Saab95 Опубликовано 18 мая, 2018 · Жалоба 1 час назад, VolanD666 сказал: Ну т.е. если открыт только SSH то можно не париться? Вместо файрвола с кучей правил достаточно у всех нужных служб и у администраторов установить ограничение доступа по IP, например вашу служебную локалку, тогда и проблем не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 19 мая, 2018 · Жалоба 18 hours ago, Saab95 said: Вместо файрвола с кучей правил достаточно у всех нужных служб и у администраторов установить ограничение доступа по IP, например вашу служебную локалку, тогда и проблем не будет. Т.е. ограничение доступа по IP (разрешенные адреса) указать не в /ip/service, а в /user? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Trueno Опубликовано 19 мая, 2018 · Жалоба 2 часа назад, DAF сказал: Т.е. ограничение доступа по IP (разрешенные адреса) указать не в /ip/service, а в /user? Вероятно, он имел в виду, что и там и там. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 мая, 2018 · Жалоба Вообще для защиты достаточно сделать следующие шаги (на примере сброса конфигурации в ноль): 1. Создать пользователя для главного админа с полными правами, создать пользователей с ограниченными правами для каждого сотрудника техподдержки / младших администраторов. Что бы не говорить уже имеющиеся пароли, а для каждого свой, при увольнении пользователя удалять. Там же установить ограничения по IP для доступа. 2. В разделе служб отключить все не используемые, установить ограничения по IP для нужных. После этого через интернет никто на оборудование попасть уже не сможет. И с абонентских подсетей - тоже. Ранее любили в файрволе создавать правила, которые при 5 не верных попытках подключения блокируют доступ - но зачем такое? Если нужно обслуживать удаленные микротики, у которых нет единой локалки - целесообразно на каждом создать L2TP клиента, который подключается в некий центр, и уже по этим серым адресам заходить для управления. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 19 мая, 2018 · Жалоба 5 минут назад, Saab95 сказал: Вообще для защиты достаточно сделать Достаточно не использовать Микротики, а применять нормальное оборудование, которое умеет RADIUS и/или TACACS для администрирования, выделенный mgmt vlan и нормальные централизованные ACL, которые не нужно настраивать в 5 разных местах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 мая, 2018 · Жалоба 4 минуты назад, alibek сказал: Достаточно не использовать Микротики, а применять нормальное оборудование, которое умеет RADIUS и/или TACACS для администрирования, выделенный mgmt vlan и нормальные централизованные ACL, которые не нужно настраивать в 5 разных местах. Микротик по радиус так же умеет авторизовывать, и в крупных сетях именно так на него и заходят. Влан управления на роутерах не используется, т.к. это не стыкуется с L3 технологией, которая исключает L2 каналы как сущность. И в чем разница по сути между вланом управления и ограничением доступа по IP администраторов? Если вы за влан управления, то опишите технологию, как сделать эти вланы на цепочке маршрутизаторов из 10 устройств? Это что надо цепочку вланов сбриджевать через все 10 устройств и получить большой L2 сегмент? =) А если связи избыточны, то еще и STP включить что бы кольцо не образовалось? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 19 мая, 2018 · Жалоба @Saab95 В L3-сетях влан управления превращается в vrf управления. Но поскольку говнотик так и не научился полнофункциональный vrf, то это непотребное говно вечно будут ломать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.None Опубликовано 19 мая, 2018 · Жалоба Пришлось поставить сниффер, уязвим протокол winbox, эксплоит вытягивает rw/store/user.dat где все пользователи и пароли, ограничения доступа по IP не спасают, только закрыть фаерволом winbox или обновится до неуязвимой прошивки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 мая, 2018 · Жалоба 11 часов назад, .None сказал: Пришлось поставить сниффер, уязвим протокол winbox, эксплоит вытягивает rw/store/user.dat где все пользователи и пароли, ограничения доступа по IP не спасают, только закрыть фаерволом winbox или обновится до неуязвимой прошивки. Уточните ограничения по IP где? Если в users то да, т.к. они определяются по связке логин-пароль, а вот если установить ограничения в ip-services то уязвимость не работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 20 мая, 2018 · Жалоба 23 часа назад, Saab95 сказал: Если вы за влан управления, то опишите технологию, как сделать эти вланы на цепочке маршрутизаторов из 10 устройств? Это что надо цепочку вланов сбриджевать через все 10 устройств и получить большой L2 сегмент? =) А если связи избыточны, то еще и STP включить что бы кольцо не образовалось? Ну, если уж для микротика это экзотика, тогда не знаю... Вообще-то l2кольцо будет всяко надежнее(ибо аппаратно), чем на l3 городить динамическую маршрутизацию(программно). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 20 мая, 2018 · Жалоба В 16.05.2018 в 22:45, yKpon сказал: есть ли шанс зайти под админом system? сэмулировать подсеть 23.0.0.0/8 это понятно, но может кто уже сталкивался и известен пароль? Это вы о чем ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
amper Опубликовано 20 мая, 2018 · Жалоба Кстати, а есть где-то у них подписка на уведомления о подобных залипонах? Завтра могут и какой ни будь OpenVPN сломать, который уже по умолчанию никто не прикрывает файрволлом... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andpuxa Опубликовано 21 мая, 2018 · Жалоба а можно просто на input 8291 поставить свой сурс лист? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.None Опубликовано 21 мая, 2018 · Жалоба да, можно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 21 мая, 2018 · Жалоба В 20.05.2018 в 02:26, s.lobanov сказал: @Saab95 В L3-сетях влан управления превращается в vrf управления. Но поскольку говнотик так и не научился полнофункциональный vrf, то это непотребное говно вечно будут ломать +100500 Ждемс 7ую версию, где обещали запилить нормальные vrf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 21 мая, 2018 · Жалоба 4 часа назад, andpuxa сказал: а можно просто на input 8291 поставить свой сурс лист? То же можно сделать указав список IP в разделе IP-Services, и не требуется засорять файрвол лишними правилами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 21 мая, 2018 (изменено) · Жалоба 19 hours ago, andpuxa said: а можно просто на input 8291 поставить свой сурс лист? ИМХО, если заменить 8291 на что-то 5-значное (до 65535), то лишний src-list в /ip/firewall не очень то нужен. Главное в /ip/services disabled=yes для www и прочего, кроме ssh и winbox (хоть и уверенно пользуюсь CLI, но по более нраву winbox - там все много нагляднее). ИМХО. А еще как то год-полтора назад в экспериментах заметил, что RoMON со своими вроде как L2 адресами работает по VPN (т.е. без L2 связности ?). VPN был по SSTP без сертификатов с включенным PFS. Значит можно в /ip/services disabled=ВСЁ и при этом не проепотерять управления девайсами. Далее стадии экспериментов тогда дело не пошло - не было надобности. Сейчас ситуация чуть иная - потому как только появится немножко свободного времени - потестю. Немного напрягает MD5 y RoMON'a. Изменено 21 мая, 2018 пользователем DAF Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 27 мая, 2018 (изменено) · Жалоба Проге RouterScan 80-й порт нужен лишь для идентификации устройства - сам взлом происходит по порту 8291. А ведь имеется еще один порт, пригодный для идентификации - 2000 (/tool bandwidth-server), и он открыт во все стороны по умолчанию. Из nmap лога: ...... 1723/tcp open pptp MikroTik (Firmware: 1) 2000/tcp open bandwidth-test MikroTik bandwidth-test server 8291/tcp open unknown ...... Изменено 27 мая, 2018 пользователем DAF Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...