Помощь проекту


Начиная с RouterOS 6.43, Winbox будет использовать безопасное соединение с шифрованием AES 128-bit

30 май 2018 885 0
Тем, кто пользуются устройствами Mikrotik RouterBOARD на уровне более продвинутых пользователей, хорошо известна утилита под названием Winbox.

По сути, это удобная десктопная альтернатива использованию веб-конфигуратора WebFig и по факту является графической оболочкой, повторяющей функционал веб-интерфейса. К сожалению, насколько Winbox удобен, настолько он не безопасен в открытых сетях. Все дело в том, что данные между приложением и маршрутизатором не шифруется. Эта особенность может быть использована для атак типа «MITM» (Man in the middle, человек посередине).

Понятное дело, в домашних сетях вам опасаться практически нечего: доступ к ресурсам локальной сети ограничен и потенциальный злоумышленник не сможет перехватить данные при помощи сниффера. Другое дело большие корпоративные сети, сети провайдеров, а также конфигурации, где порт Winbox открыт наружу и выполняется удаленное управление.

В случае с сервисом www, RouterOS позволяет создавать самоподписанные сертификаты и использовать более защищенный HTTPS. Дополнительно вам потребуется на клиентском устройстве добавить сертификат в исключения браузера, вот собственно и все. Более подробно о данном методе я писал ранее, см. пункт №5 в одной из предыдущих публикаций.

Говоря о Winbox, ничего подобного никогда не было, и это одна из причин того, что опытные администраторы не используют его вовсе.

28 мая Mikrotik анонсировали выпуск Winbox 3.14, изменений в нем несколько, но крайне важных три:
  1. добавлен новый метод аутентификации и шифрования соединений между Winbox и RouterOS v6.43+
  2. начиная с v6.43 все соединения будут происходить в «безопасном режиме» (secure mode), в котором все данные будут шифроваться при помощи алгоритмов AES 128-bit (AES128-CBC-SHA)
  3. при проверке обновлений Winbox (upgrade check), будет происходить проверка подписи.
Свершилось то, чего многие из нас так долго ждали – Winbox при работе с RouterOS 6.43 и выше, будет использовать безопасное подключение и полностью шифровать данные при помощи стойких алгоритмов AES. Для обмена ключами и аутентификации используется ECSRP. В свою очередь это делает возможным безопасное удаленное управление устройствами RouterBOARD и защиту от MITM-атак.

Сам winbox.exe обзавелся цифровой подписью (издатель «Mikrotikls SIA»), которую при выполнении проверки новых версий будет проверять модуль обновления. В случае несоответствия или отсутствия подписи, обновление выполняться не будет, вместо него система выдаст предупреждение. По сути, это защита от подмены сервера обновлений злоумышленником.

Следом за выпуском Winbox 3.14, 30-го мая Mikrotik анонсировали тестовую версию RouterOS 6.43rc21. Начиная с этого билда добавлена поддержка безопасного соединения.

Информации о дате выхода RouterOS 6.43 пока нет. Вполне возможно, часть изменений попадет в промежуточное обновление 6.42.4, если такое вообще выйдет.

Видеокурс «Настройка оборудования MikroTik» (аналог MTCNA)

Учитесь работать с MikroTik? Рекомендую видеокурс «Настройка оборудования MikroTik». В курсе разобраны все темы из официальной учебной программы MTCNA и много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Консультации по заданиям курса ведет его автор Дмитрий Скоромнов. Подойдет и для первого знакомства с оборудованием MikroTik, и для систематизации знаний опытным специалистам.

Интернет-магазин ntools.com.ua

Комментарии:

Добавить
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent

Критический баг RouterOS версий 6.29-6.42 позволяет получить логин и пароль

Не успели Mikrotik пофиксить уязвимость SMB и веб-сервера, как всплыл очередной, на этот раз, критический баг, позволяющий злоумышленнику получить...

Как давно вы обновляли RouterOS? Mikrotik предупреждает о необходимости

Несколько дней назад компания Mikrotik совершила массовую рассылку с уведомлением о ботнете, сканирующем одну из прошлогодних уязвимостей....

Denial Of Service: уязвимость RouterOS 6.38.5 позволяет вызвать отказ сети

Не успели Mikrotik закрыть уязвимости, выявленные с публикацией Wikileaks Vault 7, как 28-го марта была опубликована новая уязвимость CVE-2017-7285,...

Настройка Loop Protect в RouterOS на маршрутизаторах Mikrotik

В одной из предыдущих публикаций про обновление RouterOS 6.37 я уже упоминал про добавление функции Loop Protect. Если быть точнее, Loop Protect...

Mikrotik разрабатывает приложение для Android - Tik-App. Скачайте бесплатно

Поскольку официального программного обеспечения от Mikrotik нет – на рынке мобильных приложений присутствует огромнейшее множество ПО подобного рода....

Домашний роутер на Mikrotik. Базовые настройки безопасности в RouterOS.

Итак, вы купили роутер Mikrotik, принесли его домой, распаковали. Что с ним делать дальше? К порту 1 (WAN) следует подключить кабель от...


авторизация на сайте

Войти при помощи Вконтакте Войти при помощи Facebook Войти при помощи Google+ Войти при помощи Яндекс
Забыли пароль?