bezhetsk Posted September 1, 2022 (edited) · Report post Некоторое время наблюдается 100% загрузка одного из ядер Mikrotik CCR1016-12G. Tools-Profile показывает, что это management. Клауд долгое время используется как pppoe сервер для 250 одновременно подключенных пользователей. Может кто-то сталкивался с такой проблемой? И что такое management в микротике? Edited September 1, 2022 by bezhetsk Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 1, 2022 · Report post Взломали, наверное. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted September 1, 2022 · Report post management - это процесс, отвечающий за изменения. Высокая загрузка по нему означает, что на маршрутизатор поступает большой поток команд. Скорее всего, вас действительно ломанули. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
bezhetsk Posted September 2, 2022 · Report post Да. взломали. Спасибо за подсказку. Хорошо что Zabbix отследил аномалию. Поменял логин-пароль админа, полностью закрыл доступ из внешнего интернета, удалил какие-то непонятные файлы. Версия была 6.47.10, поставил 6.48.6. 100 процентная загрузка исчезла. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 2, 2022 · Report post Что бы микротик не взламывали нужно сделать следующее: 1. Отключить все службы кроме винбокса в IP-Services. 2. Если возможно, отключить доступ через внешние сети, там же в IP-Services указать IP адреса для подключения, продублировать их в настройках администраторов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sirmax Posted September 2, 2022 · Report post Port-knocking надо настроить а не сааба слушать А то в один прекрасный момент в отпуске вам позвонят а достучаться до железки не выйдет Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted September 4, 2022 · Report post В 02.09.2022 в 21:56, sirmax сказал: Port-knocking надо настроить а не сааба слушать Это безопасность через незнанение. Никогда не нравилось эта херня. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sol Posted September 4, 2022 · Report post В 04.09.2022 в 20:01, Ivan_83 сказал: Это безопасность через незнанение. Безопасность начинается дальше. Где пароль спрашивают. А кнокинг - это просто способ 100% эффективно отсеять ботов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted September 5, 2022 · Report post В 03.09.2022 в 00:56, sirmax сказал: А то в один прекрасный момент в отпуске вам позвонят а достучаться до железки не выйдет Настраивается нормальный VPN в сеть управления. В 04.09.2022 в 21:04, sol сказал: А кнокинг - это просто способ 100% эффективно отсеять ботов. Перевесить на нестандартный порт и боты недостучатся. Другое дело, что сеть управления не должна в мир смотреть в принципе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted September 5, 2022 · Report post В 04.09.2022 в 18:04, sol сказал: А кнокинг - это просто способ 100% эффективно отсеять ботов. Достаточно на ссш сделать хостовый ключ в 16к и они тоже отсеиваются, неплохо так :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sirmax Posted September 5, 2022 · Report post 3 часа назад, VolanD666 сказал: Настраивается нормальный VPN в сеть управления. Перевесить на нестандартный порт и боты недостучатся. Другое дело, что сеть управления не должна в мир смотреть в принципе. Нестандартные порты тоже находят мне домашний микротик так подломали когда-то впн конечно хорошо и самый правильный путь, но для небольших сетапов избыточно в целом мой посыл был в том что решение «от сааба» не совсем решение :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted September 5, 2022 · Report post port-knocking тоже так себе решение, быстро забивается address list, особенно если делать 9000 как в методичке, потому как 9000 сам по себе довольно популярный порт. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sirmax Posted September 5, 2022 · Report post 5 минут назад, jffulcrum сказал: port-knocking тоже так себе решение, быстро забивается address list, особенно если делать 9000 как в методичке, потому как 9000 сам по себе довольно популярный порт. Не знаю о какой методичке речь, я делал два листа кстати, порты для обоих больше 3200 что б при скане что с начала что с конца порта до них доходили не сразу Но спорить что это решени лучше впн я пожалуй не буду Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted September 5, 2022 · Report post В 05.09.2022 в 16:46, sirmax сказал: я делал два листа кстати По методичке два и делается. Вот первый и забивается, частое явление, когда роутер не шевелится, постфактум смотрим - а там 6000+ адресов в первом списке, а это еще и сравниваться со вторым должно, в итоге управление потеряно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sirmax Posted September 5, 2022 · Report post 5 часов назад, jffulcrum сказал: По методичке два и делается. Вот первый и забивается, частое явление, когда роутер не шевелится, постфактум смотрим - а там 6000+ адресов в первом списке, а это еще и сравниваться со вторым должно, в итоге управление потеряно. Пока не сталкивался но проблемы выглядит реально Надо подумать но у меня на первый лист Ttl 15 сек так что тайминги возможно решают или точнее замазывают эту проблему Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 10, 2022 · Report post В 05.09.2022 в 16:39, jffulcrum сказал: port-knocking тоже так себе решение, быстро забивается address list, особенно если делать 9000 как в методичке, потому как 9000 сам по себе довольно популярный порт. Это все занимает ресурсы процессора, одно дело это какой-то домашний роутер, а другое CCR1072 с десятком гигабит трафика - там уже лишнее правило заметно влияет на производительность. В 05.09.2022 в 12:48, Ivan_83 сказал: Достаточно на ссш сделать хостовый ключ в 16к и они тоже отсеиваются, неплохо так :) У микротика может слететь этот ключ при обновлении прошивки, как вариант, и подключиться уже не выйдет. В 05.09.2022 в 10:02, VolanD666 сказал: Перевесить на нестандартный порт и боты недостучатся. Другое дело, что сеть управления не должна в мир смотреть в принципе. Ну и что они сделают? Вот есть микротики где и винбокс на стандартном порту открыт извне, и ssh на стандартном порту. Постоянно в логах попытки подключения, но там просто тупо перебирают стандартные пароли, если пароль сложный его никогда не подберут. Но это так вариант, безалаберный. Для себя это смена портов, отключения не нужных служб, подключение по впн. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted September 11, 2022 · Report post В 10.09.2022 в 20:53, Saab95 сказал: У микротика может слететь этот ключ при обновлении прошивки, как вариант, и подключиться уже не выйдет. Значит не использовать микротик, или залить туда OpenWRT где таких проблем нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sol Posted September 11, 2022 · Report post В 10.09.2022 в 23:53, Saab95 сказал: Ну и что они сделают? Обеспечат 100% загрузку CPU, как у топикстартера. А потом, как найдётся zero-day уязвимость, так сразу и апокалипсис сделают. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...