Последствия неправильной настройки Mikrotik и критического бага в RouterOS 6.29-6.42: массовый взлом маршрутизаторов Mikrotik, рекомендации по повышению безопасности

30 апрель 2018 96 847 37
В Mikrotik уже неоднократно напоминали о необходимости своевременно обновления. К сожалению, большинство владельцев пропускают данную информацию мимо ушей и не уделяют ей должного внимания.

Ситуация, с которой я столкнулся, вынуждает еще раз написать о необходимости обновления RouterOS, а также использования «правильных» настроек RouterOS. Также мы поговорим о том, чем чревато невыполнение этих рекомендаций.

Всё началось с одного из уведомлений Mikrotik, в котором говорилось о массовом сканировании сети на предмет использования маршрутизаторов под управлением RouterOS. Что это дает? Во-первых, возможность эксплуатации более старых уязвимостей, во-вторых – формирование базы с IP-адресами устройств RouterBOARD.
Если Вы хотите научиться настраивать MikroTik, предлагаем пройти онлайн обучение. Более подробную информацию Вы можете найти в конце данной публикации.
И вот, буквально на днях, Mikrotik заговорили о критическом баге версий 6.29-6.42, который позволяет заполучить файл базы данных и расшифровать связку логин@пароль администратора устройства. Собственно подробностей в компании не сообщили, в интересах клиентов.

Многие успешно обновились и попросту забыли про данный баг. Но на этом история не заканчивается. Буквально вчера я наткнулся на специализированное программное обеспечение для поиска уязвимостей внутри сети.
Если Вы хотите научиться настраивать MikroTik, предлагаем пройти онлайн обучение. Более подробную информацию Вы можете найти в конце данной публикации.


Свои устройства я давно обновил, так что настроен был очень скептически.

Изначально я запустил процесс сканирования для своей сети, которая состоит из 9 подсетей. Поиск принес первые «плоды» – один из доверенных клиентских Mikrotik’ов, подключенный по L2TP+IPsec оказался со старой версией ROS. Но это не все… программа отобразила для него логин и пароль. Устройство было не наше, а одной из фирм, которая разрабатывает для фирмы, в которой я работаю, программное обеспечение. Логин и пароль подошли, что позволило мне успешно авторизоваться на чужом устройстве.

Пакостить я, конечно же, не стал и сразу же уведомил владельцев данного устройства.

Далее было принято решение запустить поверхностный скан локальной подсети местного провайдера (пара подсетей 192.168.х.х). То, что я увидел, меня шокировало – 58 устройств с критическими проблемами безопасности. Сам софт сканирует уязвимость не только микротиков, но и других устройств.
Структура проблемных устройств, которые мне удалось обнаружить в локальной сети, следующая:
  • ASUS – 24;
  • Mikrotik – 16;
  • TP-Link – 5;
  • Edimax – 3;
  • Totolink – 2;
  • Камеры Hikvision – 2;
  • Камеры Hipcam – 2;
  • DD-WRT – 1;
  • Tenda – 1;
  • Upvel – 1;
Как видим, абсолютный рекордсмен ASUS, в частности это модели RT-N10, RT-N10E, RT-N10P, RT-N10PV2, RT-N10U, RT-N12, RT-N12+, RT-N12E, RT-N12LX, RT-N12VP и даже топовые RT-AC51U и RT-N66U. Я не думаю, что пользователи намеренно открывали доступ к WebUI из WAN, скорее всего это баг прошивок.

Второе место по количеству уязвимых устройств занимает Mikrotik. Забавно, правда? И корень проблемы даже не в баге RouterOS. К сожалению, большинство пользователей попросту не разбираются в правилах Firewall.

Чаще всего пользователи довольствуются стандартными правилами Firewall и настройками RouterOS, они самодостаточные и не допускают доступ извне к панели управления.

Многие из тех, кто считают себя «продвинутыми» пользователями, начинают бороздить просторы интернета в поисках «идеальных» и «правильных» правил для Firewall. В процессе такой настройки пользователи сносят стандартную конфигурацию, заменяя её правилами из публикаций. Зачастую пользователи даже не понимают суть правил, которые добавляют. Как итог, пользователь получает открытые наружу порты WebFig и winbox! Неожиданно, правда?

