McSea Опубликовано 23 апреля, 2018 (изменено) · Жалоба Тема на форуме микротиков. Quote We have discovered a new RouterOS vulnerability affecting all RouterOS versions since v6.29. How it works: The vulnerability allowed a special tool to connect to the Winbox port, and request the system user database file. Versions affected: 6.29 to 6.43rc3 (included). Updated versions in all release chains coming ASAP. Edit: v6.42.1 and v6.43rc4 have been released! Am I affected? Currently there is no sure way to see if you were affected. If your Winbox port is open to untrusted networks, assume that you are affected and upgrade + change password + add firewall. The log may show unsuccessful login attempt, followed by a succefful login attempt from unknown IP addresses. What do do: 1) Firewall the Winbox port from the public interface, and from untrusted networks. It is best, if you only allow known IP addresses to connect to your router to any services, not just Winbox. We suggest this to become common practice. As an alternative, possibly easier, use the "IP -> Services" menu to specify "Allowed From" addresses. Include your LAN, and the public IP that you will be accessing the device from. 2) Change your passwords. What to expect in the coming hours/days: Updated RouterOS versions coming ASAP. RouterOS user database security will be hardened, and deciphering will no longer be possible in the same manner. Изменено 23 апреля, 2018 пользователем McSea Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 24 апреля, 2018 · Жалоба МТ решил не отставать от тенденций мэйнстрима и запилил дырку по-взрослому (правда апдейт уже выкатил). Бывает... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 26 апреля, 2018 · Жалоба Всё это очень радует. Люди наконец-то вспомнят, что вешать ACL на mgmt это правила хорошего тона Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 26 апреля, 2018 · Жалоба 8 часов назад, s.lobanov сказал: Люди наконец-то вспомнят, что вешать ACL на mgmt это правила хорошего тона К сожалению, часто бывает что в аварийных ситуациях это работает против себя-же чаще, чем риски от дыр и хакеров. То есть "на всякий случай" нужен достаточно обширный ACL , который обновлять по ситуации через какой-нибудь pupplet Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 апреля, 2018 · Жалоба На микротик можно всегда по мак-телнету зайти, даже если полностью доступ по IP перекрыть. А если вести разговор про устройства с внешними IP - так можно управление только на локальные адреса перевести внутри туннеля, который куда-то в центр поднимается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 26 апреля, 2018 · Жалоба Да кто ваще включает винбокс на микроте? Консоле же есть! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 26 апреля, 2018 · Жалоба 2 часа назад, LostSoul сказал: К сожалению, часто бывает что в аварийных ситуациях это работает против себя-же чаще, чем риски от дыр и хакеров. То есть "на всякий случай" нужен достаточно обширный ACL , который обновлять по ситуации через какой-нибудь pupplet Да, конечно, ACL должен быть таким, чтобы там не был один единственный сервер, который стоит за asbr и на него не попасть, когда на том самом asbr проблемы. Т.е. прописать ещё несколько IP-адресов типа пары виртуалок, живущих в другой AS, домашние IP админов и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 27 апреля, 2018 · Жалоба 12 часов назад, s.lobanov сказал: Да, конечно, ACL должен быть таким, чтобы там не был один единственный сервер, часто это оказывается в критической ситуации вообще 4G или wifi от конкурентов из соседнего офиса :-) Кстати с 4G практически нет атак ботами. Поэтому у меня кое где в ACL прописаны все блоки динамических адресов LTE мегафона :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 27 апреля, 2018 · Жалоба Жесткий ACL на mgmt не всегда оптимален. Лучше на ACL блокировать только богоны, а защиту делать автобаном на час. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 27 апреля, 2018 · Жалоба 11 минут назад, alibek сказал: автобаном на час. автобан на час тоже против тебя сработает. когда будешь замерзшими пальцами по сенсорному экрану на лагающем канале пароль вслепую набивать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 27 апреля, 2018 · Жалоба Ну так для автобана нужно правильные пороги настроить. Разумеется автобан не должен срабатывать на первой же попытке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 27 апреля, 2018 · Жалоба 38 минут назад, alibek сказал: Жесткий ACL на mgmt не всегда оптимален. Лучше на ACL блокировать только богоны, а защиту делать автобаном на час. ну-ну. во-первых куча оборудования не умеет автобан, а во-вторых при наличии уязвимостей как сабжевая или недавно у cisco, автобан вам не поможет 42 минуты назад, LostSoul сказал: часто это оказывается в критической ситуации вообще 4G или wifi от конкурентов из соседнего офиса :-) да, поэтому у правильных пацанов всегда есть пара запасных jumphost-ов в других AS, которые прописаны в acl Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 27 апреля, 2018 · Жалоба 2 минуты назад, s.lobanov сказал: да, поэтому у правильных пацанов всегда есть пара запасных jumphost-ов в других AS, которые прописаны в acl ситуаций бесчисленное множество. а может получится что надо от своего абонента ближайшего вылезти, когда "мир" отвалился. ну или даже просто с узла агрегации Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 27 апреля, 2018 · Жалоба ну хз, когда у меня мир отваливается по проводу, я раздаю инет сам себе через 3g/4g Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EugeneTV Опубликовано 27 апреля, 2018 · Жалоба 2 часа назад, LostSoul сказал: часто это оказывается в критической ситуации вообще 4G или wifi от конкурентов из соседнего офиса :-) port-knocking же. очень несложно настраивается на микротах. Постучали в разные порты - получили вожделенный винбокс открытый только для вашего ипа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 27 апреля, 2018 · Жалоба 50 минут назад, EugeneTV сказал: port-knocking же. очень несложно настраивается на микротах. Постучали в разные порты - получили вожделенный винбокс открытый только для вашего ипа. а чем вы стучите с андроида? ну хотя можно конечно и браузером :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 27 апреля, 2018 · Жалоба Я Ping & Net пользуюсь. Подобный утилит в маркете много, но эта более-менее нормально работает и не заваливает все рекламными банерами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EugeneTV Опубликовано 27 апреля, 2018 · Жалоба 1 час назад, LostSoul сказал: а чем вы стучите с андроида? А надо стучать с него? Винбокс все-таки больше десктопная апликуха, ведь он нем речь. А так да: 1 час назад, alibek сказал: Подобный утилит в маркете много Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...