Комментарии 101
Статья вышла в очень удачное время на фоне DDoS атаки на Яндекс с использованием маршрутизаторов на Mikrotik. Как раз собирался сегодня заняться обновлением.
/tool profile
NAME CPU USAGE
console 0%
networking 0%
winbox 0%
management 1%
wireless 0%
telnet 0%
unclassified 0%
total 1%
В связи с очень странным поведением хардварного свитчинга (а именно непонятное флапанье портов при скоростях близких к гигабиту, причем на двух разных роутерах) сижу на софтовом свитчинге. Нагрузки больше 10-15% CPU на hap ac2 не видел ни разу не смотря на то что есть не самые простые правила фаервола.
Как вы думаете стандартные(дефолтные) настройки файрвола микротик достаточные для домашнего использования? Или нужно их менять?
Стандартные настройки для Firewall filter будут приведены во 2ой части статьи. Их в любой ситуации нужно адаптировать. На наш взгляд, MikroTik это не для дома.
По стандартным настройкам всё управление снаружи будет закрыто, равно как и пути внутрь не будет. Исключение — некоторые устройства серии CRS, там стандартный файрвол был пустой.
Окей. В формулировке "для домашнего использования" — что вы считаете избыточным/недостаточным в стандартной конфигурации?
Порты собраны нормально, файрвол настроен вполне разумно, vlan/dot1x и прочее для дома обычно тоже не требуются.
Видение стандартной конфигурации — обновили какой-нибудь hap ac2, после чего сбросили его настройки. Когда вас спросили — что хотите получить, ответили "default". Настройки провайдера и wifi вбили в quick set.
Никаких рисков из статьи при этом нет. Управление открыто только из внутренней сети. Единственное — будет включен PMKID, что не является критичным при использовании нормального пароля.
Окей. Я стандартную конфигурацию обозначил, ваш ответ — "внутренний нарушитель". В домашней сети. Серьезно? Это "предметный разговор"?
Попробуйте представить, что он может такого сделать, если он не знает паролей (и они — не admin/1234), а роутер обновлён? А также — как он туда попадёт?
Хорошо, arp-spoofing? Ip spoofing для миграции в другие подсети? И далее…
Arp-spoofing и ip spoofing откуда? Он уже воткнулся кабелем? Так это означает проблемы уровня L0 — что злоумышленник попал в дом. Или он уже что-то запустил на существующем компьютере хозяина? Так это опять же даёт гораздо более интересные последствия.
Статья раскрывает подходы к организации практической безопасности сетей, построенных на оборудовании MikroTik. Угрозы разные. Способы их нейтрализации тоже разные. Что из этого использовать в собственных проектах, решать вам. Из практики, тот же не безопасно настроенный L2 может подкинуть много проблем , даже для L7.
Так в том и суть, что вопрос был "хватит ли для дома стандартных правил". В ответ вы стали рассказывать про то, что настраивать со стандарта нельзя, а в LAN у нас куча угроз.
Нет, не хватит , отвечаю коротко. Моделируем ситуацию: комп в LAN схватил малварь, начинаем вредить внутри LAN, лезет за ее пределы. MikroTik имеет много всего, чтобы мониторить и пресекать деструктивное ино-вмешательство.
Если вы считаете, что вам хватит, проблем в этом нет. Вероятность, что что-то произойдёт мала, конечно, мала. Мне по душе использовать имеющийся функционал. Не зачем устанавливать MikroTik дома, если использовать его как какой-нибудь роутер от МТС.
MikroTik имеет много всего, чтобы мониторить и пресекать деструктивное ино-вмешательство.
А расскажите плз чуть подробнее про это? Ну или хоть ссылок накидайте?
Бюджетные hEX и hAP в том же исключении.
С высокой вероятностью не просто менять, а продумать и прописать все с нуля. Если нет желания серьезно разбираться с железкой, то домой микротика ни в коем случае не брать.