Ради интереса я зашел на несколько устройств, найденных софтом – все учетные данные давали успешный вход. Наибольший интерес у меня вызвали устройства с нестандартными логинами и очень сложными паролями для входа. Владельцы данных устройств явно имеют более высокий уровень понимания RouterOS.

Идея обращения к провайдеру была отброшена сразу, провайдер попросту не даст личные данные клиентов по IP, а сам заниматься данным вопросом не станет.

На одном из таких устройств я обнаружил PPP-подключение, и не просто на IP, а на доменное имя очень крупной и известной компании. Нужно срочно уведомить владельца, но как это сделать? В параметрах RouterOS я обнаружил настройки e-mail, что и позволило мне найти контакты владельца, копию письма я отправил администратору компании, к ресурсам которой подключено устройство.

Какими могли быть последствия? Как минимум, некий школьник мог без проблем сбросить конфигурацию – потеря не велика и клиент списал бы все на ошибку ПО. Мог быть и другой сценарий – настройка прокси-сервера, подмена DNS, перехват личных данных и слив файлов на внешнем накопителе (если он подключен к Mikrotik). При желании, злоумышленник может даже поднять VPN-сервер, настроить маршрутизацию и заходить в вашу сеть.

Худший сценарий? Злоумышленник выгружает конфигурацию в RSC-файл и начинает изучение. Что интересного можно найти в файле конфигурации? Очень много… в том числе пароль для PPP-подключения, статические маршруты в удаленную сеть, DNS-записи при их наличии.

Все это было в конкретном случае – и данные VPN, и записи DNS для доступа к сервисам компании в удаленной сети, и все маршруты. По сути, сочетание неправильных правил Firewall и баг в RouterOS позволили бы потенциальному злоумышленнику получить полный доступ в удаленную сеть предприятия.

При этом абсолютно не имеет значения, насколько хорошо защищен главный шлюз предприятия, ведь дыра в безопасности находится на удаленном рабочем месте, у кого-то из сотрудников.

Владелец был незамедлительно уведомлен, после чего выполнил обновление ROS и полную смену паролей.

Я привел лишь единичный пример всего на одном устройстве, хотя из 16 обнаруженных, функционал PPP использовался, по меньшей мере, на 5.

Сейчас вы, наверное, подумаете, мол, это локальная сеть (все устройства за NAT провайдера) и тут никто не станет рисковать, да и в случае чего злоумышленника можно вычислить по логам. Во-первых, если к WAN есть доступ из локальной сети, значит при использовании «белого IP», будет доступ из Интернет, c любой точки мира. Во-вторых, при перезагрузке RouterOS по-умолчанию очищает логи, если не указано хранение на диск, либо не настроена выгрузка на внешний сервер.

Осознаете суть и масштаб проблемы?

В этом плане провайдеры, предоставляющие выход в сеть через NAT хотя-бы частично защищают клиента, те же клиенты у кого на WAN-интерфейсе сразу белый IP – могут рассчитывать только на себя.

Вот пример сканирования внешней подсети того же провайдера:

Как видим, ситуация ни чуть не лучше, можно даже сказать еще хуже – в логах RouterOS первого попавшего устройства видим непрекращающиеся попытки получения доступа из Интернет.

Но и это еще не все... по одному из логинов я заподозрил маршрутизатор одного из провайдеров, и не ошибся… собственно смотрите сами:

Да, это CCR1036. Названия интерфейсов скрыты в интересах пострадавшей стороны.

В логах видно, что кто-то из Интернет упорно брутфорсит маршрутизатор… Собственно, представители компании уже оповещены.

Возникает закономерный вопрос, что делать дальше?

Рекомендации по повышению защиты RouterOS и Mikrotik

#1: обновитесь до версии RouterOS 6.42.1 и выше

Первым делом обновите версию RouterOS на ВСЕХ ваших устройствах, критический баг исправлен в 6.42.1. Если же у вас версия ниже 6.29, о безопасности паролей волноваться не стоит, тем не менее, в старых версиях есть и другие уязвимости, так что в любом случае выполняйте обновление.

