Прошу помощи и советов, или от RouterOS к WIN-SERVER2008

[weedman]

Здравствуйте.

Предыстория - админю не совсем пионер-нэт, скорее комсомолец-нэт, читаю этот форум, в основном в разделах wireless и активное оборудование, по большей части раздел mikrotik. Не как местные мастадонты понимаю как устроен tcp\ip мир, все еще узнаю новое, но уже реже.

 

Школьная подруга, попросила заменить их админа в торговой организации, который их не устраивает. Ремонтировать, если что-то сломается, проводить кабель где нужно...ну вы поняли.

 

В организации около 30 рабочих компов, win_server2008 rc2, есть ip-телефония, которая меня не касается, есть 1с, которая меня также не касается. С прошлым админом отношения у них не очень на фоне расставания, ввести в курс дела что и как он не хочет. Дал пароли, не все еще успел проверить. Есть доступ на win-serv и их центральный mikrotik hex.

 

Несколько филиалов в одной L2 сети. L2 вроде прокинут провайдером, увидел два pptp туннеля пока не ясно куда.

 

Опыта с win-server у меня нет, почитал\посмотрел обучалки по AD, было страшно и интересно, но это там не реализовано, хотя я проникся. Установлены только: служба печати и документов, удаленные рабочие столы и файловые службы. Люди работают через РДП. Предположу, что с rdp оно не на столько нужно. 

 

Плохо не когда не знаешь ответа, а когда не знаешь вопроса. Какие подводные камни могут ждать в подобной ситуации?  Нужно ли проверить какие-то другие возможные пароли на win_serv, если у меня есть только своя админская учетка (его я пока не трогал, на сколько понял, ее лучше не удалять. возможно отключить\изменить) Вроде как свой пароль у восстановления служб каталогов, но его там как я понимаю нет, раз нет AD.

 

Дальше вопросы по RouterOS

 

Сейчас в firewall следующие правила:

Скрытый текст

/ip firewall filter

add action=fasttrack-connection chain=forward

add action=add-src-to-address-list address-list=error-blacklist address-list-timeout=none-dynamic chain=input connection-state=new dst-port=54199,54200,54202,54203 in-interface-list=WAN protocol=tcp

add action=add-src-to-address-list address-list=whitelist address-list-timeout=none-dynamic chain=input connection-state=new dst-port=54201 in-interface-list=WAN log-prefix=WHITELIST_54201 protocol=tcp src-address-list=!error-blacklist

add action=accept chain=output dst-address=ХХ.ХХ.67.118

add action=accept chain=input src-address=ХХ.ХХ.67.118

add action=accept chain=input comment="1.0.0 Admin connection" src-address-list=whitelist

add action=accept chain=forward comment="1.0.1 Admin connection" src-address-list=whitelist

add action=accept chain=forward comment="1.1. Forward and Input Established and Related connections" connection-state=established,related

add action=drop chain=forward connection-state=invalid

add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

add action=accept chain=input connection-state=established,related

add action=drop chain=input connection-state=invalid

add action=add-src-to-address-list address-list=ddos-blacklist address-list-timeout=1d chain=input comment="1.2. DDoS Protect - Connection Limit" connection-limit=100,32 in-interface-list=WAN protocol=tcp

add action=tarpit chain=input connection-limit=3,32 protocol=tcp src-address-list=ddos-blacklist

add action=jump chain=forward comment="1.3. DDoS Protect - SYN Flood" connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn

add action=jump chain=input connection-state=new in-interface-list=WAN jump-target=SYN-Protect protocol=tcp tcp-flags=syn

add action=return chain=SYN-Protect connection-state=new limit=200,5:packet protocol=tcp tcp-flags=syn

add action=drop chain=SYN-Protect connection-state=new protocol=tcp tcp-flags=syn

add action=drop chain=input comment="1.4. Protected - Ports Scanners" src-address-list="Port Scanners"

add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=none-dynamic chain=input in-interface-list=WAN protocol=tcp psd=21,3s,3,1