PS. Дома две железки серий hEX и hAP от микротика, обе с пустыми настройками по дефолту были и светили наружу всем, чем только можно.
Когда зашёл почитать очередную установку WireGuard, а тут такое чтиво.
Ждём вторую часть.
так не будет работать:
"add allow-signal-out-of-range=1d authentication=no comment="Drop signal <= -80" interface=wlan1 signal-range=-120..-80"
правильно вот так:
add interface=wlan2 signal-range=-55
add authentication=no forwarding=no interface=wlan2 signal-range=-120..-56
https://wiki.mikrotik.com/wiki/Manual:Interface/Wireless#Access_List
Моя паранойя подсказала мне что port knoking нужно делать на непоследовательные порты, плюс чередую tcp-udp. Вот только удобной программы для knoking'а не нашёл, закинул к Кипассу линуксовый netcat. Примерно такая строчка подключения в keepass:
cmd://cmd /c Title Wait for connection...&echo {TITLE}&nc -zuw 1 {NOTES} {S:Knock1}&nc -zuw 1 {NOTES} {S:Knock2}&nc -zw1 {NOTES} {S:Knock3}&winbox.exe {NOTES} {USERNAME} {PASSWORD}
Предпочёл бы обойтись без вызова cmd. Может кто предложит вариант поудобнее?
Я настраивал на микротике ping knocking, через последовательность пакетов разного размера. Благо ping есть почти везде, на android через tasker сделал простенький скрипт для подключения через openvpn. Мне показалось так проще, и порты не торчат.
Ключами пользуюсь в скриптах и unimus, а вот самому удобнее всё-таки через winboх - нагляднее.
брут будет грузить устройство, а пинг-нок не даст повода для брута.
я knoking делаю тупо на icmp.
Нет проблем с софтом, нет пуки выбора портов
Я использую ipsec по сертификатам и fail2ban по неудачному подключению по ipsec. В этом случае порт кнокинг считаю перестраховкой.
А что если динамически менять паттерн простукиваний? Мб где реализовано уже на уровне протокола?
А я не могу обновить свой микротик, выдает ошибку днс. Хотя инет есть...
Скачайте файл прошивки с их сайта, закиньте на девайс (просто в окно винбокса перетащите файлик), и перезагрузите устройство черещ system - reboot. Он сам при корректном ребуте, найдя более новый файл прошивки, на нее обновится.
Ну а с ДНС отдельно разберетесь.
Как то опасно обновлять прошивки на микротиках просто так. Особенно с сильно старых. На новых прошивках много чего поменяли. Потом интернет обычно отваливается и что-нибудь еще.
Риск всегда есть.
Только, если прошивка сильно старая, есть и другой риск - что роутер служит уже не своему номинальному владельцу, а какому-то стороннему дяде ("из этих ваших интернетов"). И что тот дядя сделает через роутер - совсем даже вопрос. Может внешнее атаковать (и не факт, что следствие, будя оно случится, не вменит последствия номинальному владельцу роутера), а может и в локальной сети порезвиться, да так, что проблема временного отвала интернета будет казаться совсем детской.
В общем, пусть не постоянно, но обновляться надо. Да и, по совести, если там конфиг вида "один WAN, один LAN, один NAT" - то риск потерять интернет при обновлении почти нулевой. Ну и, если что, зайти, сбросить, заново перенастроить через мастера настройки - дело 15 минут.
Да, только обновляйтесь (в посте об этом тишина, что наводит на мысли) в канале long-term, а не stable и не на бету. Для дома long-term будет достаточен, зато не окажетесь в положении пользователя винды после прилета стабильного обновления с роутером, у которого часть функционала отвалилась.
Сам DNS в настройках прописан?