Регулярно следите за выпуском обновлений.

#2: смените ВСЕ пароли

На текущий момент не существует возможности гарантированно определить, была ли утечка данных. Единственный способ – просмотр логов на предмет успешных входов со сторонних IP и подсетей. Следует понимать, что ROS очищает лог при каждой перезагрузке устройства.

Правильное действие – полная смена всех паролей, которые использовались на устройстве, начиная с пароля админа, заканчивая паролем Wi-Fi и паролями VPN-подключений.

#3: используйте стандартные правила Firewall

Всё предельно просто – если вы не разбираетесь в тонкостях работы Firewall и не понимаете сути правил, воздержитесь от сторонних инструкций, используйте стандартную конфигурацию RouterOS со стандартными правилами Firewall. Они самодостаточные.

Стандартные правила имеют следующий вид:
/ip firewall filter
add action=accept chain=input comment="Allow PING (ICMP)" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related routing-mark=main
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1

Где ether1 – это ваш WAN-интерфейс.

Иногда имеет смысл добавить блокировку доступа к DNS роутера, делает это запретом доступа к 53-му порту на WAN-интерфейсе.
add action=drop chain=input comment="Drop access to DNS from WAN" dst-port=53 in-interface=ether1 protocol=tcp
add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp

Само запрещающее правило надо поднять выше других разрешающих правил.

В случае, когда используется функционал VPN-сервера, потребуется открыть дополнительные порты. К примеру, для L2TP+IPsec потребуется следующее правило:
add action=accept chain=input comment="VPN  L2TP" dst-port=1701,500,4500 in-interface=ether1 protocol=udp
add action=accept chain=input comment="VPN L2TP IPsec" protocol=ipsec-esp

Порт 4500 открывать не требуется, если ваши VPN-клиенты не находятся за NAT провайдера. В идеале, порты следует открывать только для IP из «Address List», который заранее необходимо создать и внести в него подсети провайдера, из которого будут подключаться ваши клиенты. Если же вы в разъездах, данный вариант вам не подойдет.

RSC-файл для удобного импорта правил:
firewall.rsc [1,15 Kb] (cкачиваний: 1019)

#4: отключите все неиспользуемые сервисы


Наиболее удобно устройствами Mikrotik управлять при помощи Winbox, изредка можно зайти в WebFig (WWW). Все остальное полностью отключаем в разделе IP – Services.

#5: используйте www-ssl вместо www

Обычный HTTP можно заменить на HTTPS, делается это все там же в подменю IP – Services.

Заранее вам потребуется создать самоподписный сертификат, делается это в разделе System – Certificates.

После заполнения формы нажмите последовательно Apply (применить) и Sign (подписать), в появившемся окне нажмите Start.

При заполнении формы можно указывать как IP роутера, так и его DNS-имя. В поле Days Valid необходимо указать период действия сертификата в днях, по желанию можно сразу создать сертификат на несколько лет.

Далее созданный сертификат укажите в выпадающем списке для www-ssl.

#6: ограничивайте доступ к сервисам

Также рекомендуется ограничивать список IP и подсетей, с которых разрешено подключение к сервисам управления. В подменю IP – Services при редактировании сервисов заполните поля Available From.

При заполнении будьте внимательны, т.к. установив неправильный IP или подсеть, вы потеряете возможность управления устройством. Также можно указывать несколько подсетей и/или IP, что будет удобно в больших предприятиях.

Обратите внимание, при использовании VPN, например L2TP, в качестве IP/подсети следует указывать адресное пространство, используемое внутри туннеля, а не удаленную подсеть! В противном случае вы не получите доступ. Собственно тут все просто, для роутера важен первый промежуточный узел, с которого осуществляется доступ. Если запутались – воспользуйтесь трассировкой маршрута (tracert).

#7: отключите admin

В обязательном порядке отключите или удалите встроенного пользователя с логином admin, заранее создав для себя нового пользователя с уровнем доступа full.

