Jump to content

Безопасность сети и защита от неправомерного доступа

Kolvan

By Kolvan
in Mikrotik Wireless

 Share

Recommended Posts

Kolvan

Kolvan

Posted
Posted

Недавно пришла в голову мысль обезопасить себя и своих абонентов от всякого рода "прошареных умников". Решил ограничить доступ к сеторам БС, клиентским SXT и корневому роутеру не банальным паролем, а ограничением по МАСу.

В целом никаких проблем не возникло.

Доступ к ним ограничивается несколькими правилами в файерволе:

1. Chain: input, Src. MAC Addresses: [разрешенный МАС для работы], Action: Accept - такие правила я создаю на 2-3 компа, которым я доверяю. На роутере добавил МАС сетевухи биллинг-сервера.

2. Chain: input, Dst. Port: 21,8728,8729,22,23,8291,80,443 Action: Drop - это правило рубит все попытки войти в управление тиком. Количество "запретных" портов можно сократить, повыключав соответствующие службы управления, но меня они особо не напрягают.

 

Может я кое что "проморгал" из существующих "дырок"? Если есть какие-либо дополнения - пишите.

Saab95

Saab95

Posted
Posted

Ерунду сделали полную, достаточно изменить схему доступа на PPPoE и запретить все в центре, либо просто пароли поставить. Все эти ограничения только ресурс процессора съедают.

Kolvan

Kolvan

Posted
  • Author
Posted

Ерунду сделали полную, достаточно изменить схему доступа на PPPoE и запретить все в центре, либо просто пароли поставить. Все эти ограничения только ресурс процессора съедают.

 

На PPPoE однозначно не пойду, т.к. HotSpot для меня куда более удобный вариант. Пароли тоже вещь не особо надежная. Допустим роутер и базу я смогу капитально запаролить, а с клиентскими устройствами будет посложнее. Я не один буду работать в этой сфере, а если пароль знает больше одного человека - считай знают все. Очень не хотелось бы, чтобы клиенты крутили настройки своих SXT, а тем более чужих.

Роутер спецом взял флагманский, чтобы не переживать за ресурс процессора.

 

Откройте для себя менеджмент Влан, и не надо городить цепочки с фильтраи на Л2, они далеко не самые шустрые.

Думал над этим, вскоре сделаю для удобства управления. Но я не понимаю, как влан отгородит клиентов от управления и в это же время даст им работать со шлюзом, будь то хоть клиентская sxt, хоть корневой CCR-1036?

Saab95

Saab95

Posted
Posted

Если у вас пароли будут знать все, то они могут и отключить ваши ограничения на своих устройствах. Поэтому нужно сделать так, что бы чужие не попали в настройки, а всем управлением занимался один человек, он и будет все знать. Если нужно дать доступ на просмотр уровня сигнала при подключении, сделайте для них учетку только для чтения.

vnkorol

vnkorol

Posted
Posted

А по этой же теме - можно в микротике оставить вебсервер для просмотра графиков, но отключить вход в управление, чтобы только винбокс/телнет был?

Saab95

Saab95

Posted
Posted

А по этой же теме - можно в микротике оставить вебсервер для просмотра графиков, но отключить вход в управление, чтобы только винбокс/телнет был?

 

Графики на нем не нужны, поставьте дуду для рисования, тогда веб можете полностью отключить. Хотя как вариант можете порт поменять.

sergios50

sergios50

Posted
Posted

Ерунду сделали полную, достаточно изменить схему доступа на PPPoE и запретить все в центре, либо просто пароли поставить. Все эти ограничения только ресурс процессора съедают.

 

На PPPoE однозначно не пойду, т.к. HotSpot для меня куда более удобный вариант. Пароли тоже вещь не особо надежная. Допустим роутер и базу я смогу капитально запаролить, а с клиентскими устройствами будет посложнее. Я не один буду работать в этой сфере, а если пароль знает больше одного человека - считай знают все. Очень не хотелось бы, чтобы клиенты крутили настройки своих SXT, а тем более чужих.

Роутер спецом взял флагманский, чтобы не переживать за ресурс процессора.

 

Откройте для себя менеджмент Влан, и не надо городить цепочки с фильтраи на Л2, они далеко не самые шустрые.

