Comments 40
Если управляемых устройств в сети больше 1, то имеет смысл создать обособленный влан только для администрирования устройств.
0
Здесь приведён минимальный вариант защиты.
Но, к сожалению, большинство пользователей mikrotik делают большие глаза, когда слышат слово vlan.
Но, к сожалению, большинство пользователей mikrotik делают большие глаза, когда слышат слово vlan.
0
VLAN (аппаратный) на MT всегда был некой фичей, которая была «не как у всех» (см., напр., это и это, а потом 1, 2). Точнее, она была сделана, как «понятнее железу» (свичовым чипам; притом, что в разных роутерах он стоял разный, и фичи были чуть разные; если же без свич-чипа, то все просто, пилим интерфейс vlan, и вперед, но часто он будет обрабатываться процом, что совсем «небогато»), а не по аналогии с каким-о подходом из цисок, длинков и прочих свичей, часто встречающихся в природе.
Сейчас, когда MT занялся производством свичей как таковых, этому вопросу стали уделять время, описывать тему в wiki, да и броджи новые «поумнее» стали, так что, надеюсь, скоро не нужно будет ломать мозг, разбираясь в понятной интуитивно теме.
Сейчас, когда MT занялся производством свичей как таковых, этому вопросу стали уделять время, описывать тему в wiki, да и броджи новые «поумнее» стали, так что, надеюсь, скоро не нужно будет ломать мозг, разбираясь в понятной интуитивно теме.
0
а чем смысл удалять пользователя admin и добавлять еще раз его руками?
0
Дополнительная защита, если вдруг окажется открыт порт, с большой вероятностью будут подбирать пароль для юзеров root и admin.
0
Не его, любое другое название администратора.
т.е. создаём администратора Wasya
Заходим под ним, проверяем права.
И отрубаем/удаляем admin.
(Именно в таком порядке, то что в статье — высокий шанс выстрелить себе в ногу).
Зачем это нужно? Потому что admin — самая популярная цель для подбора пароля. А так надо ещё логин подбирать :)
т.е. создаём администратора Wasya
Заходим под ним, проверяем права.
И отрубаем/удаляем admin.
(Именно в таком порядке, то что в статье — высокий шанс выстрелить себе в ногу).
Зачем это нужно? Потому что admin — самая популярная цель для подбора пароля. А так надо ещё логин подбирать :)
0
Действительно, смысла никакого нет.
Есть эксплоит который через эту уязвимость позволяет получить логин и пароль.
Так что security through obscurity тут ничем не поможет...
0
Причем тут security through obscurity? Это скорее общее правило, как и все остальные описанные в данной статье.
0
UFO just landed and posted this here
Вопрос не в том, что это не security through obscurity. А в том, что это — стандартные правила для первичной защиты любой системы: открыть доступ только тем кому нужно, избегать использование стандартных системных учетных записей, повесить какой-нибудь fail2ban для затруднения брутфорса.
В данном конкретном случае, если порт открыт, то уже ничто не спасет, но если вы его открыли только для доверенных адресов, то возможность использования уязвимости падает многократно.
В данном конкретном случае, если порт открыт, то уже ничто не спасет, но если вы его открыли только для доверенных адресов, то возможность использования уязвимости падает многократно.
0
Гораздо полезнее было-б указать пример грейлога, насколько я знаю в микротике это делается внутренними средствами. и можно ничего не переименовывать.
0
Я имел ввиду только тот момент, который касается смена имени пользователя admin.
То что нужно устанавливать всякие сложные пароли, port knocking, fail2ban, обычную фильтрацию это вроде и так ясно.
0
Всегда отрубаю и закрываю все сервисы кроме SSH. Авторизация по ключу длиной 8192. Winbox непонятная проприетарщина.
-5
UFO just landed and posted this here
А в чем собственно уязвимость? Был ли зарегистрирован CVE?
Интересно узнать в общих чертах, без примеров естественно.
Интересно узнать в общих чертах, без примеров естественно.
+1
UFO just landed and posted this here
Так CVE был или нет? Тоже хотелось бы почитать…
0
Как верно заметили, этой уязвимости без малого месяц. Как капитан очевидность, отмечу, что сложность пароля — равно как и переименование/заведение другой учетки — не спасает.
62.183.*.*
support@hoi4~gmpK9
skrimer@SdFk1399SdFk
62.183.*.*
support@hoi4~gmpK9
skrimer@SdFk1399SdFk
0
В данной статье количество настроек сильно меньше необходимого минимума для безопасного использования роутера. При работе с микротиком, в отличии от большинства домашних решений, обязательно необходимо корректно настроить firewall.
Еще до появления этой уязвимости я писал статью как правильно настроить роутер с самого начала и до продвинутой настройка firewall. Однако администрация ресурса решила что большая часть информации тонким слоем по разным статьям уже раскидана. Так что к публикации не приняли.
Желающим могу прислать инструкцию по настройке в личку. Остальные могут прочесть публикации по настройке микротика и сами разобраться как его настраивать.
Еще до появления этой уязвимости я писал статью как правильно настроить роутер с самого начала и до продвинутой настройка firewall. Однако администрация ресурса решила что большая часть информации тонким слоем по разным статьям уже раскидана. Так что к публикации не приняли.
Желающим могу прислать инструкцию по настройке в личку. Остальные могут прочесть публикации по настройке микротика и сами разобраться как его настраивать.
0
ИМХО неполохой способ защиты порта winbox:
add action=drop chain=input dst-port=8291 protocol=tcp src-address-list=winbox_blacklist
add action=add-src-to-address-list address-list=winbox_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=winbox_stage3
add action=add-src-to-address-list address-list=winbox_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=winbox_stage2
add action=add-src-to-address-list address-list=winbox_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=winbox_stage1
add action=add-src-to-address-list address-list=winbox_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=8291 protocol=tcp
add action=accept chain=input-WAN comment="Open MNGT ports" dst-port=8291 protocol=tcp
0
UFO just landed and posted this here
Друзья, по умолчанию стоит правило что chain input на Ether1-gateway(т.е. порт в интернет) в drop. Т.е. любые обращения кроме проброса портов дропаются. Или Я не прав?
0
В дэфалтном конфиге да. Но это было не всегда и далеко не все ставят дэфальный конфиг.
Чаще всего фаервол вообще пустой.
Чаще всего фаервол вообще пустой.
0
Sign up to leave a comment.
Уязвимость Mikrotik позволяет получать список всех пользователей через winbox