Как минимум, злоумышленник не будет знать логин администратора, что усложнит или сделает невозможным брутфорс. Тут также можно заполнять поле Allowed Address (аналог Available From), что удобно в больших сетях с несколькими админами.

#8: отключите UPnP


UPnP – набор протоколов, позволяющий давать маршрутизатору команду на автоматическую настройку под нужды определенного приложения, например для проброса портов. Включив UPnP, вы попросту не сможете полностью контролировать его работу.

#9: для Wi-Fi используйте исключительно WPA2-PSK + AES

При использовании Wi-Fi, оставляйте активным только WPA2 PSK в связке с AES – наиболее защищенное сочетание.

Делается это в разделе Wireless – Security Profiles. WPA первого поколения и WEP уязвимы. То же самое касается TKIP.

#10: управляйте сетью при помощи DHCP

В больших сетях имеет смысл не просто отказаться от «ручных» настроек сети, но и вовсе запрещать подобные действия. Многие правила могут основываться на IP, поэтому в больших сетях следует доверять назначение IP исключительно DHCP-серверу.

Заходим в IP – DHCP Server и устанавливаем опцию «Add ARP for Leases».

Далее в настройках бриджа установите «ARP: reply only». После установки этих параметров, микротик будет обрабатывать запросы только от тех устройств, для которых IP выдан DHCP-сервером и они внесены в таблицу ARP.

С hAP ac2 данный трюк у меня не прошел, устройства попросту не имели доступа к сети. Как вариант решения – установка reply-only непосредственно на wan-интерфейсах.

Есть правда и нюанс, при отказе DHCP сеть перестанет работать, на этот случай необходимо задавать резервную конфигурацию для сетевых интерфейсов.

В случаях, когда требуется статический IP, просто привяжите IP-адрес к MAC-адресу устройства. Делается это в разделе IP- DHCP Server – Leases, выбираете нужное устройство и нажимаете Make Static, после этого можно будет задать для устройства любой IP.

Каждый раз при подключении к сети, ваше устройство будет получать один и тот же IP.

#11: не давайте гостям пароль от своего Wi-Fi

Давая пароль от Wi-Fi всем подряд, вы подвергаете свою сеть дополнительному потенциальному риску. Для целей выхода в Интернет, лучше всего создать дополнительную гостевую сеть. Как это сделать, я подробно описывал в отдельной публикации: «Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS».

#12: обезопасьте гостевой Wi-Fi

По возможности, для гостевой Wi-Fi сети или хотспота следует также использовать WPA2 вместо Open, что позволит отсеять большую часть «нежданных гостей». Используйте для этих целей дополнительный профиль безопасности.

#13: изолируйте гостей друг от друга

Еще одна рекомендация состоит в том, чтобы по возможности изолировать гостей друг от друга. Это повысит уровень защищенности каждого отдельного клиента, поскольку защитить сеть от сканирования на предмет активных устройств и открытых портов.

Делается это в настройках wlan, путем отключения опции «Default Forward».

Обратите внимание, для внутренней домашней сети этого делать не стоит.

#14: изолируйте гостей от внутренней подсети

Одна из самых главных рекомендаций, которые касаются гостевой подсети – её полная изоляция от основной сетевой инфраструктуры.

Один из вариантов описан в моей публикации по Guest Wi-Fi. Если коротко, гости используют отдельный бридж и отдельную подсеть, дополнительно настроены правила, запрещающие доступ из одной сети в другую (IP – Routes – Rules, правило с «action: unreachable»).

Видеокурс «Настройка оборудования MikroTik» (аналог MTCNA)

Учитесь работать с MikroTik? Рекомендую видеокурс «Настройка оборудования MikroTik». В курсе разобраны все темы из официальной учебной программы MTCNA и много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Консультации по заданиям курса ведет его автор Дмитрий Скоромнов. Подойдет и для первого знакомства с оборудованием MikroTik, и для систематизации знаний опытным специалистам.