Думал над этим, вскоре сделаю для удобства управления. Но я не понимаю, как влан отгородит клиентов от управления и в это же время даст им работать со шлюзом, будь то хоть клиентская sxt, хоть корневой CCR-1036?

PPPoE это одно hotspot это другое ,дешевле и надежней по функционалу чем ppoe нет ,а если каждому клиенту по роутеру и с wan порт ом,то надежность сети и контроль даст возможность спать спокойно

vnkorol

vnkorol

Posted
Posted

А по этой же теме - можно в микротике оставить вебсервер для просмотра графиков, но отключить вход в управление, чтобы только винбокс/телнет был?

 

Графики на нем не нужны, поставьте дуду для рисования, тогда веб можете полностью отключить. Хотя как вариант можете порт поменять.

 

Порт, естественно, давно поменян. А Дуда рисует тоже график загруженности по интерфейсам? Хранит их на микротике или на сервере на PC?

Saab95

Saab95

Posted
Posted

А по этой же теме - можно в микротике оставить вебсервер для просмотра графиков, но отключить вход в управление, чтобы только винбокс/телнет был?

 

Графики на нем не нужны, поставьте дуду для рисования, тогда веб можете полностью отключить. Хотя как вариант можете порт поменять.

 

Порт, естественно, давно поменян. А Дуда рисует тоже график загруженности по интерфейсам? Хранит их на микротике или на сервере на PC?

 

Рисует, хранит у себя на компе, можно сохранять резервную копию в случае переноса программы с одного компьютера на другой, то есть данные не пропадут, как в случае с записью на самом микротике, если он точное время получить не сможет.

pandel

pandel

Posted
Posted

а каким образом можно закрыть от юзера маки в сети? Получается сеть 10,0,0,0/8 закрыта но при этом винбокс видит мак адреса железок. Клиентская SXT настроена в качестве роутера

SSD

SSD

Posted
Posted

а каким образом можно закрыть от юзера маки в сети? Получается сеть 10,0,0,0/8 закрыта но при этом винбокс видит мак адреса железок. Клиентская SXT настроена в качестве роутера

Уводить доступ до девайсов в managment vlan.

sergios50

sergios50

Posted
Posted

мак можно всегда подменить, но не думаю что для взлома это простое решение и чем то поможет , 1я дырка wps ,нужно обязательно установить unlock на роутере,

также запретить дистанционное входа по по wan ,пароли делать более 8 знаков, применять повтор знаков 2-3 раза ,так как когда создается библиотека для экономии размера существует функция удаления повторных знаков ,а если прописать статические ип адреса, то этого будет достаточно для защиты сети

Saab95

Saab95

Posted
Posted

а каким образом можно закрыть от юзера маки в сети? Получается сеть 10,0,0,0/8 закрыта но при этом винбокс видит мак адреса железок. Клиентская SXT настроена в качестве роутера

 

Зайдите в IP-Neighbors и отключите сетевой порт, тогда винбокс ничего не покажет. Если вы этот порт в бридж объединили то и с бриджа тоже отключите.

pandel

pandel

Posted
Posted

а каким образом можно закрыть от юзера маки в сети? Получается сеть 10,0,0,0/8 закрыта но при этом винбокс видит мак адреса железок. Клиентская SXT настроена в качестве роутера

 

Зайдите в IP-Neighbors и отключите сетевой порт, тогда винбокс ничего не покажет. Если вы этот порт в бридж объединили то и с бриджа тоже отключите.

 

спасибо, попробую, при этом я сам смогу заходитьт по Mac telnet в случае чего? (если введу мак вручную)

Saab95

Saab95

Posted
Posted

а каким образом можно закрыть от юзера маки в сети? Получается сеть 10,0,0,0/8 закрыта но при этом винбокс видит мак адреса железок. Клиентская SXT настроена в качестве роутера

 

Зайдите в IP-Neighbors и отключите сетевой порт, тогда винбокс ничего не покажет. Если вы этот порт в бридж объединили то и с бриджа тоже отключите.

 

спасибо, попробую, при этом я сам смогу заходитьт по Mac telnet в случае чего? (если введу мак вручную)

 

Попробуйте, потом нам расскажите=)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.