Как стать автором
Обновить

Комментарии 16

sshpass -p verySTRONGpassword!! ssh admin@192.168.15.9

Вроде RouterOS умеет аутентификацию по публичному ключу. А вот так sshpass оставлять в статье для широкого круга читателей, это как-то не комильфо.

В первой части это рассмотрено:
habr.com/ru/company/ruvds/blog/575808
sshpass — вариант реализации, допилить под себя готовое решение не составит труда!

Грамотно настроить и вовремя обновлять микротик и будет все супер!

В период с 1 — 4 части статьи мы разговариваем об этом гораздо подробнее.

К сожалению Микротик сейчас используется не для защиты, а для атак по всему миру. И "крепостью" у него стать так и не получилось. Вот например, новость про пойманный сотрудниками Ростелеком-Солар ботнет из 45000 устройств Mikrotik. https://habr.com/ru/company/solarsecurity/blog/578900/
Что делает разработчик для исправления данной проблемы?

Что может сделать разработчик против людей, которые ставят простой пароль и открывают управление наружу? Запретить подобное? Ну так на это начнут ругаться клиенты, которые то же управление открывают в контролируемые сети.
Автообновление? Перезагрузка в неизвестный момент времени, шанс на несовместимость? Опять же клиенты не оценят. Это же не Win10, тут есть альтернативы оборудованию, на которые можно уйти.

Разошлите ваши рекомендации по безопасности вашим клиентам. Они же есть? Там наверняка есть простые советы:
- Подписаться на рассылку ваших бюллетней по безопасности
- Не выставлять порт управления прямо в Интернет, только изнутри или через VPN
- Рекомендации по парольной политике
- Добавьте автоматический сервис проверки безопасности в самом устройстве.
- Включите IPS для самого себя - ведь suricata же теперь внутри. Значит может видеть эту несчастную атаку на Mikrotik 2018 года (CVE-2018-14847)

Наверняка производитель может сам или попросить своих партнеров связаться с клиентами и оповестить их о проблемах. Проблема ведь серьезная.

Glupteba работает через брутфорс паролей по ssh и эксплуатации уязвимости CVE-2018-14847

А причём разработчик к тому что пользователь не настраивает оборудование? Не ставит пароль?

Так можно любого обвинить, производителя дверей, замков и т.д. или по-вашему производитель должен настраивать ваше оборудование и устанавливать %VeryStronPassword123%?

Предполагаю, что проблема скомпрометированных устройств именно в базовой настройке. Люди часто мыслят в русле "я же не президент, чтобы меня ломать пытались"... Разработчик ничего, никому не должен.

Отвертка - инструмент, но в плохих руках - оружие. Никто ведь изготовителя не спрашивает, что он сделал для исправления такой проблемы.

Домашние роутеры настраиваются вписыванием логина и пароля + тип подключения, там по сути вообще кот наплакал настроек - безопасность на совести разработчика прошивки.

Микротик не совсем домашний, он все-таки ближе к коммерческому сектору, и требует квалификации.

ИМХО: не разработчики должны решать проблемы конечной настройки, а человек должен не лениться и обучаться. Век живи - век учись.

Огромное спасибо за цикл статей. Буду применять на практике.

Отличный цикл статей, почерпнул много полезного, правда пришлось несколько дней повоевать с логированием. Скажите, будет ли статья про учет трафика и его удобный анализ?

В планах не было, так как это уже не про безопасность.
НЛО прилетело и опубликовало эту надпись здесь

Суриката только детектирует и результат помещает в лог, на чем и базируется показанное решение .

В RAW Filter нет Input или Forward. Даже на Вашей диаграмме этот фильтр только в пре и поструте

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.