Интернет-магазин ntools.com.ua

Комментарии:

Добавить
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent
  1. DmitryAVET
    DmitryAVET Создатель 30 января 2020 20:53
    + 0 -
    Из коробки вполне нормальные правила Firewall, что уже неоднократно обсуждалось на форумах, в том числе на официальном.

    Зачем закрывать 53 порт DNS, если стандартными правилами он дропается по-умолчанию?

    Почему all-ppp? Уже давно есть Interface List, который позволяет объединять любое число интерфейсов. А если у человека Dual Access? eth1 защищать не нужно в локалке провайдера?

    8291 по-умолчанию открыт для локальной сети и закрыт для WAN Interface List.

    Зачем 8291 разрешать в Forward? Это транзитный траффик, в то время как управление идет только через input.

    Зачем дропать целую пачку портов, если по-умолчанию все они дропаются стандартными правилами? Если уж начали обработку отдельных портов - это уже защита от сканирования портов, тогда лучше добавлять src IP в address list и делать drop в prerouting.

    Connection state = Established и Related можно обрабатывать одним правилом, чем экономятся ресурсы CPU.

    add action=accept chain=input protocol=udp - полная наркомания, этим правилам разрешаются ВСЕ входящие соединения по протоколу UDP без какой-либо фильтрации.

    Где у вас защита узлов за NAT?