add action=drop chain=input comment="1.5.1 Protected - WinBox Access" src-address-list=winbox-blacklist

add action=add-src-to-address-list address-list=winbox-blacklist address-list-timeout=none-dynamic chain=input connection-state=new dst-port=8291 in-interface-list=WAN log=yes log-prefix=BLACK_WINBOX protocol=tcp src-address-list=winbox-stage-3

add action=add-src-to-address-list address-list=winbox-stage-3 address-list-timeout=5m chain=input connection-state=new dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list=winbox-stage-2

add action=add-src-to-address-list address-list=winbox-stage-2 address-list-timeout=5m chain=input connection-state=new dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list=winbox-stage-1

add action=add-src-to-address-list address-list=winbox-stage-1 address-list-timeout=5m chain=input connection-state=new dst-port=8291 in-interface-list=WAN protocol=tcp

add action=accept chain=input dst-port=8291 in-interface-list=WAN protocol=tcp

add action=drop chain=forward comment="1.5.2 Protected - RDP Connections" src-address-list=rdp-blacklist

add action=add-src-to-address-list address-list=rdp-blacklist address-list-timeout=none-dynamic chain=forward connection-state=new dst-port=3389 in-interface-list=WAN log=yes log-prefix=BLACK_RDP protocol=tcp src-address-list=rdp-stage-3

add action=add-src-to-address-list address-list=rdp-stage-3 address-list-timeout=5m chain=forward connection-state=new dst-port=3389 in-interface-list=WAN protocol=tcp src-address-list=rdp-stage-2

add action=add-src-to-address-list address-list=rdp-stage-2 address-list-timeout=5m chain=forward connection-state=new dst-port=3389 in-interface-list=WAN protocol=tcp src-address-list=rdp-stage-1

add action=add-src-to-address-list address-list=rdp-stage-1 address-list-timeout=5m chain=forward connection-state=new dst-port=3389 in-interface-list=WAN protocol=tcp

add action=accept chain=forward dst-port=3389 in-interface-list=WAN protocol=tcp

add action=drop chain=forward comment="1.5.3 Protected TCP 8081,8082,1123,80" src-address-list=port153-blacklist

add action=add-src-to-address-list address-list=port153-blacklist address-list-timeout=none-dynamic chain=forward connection-state=new dst-port=8081,8082,1123 in-interface-list=WAN log=yes log-prefix=BLACK_8081,8082,1123 protocol=tcp \

    src-address-list=port153-stage-3

add action=add-src-to-address-list address-list=port153-stage-3 address-list-timeout=5m chain=forward connection-state=new dst-port=8081,8082,1123 in-interface-list=WAN protocol=tcp src-address-list=port153-stage-2

add action=add-src-to-address-list address-list=port153-stage-2 address-list-timeout=5m chain=forward connection-state=new dst-port=8081,8082,1123 in-interface-list=WAN protocol=tcp src-address-list=port153-stage-1

add action=add-src-to-address-list address-list=port153-stage-1 address-list-timeout=5m chain=forward connection-state=new dst-port=8081,8082,1123 in-interface-list=WAN protocol=tcp

 

 

 

1-Не понимаю зачем там блокировка и разрешение портов 54ХХХ.

2-Не логичнее сделать правила "Honey pot" на все порты одной группой правил, добавить к ним еще что-то и этим же закрыться от сканирования портов, уменьшив строчки в firewall?

3-Правила syn-protect перекрывается honey pot, или все syn-пакеты идут как одно соединение? зачем тут jump и новая цепочка?

