. Co konkretne se vam na maskarade nebo srcnatu nelibi ?
0 x
great píše:hafieror píše:Mě by zajímalo, jak se z vnější sítě dopingám na pc v lokální síti. Přece útočník ve veknovní síti má úplně jinej adresní rozsah, než pc v lokální síti.
preco ? ak si tam hodi routu ktora smeruje do vnutra siete tak to bez firewallu prejst jednoducho musi.
najjedoduchsia ochrana je toto:
iptables -I INPUT -i eth0 -s 10.0.0.0/8 -j DROP
iptables -I INPUT -i eth0 -s 172.16.0.0/12 -j DROP
iptables -I INPUT -i eth0 -s 192.168.0.0/16 -j DROP
iptables -I INPUT -i eth0 -s 127.0.0.0/8 -j DROP
Takže je to tak. Pokud se udělá routa, tak je možné pingat a otevírat služby na počítačích.
Ale pokud se používají statické routy, tak útočník za dalším routerem už se takto na ony počítače nedostane, protože nemůže nastavit routu, kide je brána NATovaný miktorik, který je v jiném rozsahu. Je to tak?
Prosím řešíme teď jen teorii.
0 x
Přečti si prosím pořádně popis problému - 1.článek , především tu část o několika různých firmách na ETH LAN za routerem.
mpcz
mpcz
0 x
-
Petr Vlašic
- Příspěvky: 588
- Registrován: 19 years ago
- Bydliště: Lanžhot
- Kontaktovat uživatele:
mpcz píše:Přečti si prosím pořádně popis problému - 1.článek , především tu část o několika různých firmách na ETH LAN za routerem.
Abych pravdu řekl tak nemám nejmenší ponětí o čem to tady stále mluvíte. Mohl by jste to trochu rozvést na nějakém příkladu, jelikož mě toto téma docela zajímá. A nebo se jen pozastavujete nad tím, že když si schováte privátní síť za maškarádu, tak se dá na "ni dostat"?
0 x
Vždyť je to tak jednoduché…stačilo se zamyslet, špetku toho RTFM et voilà!
jaaaj to nam tu niekto nechape ze miktorik nieje hotovy firewall ale ze je to len nastroj ktory nam umozni si z toho spravit vramci moznosti routovania presne to, co chceme.... takze zacal by som tym, ze p. mpcz odporucam nastudovat zaklady sietovania s dorazom na fakt ze miktorik nieje hotove zariadenie je to len stroj ktory spravi to, co sa mu povie... ak s tym je problem hod sem nejaky demo pristup a urcite sa tu najde vela ludi ktori povedia v com je problem...
ps: sorry za ten ironicky podton ale taketo prispevky mozu akurat tam zmiast ludi ktori nevedia o co ide... ps: uz z principu fungovania natu nieje technicky mozne aby si sa dostal dovnutra siete na konkretny pc kedze ho nemas ako naadresovat.. moj typ podla toho co tu pises je ze mas siet komplet routovanu az po klientske pc a na to si len paralelne zapal nat/masq...
ps: sorry za ten ironicky podton ale taketo prispevky mozu akurat tam zmiast ludi ktori nevedia o co ide... ps: uz z principu fungovania natu nieje technicky mozne aby si sa dostal dovnutra siete na konkretny pc kedze ho nemas ako naadresovat.. moj typ podla toho co tu pises je ze mas siet komplet routovanu az po klientske pc a na to si len paralelne zapal nat/masq...
0 x
Petr Vlašic píše:mpcz píše:Přečti si prosím pořádně popis problému - 1.článek , především tu část o několika různých firmách na ETH LAN za routerem.
Abych pravdu řekl tak nemám nejmenší ponětí o čem to tady stále mluvíte. Mohl by jste to trochu rozvést na nějakém příkladu, jelikož mě toto téma docela zajímá. A nebo se jen pozastavujete nad tím, že když si schováte privátní síť za maškarádu, tak se dá na "ni dostat"?
preco by sa clovek nemohol dostat az ku klientskemu PC ?
situacia:
INTERNET-BORDER GATEWAY-MIKROTIK[NAT]-LOKALNA SIET [privatne adresy]
za normalnych okolnosti ak nie BG kompromitovana alebo zle nastavena sa privatne adresy nemaju ako dostat na vnutornu siet..ale ak je BG kompromitovana a/alebo je na nej nastaveny routing privatnych adries[jeho pripad] do vnutra lokalnej siete tak to ist musi a je jedno ci je nat na mikrotiku alebo ciscu. nat nieje sucastou zabezpecenia vnutornej siete. na to sluzi dobre nastaveny fw. vnutorna siet totiz nemusi byt len na privatnych adresach ale kludne to mozu byt aj verejne adresy ku ktorym ale z urcitych dovodov nemusime chciet vnutorne neiniciovany pristup z celeho internetu. podobne treba pristupovat aj k privatnym adresam a neposliehat sa ze sa cez net za normalnych okolnosti neroutuju.
0 x
a co si takhle nastavit u forwardu smerem z internetu do site, povoleni jen pro estahilished a related conn. to by melo tento problem resit a kdo to nema nastaveny nemuze mluvit o nejakem zabezpeceni.
0 x
OK, dík. Možná by to chtělo trošku upřesnit na konkrétní stav. IP adresace je nahoře v úvodu. Jen ještě dotaz: 1/ máš v ostrém provozu Mikrotik? 2/ máš to takhle nastavené? 3/ funguje to dle předpokladu? Děkuji.
03/05/2008
mpcz
03/05/2008
mpcz
0 x