    Что-то вы писали-писали, но ваши правила устарели и, скорее всего, являются "оптимальными" только для вас.
  2. Master
    Master Гости 30 января 2020 10:50
    + 0 -
    Общие рекомендации к выше сказанному:
    1. Никогда не оставляйте настройку роутера «по-умолчанию»! Микротик из коробки нужно сразу обновить на самую последнюю версию и сбросить все настройки. В идеале это сделать через netinstall (но не критично).
    2. Отключайте все сервисы в IP/Services/Service List, кроме Winbox порт 8192. В идеале порт изменить на любое другое число, например 8192 на 8199. Важно помнить, что для доступа через Winbox нужно будет указывать новый порт.
    Правила Firewall (добавляем по порядку):
    1. Все входящие от all-ppp по upd на порт 53 – drop. Закрываем 53 порт из вне. Если у Вас ррр- соединение, или изменить на порт провайдера.
    add action=drop chain=input comment="SPAM Drop" dst-port=53 in-interface=all-ppp protocol=udp
    2. Разрешаем icmp протокол в обе стороны для ping-ования сетей
    add action=accept chain=input protocol=icmp
    add action=accept chain=forward protocol=icmp
    3. Разрешаем трафик по портам из внешних сетей. Например, Ваша сеть VPN 10.188.0.0 и порт для управления Winbox 8291
    add action=accept chain=input comment= dst-port=8291 protocol=tcp src-address=10.188.0.0/24
    add action=accept chain=forward dst-port=8291 protocol=tcp src-address=10.188.0.0/24
    4. Разрешаем трафик по портам из внутренних сетей. Например, Ваша сеть 10.10.0.0 и порт для управления Winbox 8291
    add action=accept chain=input dst-port=8291 protocol=tcp src-address=10.10.0.0/24
    add action=accept chain=forward dst-port=8291 protocol=tcp src-address=10.10.0.0/24
    Порты можно группировать в списки, также как и адресы, для удобства.
    5. Блокируем весь СПАМ трафик на роутер из вне. Логика правила, все что идет по tcp на порты 8291,8728,8729,21,22,23,80,443,8080 из сетей провайдера all-ppp это СПАМ.
    add action=drop chain=input dst-port= 8291,8728,8729,21,22,23,80,443,8080 in-interface=all-ppp log-prefix= "### SPAM - " protocol=tcp
    В правиле 5 перечислены основные «замеченные» порты, что «мешают» жить нормально.
    6. Далее стандартный блок, стандартных тех правил
    add action=accept chain=input connection-state=established
    add action=accept chain=forward connection-state=established
    add action=accept chain=input connection-state=related
    add action=accept chain=forward connection-state=related
    add action=drop chain=input connection-state=invalid
    add action=drop chain=forward connection-state=invalid
    add action=accept chain=input protocol=udp
    add action=accept chain=forward protocol=udp
    7. Разрешаем трафик из локальной сети всем
    add action=accept chain=input src-address=10.10.0.0/24
    add action=accept chain=forward src-address=10.10.0.0/24
    8. Все что не разрешено, всех в паспортный стол!
    add action=drop chain=input
    add action=drop chain=forward
  3. Гость Дмитрий
    Гость Дмитрий Гости 8 января 2019 17:36
    + 0 -
    Можно тоже ПО, в ЛС? Реально нужно для личных целей!!! Приобрел 3 месяца назад MikroTik hab fc2, еле-еле настроили. Но пароль на вход не ставили а логин оставили как есть (admin).Моя скорость интернета до 400мб/с но пару дней назад заметил что скорость упала. Замерил и действительно удала до 7-11 мб\с я в шоке! Прочитав вашу статью, решил прошить роутер до v6.43.8 Скачал и при попытке зайти на роутер через винбокс пишет неверный логин или пароль( А сбрасывать и снова пол дня тратить на настройку не хочется. Надеюсь на ваше понимание, Спасибо.
    1. DmitryAVET
      DmitryAVET Создатель 9 января 2019 00:21
      + 0 -
      Софт Router Scan, уже давно не секрет
      1. Гость Дмитрий
        Гость Дмитрий Гости 9 января 2019 10:07
        + 0 -
        Мой Микротик он не видит
  4. DmitryAVET
    DmitryAVET Создатель 13 ноября 2018 00:38
    + 0 -
    Рабочие эксплоиты есть в открытом доступе уже давно. Практически сразу эксплоит был встроен в Router Scan, так что даже школьники могут взламывать микротики со старыми прошивками, и владельцы таких устройств, к сожалению, пока никак не спешат обезопасить себя.
  5. Nik
    Nik Гости 9 ноября 2018 05:58
    + 0 -
    И мне можно название софтины. Только в мирных целях.
  6. Илья
    Илья Гости 24 сентября 2018 11:32
    + 0 -
    Можно тоже ПО, в ЛС
  7. Илья
    Илья Гости 13 сентября 2018 13:04
    + 0 -
    Подскажите каким ПО сканировали сеть, в своей компании обнаружили взлом, хотим теперь протестировать свою сеть.
  8. Андрей Fedore
    Андрей Fedore Посетители 28 июля 2018 13:58
    + -2 -
    Поделитесь плиз названием ПО...очень нужно "вспомнить" пароль от одной железки
  9. Mikhail
    Mikhail Гости 10 июня 2018 09:23
    + 0 -
    Предоставленных скриншотов программы достаточно для того чтобы с помощью Гугла найти что это за программа.
    У меня в сети тоже ооочень много asus rt-12 понаходило, и стабильно 1-2 уязвимых микротика в разных подсетях провайдера
    1. DmitryAVET
      DmitryAVET Создатель 10 июня 2018 09:54
      + 0 -
      Кто хочет - тот находит)
      Передумал пока писать название, к сожалению слишком много незащищенных устройств, а с помощью этого ПО любой школьник сможет получить к ним доступ
      1. Алексей
        Алексей Гости 10 июня 2018 13:46
        + -1 -
        Можно узнать название ПО? Нужно вернуть доступ к микротику (((
  10. Олександр Носар
    Олександр Носар Посетители 7 июня 2018 06:36
    + 0 -
    Статья хорошая.
    Но мероприятия далеко не полные...
    Рекомендую к прочтению вот эти статьи.(Все, что по ссылкам ниже требует как минимум базовых знаний)
    http://mikrotik-ukraine.blogspot.com/2016/09/mikrotik.html#more
    http://mikrotik-ukraine.blogspot.com/2017/01/mikrotik-2.html
    http://mikrotik-ukraine.blogspot.com/2016/08/wan-mikrotik.html
    https://habr.com/post/266847/
    https://podarok66.livejournal.com/9766.html#cutid1
    http://papa-admin.ru/mikrotik/132-honeypot-mikrotik.html

    сканер портов
    http://speed-tester.info/soft_port_scanner.php
    1. DmitryAVET
      DmitryAVET Создатель 7 июня 2018 10:18
      + +1 -
      Да, далеко не полные, вариантов очень много и каждый сам для себя решает, что дополнительно использовать. Перечисленные публикации читал ранее.