Скрытый текст

add action=jump chain=forward comment="1.3. DDoS Protect - SYN Flood" connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn

add action=jump chain=input connection-state=new in-interface-list=WAN jump-target=SYN-Protect protocol=tcp tcp-flags=syn

add action=return chain=SYN-Protect connection-state=new limit=200,5:packet protocol=tcp tcp-flags=syn

add action=drop chain=SYN-Protect connection-state=new protocol=tcp tcp-flags=syn

 

3.1 -зачем в br.inet может быть 2 интерфейса? сначала думал что там провайдер дает L2, но там же влан для этого судя во всему

Скрытый текст

/interface bridge
add admin-mac=CC:2D:E0:21:CF:B3 auto-mac=no fast-forward=no mtu=1500 name=br.inet protocol-mode=none
add add-dhcp-option82=yes admin-mac=6C:3B:6B:12:7F:C4 arp=proxy-arp auto-mac=no comment=defconf dhcp-snooping=yes fast-forward=no name=bridge protocol-mode=none

/interface bridge port
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=local.vlan2057
add bridge=br.inet interface=ether1
add bridge=br.inet interface=ether2
/interface vlan
add interface=br.inet name=local.vlan2057 vlan-id=2057

/ip address
add address=ХХ.ХХ.115.83/24 interface=br.inet network=ХХ.ХХ.115.0
add address=10.0.17.100/24 comment=defconf disabled=yes interface=bridge network=10.0.17.0
add address=10.0.17.1/24 interface=bridge network=10.0.17.0
add address=10.10.10.1/24 comment=defconf interface=bridge network=10.10.10.0

/ip dhcp-client
add comment=defconf interface=ether1 use-peer-dns=no
add disabled=no interface=bridge
add add-default-route=no interface=local.vlan2057 use-peer-dns=no use-peer-ntp=no

/ip route
add distance=1 gateway=XX.XX.115.1
add disabled=yes distance=2 gateway=10.0.171.2

 

4 - правило маскарада и первый srcnat не дублируют друг друга? я делаю маскарад, хоть читал. что так почему-то не совсем верно.

Скрытый текст

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface-list=WAN
add action=src-nat chain=srcnat dst-address=10.0.17.0/24 src-address=10.0.17.0/24 to-addresses=10.0.17.1
 

5-это адрес win-serv, какой может быть причина делать этот проброс? 

Скрытый текст

/ip firewall nat

add action=dst-nat chain=dstnat in-interface=br.inet protocol=icmp to-addresses=10.0.17.254
 

6-Этот netmap просто пробрасывает порты? сеть одна \24 почему не dstnat?

Скрытый текст

add action=netmap chain=dstnat comment="RDP SERV" dst-address=91.244.115.83 dst-port=32416 protocol=tcp to-addresses=10.0.17.254 to-ports=3389
add action=netmap chain=dstnat comment="1\F1" dst-address=91.244.115.83 dst-port=80 protocol=tcp to-addresses=10.0.17.254 to-ports=80
add action=netmap chain=dstnat comment=IVIDEON dst-address=91.244.115.83 dst-port=32417 protocol=tcp to-addresses=10.0.17.253 to-ports=8080

Большое, как этот пост, спасибо 

Наверное логично сделать экспорт, но пока так. 

Edited September 4, 2023 by weedman

[alibek]

6 часов назад, weedman сказал:

1-Не понимаю зачем там блокировка и разрешение портов 54ХХХ.

Судя по названию ACL — автоблокировка школьников-хакеров.

 

6 часов назад, weedman сказал:

4 - правило маскарада и первый srcnat не дублируют друг друга? я делаю маскарад, хоть читал. что так почему-то не совсем верно.

Маскарадинг и srcnat отличаются, в некоторых случаях различие достаточно значимое.

Возможно маскарадинг — это подстраховка на случай, если провайдер поменяет внешний IP и настроенный srcnat перестанет работать. Правда тогда маскарадинг должен идти ниже.

Или может быть srcnat не работает или глючит, вот на скорую руку перед ним и поставили маскарадинг.

 

6 часов назад, weedman сказал:

5-это адрес win-serv, какой может быть причина делать этот проброс?

Не уверен, но возможно для того, чтобы win-сервер получал ответные echo-reply с нужным адресом отправителя.

 

6 часов назад, weedman сказал:

6-Этот netmap просто пробрасывает порты? сеть одна \24 почему не dstnat?

