[Saab95]

1 час назад, VolanD666 сказал:

Ну т.е. если открыт только SSH то можно не париться?

Вместо файрвола с кучей правил достаточно у всех нужных служб и у администраторов установить ограничение доступа по IP, например вашу служебную локалку, тогда и проблем не будет.

[DAF]

18 hours ago, Saab95 said:

Вместо файрвола с кучей правил достаточно у всех нужных служб и у администраторов установить ограничение доступа по IP, например вашу служебную локалку, тогда и проблем не будет.

Т.е. ограничение доступа по IP (разрешенные адреса) указать не в  /ip/service, а в /user?

[Trueno]

2 часа назад, DAF сказал:

Т.е. ограничение доступа по IP (разрешенные адреса) указать не в  /ip/service, а в /user?

 

Вероятно, он имел в виду, что и там и там.

[Saab95]

Вообще для защиты достаточно сделать следующие шаги (на примере сброса конфигурации в ноль):

 

1. Создать пользователя для главного админа с полными правами, создать пользователей с ограниченными правами для каждого сотрудника техподдержки / младших администраторов. Что бы не говорить уже имеющиеся пароли, а для каждого свой, при увольнении пользователя удалять. Там же установить ограничения по IP для доступа.

 

2. В разделе служб отключить все не используемые, установить ограничения по IP для нужных.

 

После этого через интернет никто на оборудование попасть уже не сможет. И с абонентских подсетей - тоже.

 

Ранее любили в файрволе создавать правила, которые при 5 не верных попытках подключения блокируют доступ - но зачем такое?

 

Если нужно обслуживать удаленные микротики, у которых нет единой локалки - целесообразно на каждом создать L2TP клиента, который подключается в некий центр, и уже по этим серым адресам заходить для управления.

[alibek]

5 минут назад, Saab95 сказал:

Вообще для защиты достаточно сделать

Достаточно не использовать Микротики, а применять нормальное оборудование, которое умеет RADIUS и/или TACACS для администрирования, выделенный mgmt vlan и нормальные централизованные ACL, которые не нужно настраивать в 5 разных местах.

[Saab95]

4 минуты назад, alibek сказал:

Достаточно не использовать Микротики, а применять нормальное оборудование, которое умеет RADIUS и/или TACACS для администрирования, выделенный mgmt vlan и нормальные централизованные ACL, которые не нужно настраивать в 5 разных местах.

Микротик по радиус так же умеет авторизовывать, и в крупных сетях именно так на него и заходят. Влан управления на роутерах не используется, т.к. это не стыкуется с L3 технологией, которая исключает L2 каналы как сущность. И в чем разница по сути между вланом управления и ограничением доступа по IP администраторов?

 

Если вы за влан управления, то опишите технологию, как сделать эти вланы на цепочке маршрутизаторов из 10 устройств? Это что надо цепочку вланов сбриджевать через все 10 устройств и получить большой L2 сегмент? =) А если связи избыточны, то еще и STP включить что бы кольцо не образовалось?

[s.lobanov]

@Saab95 

В L3-сетях влан управления превращается в vrf управления. Но поскольку говнотик так и не научился полнофункциональный vrf, то это непотребное говно вечно будут ломать

[.None]

Пришлось поставить сниффер, уязвим протокол winbox, эксплоит вытягивает rw/store/user.dat где все пользователи и пароли, ограничения доступа по IP не спасают, только закрыть фаерволом winbox или обновится до неуязвимой прошивки.

[Saab95]

11 часов назад, .None сказал:

Пришлось поставить сниффер, уязвим протокол winbox, эксплоит вытягивает rw/store/user.dat где все пользователи и пароли, ограничения доступа по IP не спасают, только закрыть фаерволом winbox или обновится до неуязвимой прошивки.

Уточните ограничения по IP где? Если в users то да, т.к. они определяются по связке логин-пароль, а вот если установить ограничения в ip-services то уязвимость не работает.

[YuryD]

23 часа назад, Saab95 сказал:

Если вы за влан управления, то опишите технологию, как сделать эти вланы на цепочке маршрутизаторов из 10 устройств? Это что надо цепочку вланов сбриджевать через все 10 устройств и получить большой L2 сегмент? =) А если связи избыточны, то еще и STP включить что бы кольцо не образовалось?

 Ну, если уж для микротика это экзотика, тогда не знаю... Вообще-то l2кольцо будет всяко надежнее(ибо аппаратно), чем на l3 городить динамическую маршрутизацию(программно).

[grifin.ru]

В 16.05.2018 в 22:45, yKpon сказал:

есть ли шанс зайти под админом system? сэмулировать подсеть 23.0.0.0/8 это понятно, но может кто уже сталкивался и известен пароль?

Это вы о чем ?

[amper]

Кстати, а есть где-то у них подписка на уведомления о подобных залипонах? Завтра могут и какой ни будь OpenVPN сломать, который уже по умолчанию никто не прикрывает файрволлом...

[andpuxa]

а можно просто на input 8291 поставить свой сурс лист?

[.None]

да, можно

[VolanD666]

В 20.05.2018 в 02:26, s.lobanov сказал:

@Saab95 

В L3-сетях влан управления превращается в vrf управления. Но поскольку говнотик так и не научился полнофункциональный vrf, то это непотребное говно вечно будут ломать

+100500

Ждемс 7ую версию, где обещали запилить нормальные vrf

[Saab95]

4 часа назад, andpuxa сказал:

а можно просто на input 8291 поставить свой сурс лист?

То же можно сделать указав список IP в разделе IP-Services, и не требуется засорять файрвол лишними правилами.

[DAF]

19 hours ago, andpuxa said:

а можно просто на input 8291 поставить свой сурс лист?

ИМХО, если заменить 8291 на что-то 5-значное (до 65535), то лишний src-list в /ip/firewall не очень то нужен.

Главное в /ip/services disabled=yes для www и прочего, кроме ssh и winbox (хоть и уверенно пользуюсь CLI, но по более нраву winbox - там все много нагляднее).

ИМХО.

 

 

А еще как то год-полтора назад в экспериментах заметил, что RoMON со своими вроде как L2 адресами работает по VPN (т.е. без L2 связности ?).

 

VPN был по SSTP без сертификатов с включенным PFS.

Значит можно в /ip/services disabled=ВСЁ и при этом не проепотерять управления девайсами. 

Далее стадии экспериментов тогда дело не пошло - не было надобности. 

Сейчас ситуация чуть иная - потому как только появится немножко свободного времени - потестю. Немного напрягает MD5 y RoMON'a. 

Изменено 21 мая, 2018 пользователем DAF

[DAF]

Проге RouterScan 80-й порт нужен лишь для идентификации устройства - сам взлом происходит по порту 8291. А ведь имеется еще один порт, пригодный для идентификации - 2000 (/tool bandwidth-server), и он открыт во все стороны по умолчанию. 

 

Из nmap лога:

......
1723/tcp open     pptp           MikroTik (Firmware: 1)
2000/tcp open     bandwidth-test MikroTik bandwidth-test server
8291/tcp open     unknown
......

Изменено 27 мая, 2018 пользователем DAF