      Были планы на еще пару публикаций, но не всегда есть свободное время. Из дополнительного использую ловушку для портов 21,22,23,80,161,443,8080,8291,8728,8729 после чего вношу их в адрес-лист и дропаю.

      Перед этими правилами у меня еще есть ограничение количества соединений и защита от SYN-флуда. Некоторые правила можно было бы оптимизировать.
      1. viktor
        viktor Гости 13 июня 2018 16:06
        + 0 -
        надеюсь этим планам сбыться )))
  11. Oleg
    Oleg Гости 4 июня 2018 12:33
    + 0 -
    Озвучте, пож, название ПО, или на почту вышлите
  12. Альберт
    Альберт Гости 15 мая 2018 16:53
    + 0 -
    Дмитрий, поделитесь ссылкой на сканер, или названием... Хочется свои сети проверить...
  13. freewalker
    freewalker Посетители 9 мая 2018 09:02
    + +1 -
    Здравствуйте, коллеги. Хочу поделиться наблюдением, указанная уязвимость эксплуатируется на уровне встроенного веб-сервера. Было проверено на двух разных моделях с прошивками 34 и 41. Отключенный доступ по www не позволяет получить логин-пароль. Уважаемый автор, есть ли возможность у вас проверить эксплуатацию уязвимости при использовании доступа только по www-ssl?
    1. DmitryAVET
      DmitryAVET Создатель 9 мая 2018 09:58
      + 0 -
      80-й порт используется только для идентификации устройства сканером, сама уязвимость эксплуатируется через Winbox. Отключив 80-й порт вы сделали невозможным сканирование существующим ПО, однако в ручном режиме уязвимостью можно воспользоваться.
  14. Вася
    Вася Гости 3 мая 2018 18:22
    + 0 -
    DmitryAVET, Можете просто выложить этот файлик с правилами стандартными и для DNS в одном файлеике? Спасибо.

    Добрый день! Скажите пожалуйста, у Вас на сайте система комментариев самописная или плагин-сервис?
    1. DmitryAVET
      DmitryAVET Создатель 3 мая 2018 19:46
      + 0 -
      прикрепил RSC-файл под правилами. Комментарии средствами самой CMS + предмодерация.
  15. Вася
    Вася Гости 3 мая 2018 06:35
    + 0 -
    Доброго времени суток! Вы привели набор стандартных правил для фаервола, а как эти правила добавить в MikroTik. Зашел в терминал, копирую построчно, но выходят ошибки.
    1. DmitryAVET
      DmitryAVET Создатель 3 мая 2018 09:31
      + 0 -
      Здравствуйте. При копировании в терминал у вас однозначно полезут ошибки... можно добавить правила в winbox, заполняя требуемые параметры правила.

      Как самый просто вариант - сохраните команда в текстовый файл и сохраните его с расширением *.rsc, после чего закиньте в память устройства (Files), там работает обычное перетаскивание.