Уже не помню деталей, но помню, что dstnat и netmap это так же не одно и то же, имеются различия.

 

6 часов назад, weedman сказал:

Опыта с win-server у меня нет, почитал\посмотрел обучалки по AD

AD и инструментарий Microsoft в построении сетей — это, на мой взгляд, для больших многофилиальных сетей с централизацией управления.

В небольшом магазине без всего этого легко можно (а иногда и нужно) обойтись.

Насчет RDP — не знаю, как в нынешней 1С, но раньше файл-серверная 1С в сетевом режиме очень сильно тормозила, вплоть до невозможности работать, терминальный запуск с локальным файловым доступом эту проблему решал.

[jffulcrum]

В 03.09.2023 в 13:13, weedman сказал:

3-Правила syn-protect перекрывается honey pot, или все syn-пакеты идут как одно соединение? зачем тут jump и новая цепочка?

Это и многое другое копипасты из старых мануалов, не приходя в сознание.

 

В 03.09.2023 в 13:13, weedman сказал:

3.1 -зачем в br.inet может быть 2 интерфейса? сначала думал что там провайдер дает L2, но там же влан для этого судя во всему

Затем, что, видимо, есть еще один роутер или сервер, включенный в порт 2 роутера и имеющий публичный IP.

 

В 03.09.2023 в 13:13, weedman сказал:

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface-list=WAN
add action=src-nat chain=srcnat dst-address=10.0.17.0/24 src-address=10.0.17.0/24 to-addresses=10.0.17.1

 

Первое правило - остаток неочищенной дефолтной конфигурации. Убрать его побоялись или не осилили.

 

В целом, конфиг под очистку и переделку. Сократить можно половину смело.

 

В 03.09.2023 в 13:13, weedman сказал:

это адрес win-serv, какой может быть причина делать этот проброс? 

 

Скорее всего, имеется какой-то внешний мониторинг, который тупо пингует сервак.

 

В 03.09.2023 в 13:13, weedman сказал:

add action=netmap chain=dstnat comment="RDP SERV" dst-address=91.244.115.83 dst-port=32416 protocol=tcp to-addresses=10.0.17.254 to-ports=3389
add action=netmap chain=dstnat comment="1\F1" dst-address=91.244.115.83 dst-port=80 protocol=tcp to-addresses=10.0.17.254 to-ports=80
add action=netmap chain=dstnat comment=IVIDEON dst-address=91.244.115.83 dst-port=32417 protocol=tcp to-addresses=10.0.17.253 to-ports=8080

 

Это так пытались обеспечить, чтобы сервак ответные пакеты слал с того же публичного IP,  с которого принял.

 

В 03.09.2023 в 13:13, weedman сказал:

Какие подводные камни могут ждать в подобной ситуации?  Нужно ли проверить какие-то другие возможные пароли на win_serv, если у меня есть только своя админская учетка (его я пока не трогал, на сколько понял, ее лучше не удалять. возможно отключить\изменить) Вроде как свой пароль у восстановления служб каталогов, но его там как я понимаю нет, раз нет AD.

 

Камни - многие, при желании можно было оставить кучу. Пароли надо поменять все, постепенно. Внимательно изучить службы, автостарт, правила брандмауэра, планировщик заданий. Популярная тема - Anydesk/Dameware/Teamviewer в режиме службы, ибо лень или недостаток знаний. Соответственно, подключаться извне смогут почти беспрепятственно. Что нет AD, на самом деле в вашей ситуации благо. Ибо с AD заложить бекдоров можно гораздо больше, и закрыть их начинающему админу будет сложно.

 

 

[weedman]

9 часов назад, jffulcrum сказал:

огие, при желании можно было оставить кучу. Пароли надо поменять все, постепенно. Внимательно изучить службы, автостарт, правила брандмауэра, планировщик заданий. Популярная тема - Anydesk/Dameware/Teamviewer в режиме службы, ибо лень или недостаток знаний. Соответственно, подключаться извне смогут почти беспрепятственно. Что нет AD, на самом деле в вашей ситуации благо. Ибо с AD заложить бекдоров можно гораздо больше, и закрыть их начинающему админу будет сложно.