IP->DNS->Servers
/ip dns
set allow-remote-requests=yes servers=8.8.8.8 ***подставьте ваш днс сюда, желательно использовать dns с DoH***
/ip firewall address-list
add address=***подставить айпишник роутера на wan порту*** list=wan0-IP
add address=***подставьте ваш днс сюда*** list=dns
add address=upgrade.mikrotik.com list=upgrade.mikrotik.com
/ip firewall filter
...
add action=accept chain=output comment="dns outgoing" dst-address-list=dns dst-port=53 protocol=udp src-address-list=wan0-IP
add action=accept chain=output comment="upgrade.mikrotik.com" dst-address-list=upgrade.mikrotik.com src-address-list=wan0-IP
add action=accept chain=input comment="upgrade.mikrotik.com" dst-address-list=wan0-IP src-address-list=upgrade.mikrotik.com
...
Спасибо за статью, очень жду остальные части. Пока что нового ничего не увидел, но систематизировано кмк достойно.
А нет, соврал. Про PMKID ранее не слышал в контексте микротика, благодарю!
Было бы неплохо перед обновлением прошивки сменить канал на long-term - микротики известны ломанием вполне работающего функционала в канале stable без признаков в release notes:
/system package update set channel=long-term
А про ssh-сервер было бы неплохо выключить простое и нулевое шифрование:
/ip ssh set strong-crypto=yes allow-none-crypto=no
Согласны во всем!
А как не облажаться со сменой канала при сохранении конфига?
Беспокоит то, что вдруг при переходе со stable на long-term вдруг какая функция отвалится т.к. в LT её ещё не завезли?
Как вариант, поднять на VDS RouterOS и предварительно тренироваться на нем.
1)Так на VDS как я понимаю нельзя бэпап, только экспорт конфиг т.к. там другое железо. а в экспорт конфиг не всё вроде лезет. например сертификаты.
2)проблема не в даунтайме, а скорее просто разобраться какие прошивки должны быть совместимы. Пока как я понял с любой x.y.z можно переходить на любую q.w.e где q>=x, w>=y и стабильность прошивки на которую переходишь выше. Но это как понял я.
Видно я сильно особенный.
У меня микрот всего года 2. и на стэёбл с лонг терма перешёл из-за новых нужных функций. Теперь надо перейти на лонг терм обратно как там появится..
И тестировать прошивки перед массовым деплоем не могу... т.к. массового деплоя не будет.
Все было бы гораздо проще, если была бы нормальная поддержка VRF.
технология «DHCP snooping». После её активации бридж пропускает DHCP пакеты только в доверенную сторону:
Но ведь запросы и ответы ходят в разные стороны. Как будет работать DHCP при односторонней связи?
Схема примерно такая. Знакомый ему dhcp-server пропускается без ограничений. Не знакомые пакеты (не известный бриджу dhcp-server) дропаются.
Все конечно замечательно!
Но, что делать миллионам других пользователей, у которых домашние рутеры взламываются по паролю admin/admin, с открытым telnet, tftp и возможностью установки вредоносного софта в /tmp?
А есть то же самое, но для openwrt?
А вот более интересно другие вещи с микротиком, можете подсказать:
- есть сеть, критически важна задержка пинга внутри сети. когда втыкаешь устройства для которых это важно в роутер RB3011UiAS (он же и интернет держит так что в файрволле много что натыкано но все порты кроме тех что к провайдерам — в бридже) — сетевая задержка (по мнению внутренних систем мониторинга на этих устройствах) растет чуть ли не на 20 мс что критично. если воткнуть критичное к задержкам железом в старый дохнущий длинк — все работатает быстро, когда работает (а доступ с этих устройств в интернет — за счет того что длинк — уже в микротик воткнут).
Начальный данных мало, чтобы понять что у вас там. Сначала нужно отсечь все лишние службы, правила и т.д. Убедиться, что задержка прошла. Поэтапно восстанавливать конфигурацию и искать, с чем связана появившаяся задержка .
Теоретически, при НАТе задержка может расти, при прохождении firewall filter тоже, но всё зависит от правил. Туда же и про очереди, шейпинг, и тд.
Я бы сказал, всё дело в конфигурации.
Мой MikroTik – моя цифровая крепость (часть 1)