      Далее в терминале команда

      import file=<filename>.rsc
      1. Вася
        Вася Гости 3 мая 2018 16:02
        + 0 -
        Скопировал в один файл, без переносов и с переносами строк импортировал как написали но в ip->firewall->Filter Rules не появились правила.. что ни так сделал?
        -------------
        [admin@MikroTik] > import file=fd.rsc
        expected end of command (line 1 column 93)
        [admin@MikroTik] >
        [admin@MikroTik] > import file=fd.rsc
        expected end of command (line 3 column 114)
        [admin@MikroTik] >
        ------------------------
        1. Ramiler
          Ramiler Гости 16 апреля 2021 12:00
          + 0 -
          Копируйте текст с форму сперва в блокнот, а потом уже из блокнота в терминал
      2. DmitryAVET
        DmitryAVET Создатель 3 мая 2018 16:29
        + 0 -
        Вам терминал четко написал в каком месте файла ошибка, 1 рядок 93 столбец.
  16. denis
    denis Гости 2 мая 2018 15:44
    + 0 -
    Отличная статья - большое спасибо. Да и вообще, блог отличный.
    Жаль, у вас рассылки на блоге нет, чтобы вовремя про все это узнавать.
    1. DmitryAVET
      DmitryAVET Создатель 2 мая 2018 15:47
      + 0 -
      Можете воспользоваться RSS.
  17. Дмитрий
    Дмитрий Гости 1 мая 2018 19:57
    + -3 -
    Здравствуйте! "Буквально вчера я наткнулся на специализированное программное обеспечение для поиска уязвимостей внутри сети." - что за ПО поделитесь названием хоть? Спасибо.
    1. DmitryAVET
      DmitryAVET Создатель 1 мая 2018 22:34
      + -1 -
      Не думаю, что это хорошая идея, особенно во время праздников... слишком большое количество устройств подвержено уязвимости.
      1. Дмитрий
        Дмитрий Гости 2 мая 2018 10:56
        + -3 -
        Спасибо за ответ. Сам пользуюсь оборудованием mikrotik и обслуживаю компании с mikrotik оборудованием, ни большие 10-100 хостов, но всё же, хотел бы провести аудит, поэтому спросил чем пользуетесь для таких целей. Может направите какую статью с подобным ПО почитать. В сети очень много инструментов, пробовать все подряд тоже ни вариант.
      2. DmitryAVET
        DmitryAVET Создатель 2 мая 2018 13:17
        + +4 -
        Подождите несколько дней, пускай народ обновит свои железки
        1. Роман Валерьевич Голубенко
          Роман Валерьевич Голубенко Гости 6 мая 2018 17:00
          + +4 -
          Добрый день!
          Также хочу провести аудит своих устройств, поделитесь ПО для поиска.
          Спасибо!
        2. Дмитрий
          Дмитрий Гости 12 мая 2018 12:56
          + -1 -
          Здравствуйте! Праздники прошли, буде считать что люди уже обновились) Уточните что за ПО использовали ? Оставил почту можете скинуть туда?
        3. Олег
          Олег Гости 15 октября 2018 14:44
          + 0 -
          Добрый день. Напишите название ПО, пожалуйста. В одной организации не могу залогиниться на роутере, старый админ пропал с паролем, а ресет делать, понятно, не хочется.
      3. Максим
        Максим Гости 8 мая 2018 14:34
        + 0 -
        Можно в ЛС ПО для сканирования сети.

Обновление Mikrotik RouterOS 6.45.1: важные исправления безопасности и

20 июня компания Mikrotik опубликовала в своем блоге короткую заметку , имеющую отношение к уязвимостям CVE-2019-11477, CVE-2019-11478 и...

Автоматическая проверка обновлений RouterOS, уведомление о новых версиях при

Ранее мы уже неоднократно говорили о необходимости своевременного обновления программного обеспечения Mikrotik. Иногда в RouterOS встречаются...

Как давно вы обновляли RouterOS? Mikrotik предупреждает о необходимости

Несколько дней назад компания Mikrotik совершила массовую рассылку с уведомлением о ботнете, сканирующем одну из прошлогодних уязвимостей....

В разработке: подробности грядущего обновления RouterOS v6.42

Команда Mikrotik продолжает работу над подготовкой очередного обновления RouterOS до версии 6.42. Более подробную информацию обо всех изменениях вы...

Ограниченное предложение от Mikrotik: бесплатное обновление лицензии wAP 60G

Представитель команды поддержки Mikrotik в одном из анонсов официального комьюнити проинформировал сообщество о возможности апгрейда лицензии wAP 60G...

Обновление RouterOS на примере Mikrotik hAP lite (RB941-2n)

Абсолютное большинство устройств Mikrotik работает под управлением специальной операционной системы – RouterOS. ROS является одной из самых...

авторизация на сайте

Войти при помощи Facebook Войти при помощи Google+
Забыли пароль?