 

 

Спасибо, Особо ничего не меняю пока. Собираюсь переделать нормально открытый firewall на нормально закрытый , делю L2 разнесенный в 6 точек и пробую перенести 1с на proxmox, или esxi, это устранит много проблем (особенно меня напрягало отсутствие нормальных бэкапов). Делаю все по чуть-чуть, не всегда есть время активную работу, все же это доп. нагрузка, но уже окунулся в виртуализацию и понял, что это мне нравится. Жаль на proxmox не получается пока нормально рабочую winserver2008 перенести, хотя на esxi переходит нормально.

[jffulcrum]

2 часа назад, weedman сказал:

пробую перенести 1с на proxmox, или esxi

Если там программные лицензии, сначала убедитесь, что на руках есть все данные: пинкоды и LicData (текст заполнения при активации). При смене платформы/виртуализации лицензия слетает 100%

[weedman]

3 часа назад, jffulcrum сказал:

Если там программные лицензии, сначала убедитесь, что на руках есть все данные: пинкоды и LicData (текст заполнения при активации). При смене платформы/виртуализации лицензия слетает 100%

Спасибо

[weedman]

Привет, Сетевой Разум.

В предыдущих сериях:

Топикстартер начинает обслуживать организацию (win-сервер 2008, на котором 1с, рдп, принтер, компы юзеров etc.) Опыт в сетях есть, в обслуживании организаций нет (хотя теперь есть 4 месяца).
Первым делом, герой уделяет внимание выбору способа резервации данных на сервере. Сначала использовался Acronis 2014, который почему-то встал и работал, а через 3 недели перестал (Любой дистрибутив программы не устанавливался, по причине серверной версии windows).

 

Наши дни
В данный момент, резервация делается средствами самой WinServ2008. Система предлагает хранить либо локально инкрементальную версию, либо удаленно только одну. Выбрал второй вариант.
Раз в день, система бэкапится в сетевую папку, которая расположена на виртуальном пк на Proxmox (RaidZ-1). Для обеспечения цепочки версий данные с которой потом так же раз в день бэкапятся на ProxmoxBackupServer (Глубина 10 дней).

Сейчас на рабочей системе нет антивируса, есть какие-то ошметки Касперского в диспетчере задач.

Вопрос знатокам - Есть ли смысл ставить антивирус, например того же Касперского (или другой?), или можно положиться на бэкапы и закрытый firewall? 

Сам не пользуюсь антивирусом лет 12-14 и единственный зафиксированный случай когда пострадал от вируса - шифровальщик, который судя по всему пришел с компа с лицензионным касперским (Общая сетевая папка через mail.ru). Ну ладно, может и через мой, но очень сомневаюсь. На том "Защищенном" во время моего отпуска работал молодой горячий парень, который точно мог натыкать.

Как бы вы поступили с безопасностью winserv2008? 

[jffulcrum]

6 часов назад, weedman сказал:

Как бы вы поступили с безопасностью winserv2008? 

Пользоваться WS2008 в 2024 году небезопасно в принципе. Большинство новых уязвимостей, вроде критической дырки в kerberos CVE-2024-20674, работают и в старых ОС, но обновлений там уже не будет, и брандмауэр тут не помощник. Что касается антивируса, то любой будет лучше, чем ничего, а в старых Windows  именно что ничего. Проблема в том, что из актуальных антивирусов поддержку WS2008, насколько знаю, имеет только DrWeb. С Касперским можно купить ключ на ES, и через поддержку, объяснив ситуацию, получить дистрибутив и ключ чего-то вроде KAV for FileServers 8.0, но что у нас получилось, не гарантирует успех другим (ну и у нас был КОРП контракт, если что). Бесплатные же антивирусы серверные ОС не поддерживают.