Защита Mikrotik от внешних угроз
Вставка
- Опубліковано 4 вер 2019
- Помогаем в Telegram: @MikTrain (t.me/miktrain)
====ОПИСАНИЕ ВЕБИНАРА====
Несмотря на то, что Mikrotik - это сильный инструмент для защиты сети, сам Mikrotik требует настройки, чтобы так же не оказаться взломанным.
На вебинаре мы разберем:
- Почему не хватает firewall для защиты mikrotik.
- Почему не хватает защиты в /ip services.
- Как использовать службу neighbor.
- Как использовать tool mac server.
- Общие рекомендации по защите.
- Почему у нас не взломали ни одного роутера.
- Как и когда правильно обновлять.
Знания полученные на вебинаре помогут надежно защитить Ваш Mikrotik от сетевых атак, которые нередко направлены именно на маршрутизаторы.
Консультации и помощь по MikroTik в нашем Telegram-канале: t.me/miktrain.
#Mikrotiik, #RomanKozlov, #Firewall, #IPServices, #Neighbor, #ToolMacServer - Наука та технологія
Роман, спасибо большое за ваши вебинары. Благодаря вам познакомился с Микротик, внедрил у себя. СПАСИБО!
Благодарю за вебинар, просто получаю удовольствие от просмотра! Всех благ, успехов! :)
Здравствуйте Роман, очень интересует тематика Микротик, но.. уже не первый раз сталкиваюсь с вашими вебинарами, даже подписан, но в определенные моменты чувствую себя абсолютным нулем, первоклассником на уроке высшей математики. Понимаю что для многих ваших подписчиков моя просьба вызовет насмешки или даже раздражение, но ведь как и в вождении автомобиля, у каждого бывает стадия базового обучения и первый выезд на проезжую часть, раздражающий проезжающих мимо опытных водителей. Есть ли возможность создать плейлист для людей, кто впервые взял в руки Микротик и постепенно осветить всё для начинающих. Все с самых основ. Думаю такой плейлист привлек бы очень много благодарных подписчиков. Спасибо за ответ.
начало с 07:30
Мощный видос! Спасибо! Рекомендую к просмотру))
4:09 какой программой и какой скрипт выполняется, что бы смотреть пароль на Микротик? На какие открытые порты он должен смотреть? Роман, спасибо за вэбинары, очень грамотно объясняете.
Роман, спасибо за видео.
Очень ждал ответа, как распознать зараженный Микротик. Кроме Script list.
Спасибо большое, очень много полезной информации, несмотря на отсутствие Микротика в своем окружении.
Роман, спасибо Вам огромное за видеоролики! Очень полезные понятные объяснения! Здесь вы говорили что даже до появления уязвимостей, вы не доверяли винбоксу. Упомянули интерфейс-листы. Что за интерфейс-листы, как это работает, не подскажете? Это же не через веб-интерфейс?
Согласен со многими комментаторами. Благодаря Вам, я познакомился с mikrotik и научился его настраивать. Это лучшая железка! Столько всего интересного! А ваши видео очень информативные. Пересматриваю их по нескольку раз и каждый раз с новыми знаниями нахожу для себя опять что-то новое!!!
Коллеги, добрый день! А где можно получить презентацию?
Отличная подача материала. Мине понравилось ---) Микротик чем то напоминает винроут 20 летней давности, но обросший просто потрясающим функционалом. Подпишусь на Вас, много полезного.
Drop udp 53 in raw section is better ! The portknock to add ip addresses in withlist to use allowed services is better too :)
какими командами попасть в production mode в антенне LTE6 ?
После правила разрешающего established,related почему-то не срабатывает цепочка ICMP и последующий дроп
Растолкуйте плиз: 30:05 вы сказали, что IP Cloud виден за NAT. С точностью как и вы настраиваете - настроил свой микротик (со своим конечно DNS name). Но он у меня пишет "Router is behind a NAT". Где не досмотрел?
Добрый день, а как попасть в чат телеграмм ?
Поставил недавно микротик. По 3-4 долбежбки в день) Первым делом учетку admin рубанул. Спасибо за видео. Буду править еще у себя.
Я уже увидел, вас… Вы не только обьесняите как все работает но вы проверяете всех кто вас смотрит))))!!!!! Хитро!!!!
Почему он не настроил цепочку forward?
Здравствуйте подскажите пожалуйста у меня микротик 941 после грозы перестал раздавать интернет
Как перенаправит порты с айпис одного на другой
50:20 DDoS нет от неё защиты непосредственно на Вашем роутере, так как пакет уже прилетел к Вам на интерфейс и роутеру, а точнее его cpu надо его обработать дроп не дроп не важно, ресурсы cpu на это будут потрачены, эта и есть отказ в обслуживании, то есть забить в полку cpu оборудования. От DDoS защищаются с помощью выше стоящего провайдера, но это уже другая история.
Окей берём 20-ядерный Зион, 128гб ОЗУ и 120ссд, покупаем лицензию роутер ос, накатываем на этот комп её и настраиваем все файрвольные правила 😁😁
@@Odin.kirillтогда ляжет канал связи и перестанут проходить полезные данные среди лишних пакетов до того как завязнет железка... Или вы к нему подключили несколько раздельных каналов по 10гигабит и забыли об этом упомянуть?)
Лекция отличная, но прошу простить за 5 копеек, но звук завалите в районе 100гц, сильно бубнит у людей с хорошо передающий низ акустикой. Вы думаю сводили звук в обычные колоночки мелкие, где этой частоты и небыло. Вообще советую у всех лекций просто срезать все что ниже 100 а то и 150
8:50 - 9:45 Несколько раз перемотал и переслушал но так и не понял что имеет приоритет - Available from: в IP Service List или разрешающее вход правило в Firewall Filter?
Сначала firewall, потом ip services. Firewall более производительный и работает на 3 и 4 уровне osi. Ip service - это настройка службы - работает на 7м уровне и менее безопасна. Так же теоретически в настройках ip service могут быть zero day.
@@MikrotikTraining Спасибо Роман. Да я конечно не знаком с уровнями OSI что уж там кривить душой) и наверное по этому иногда пытаюсь сравнивать "мягкое с теплым", но по экспериментировав с Available from: в IP Service и Address list "Admin" в Firewall, я пришел к мнению что в моем обывательском понимании приоритет все же имеет Available from в IP Service. Если я в IP Service ставлю разрешение на вход только с одного локального адреса, то не важно какие адреса у меня разрешены на вход в Firewall по адрес листу Admin - я все равно смогу зайти только с того что указал в Available from в IP Service! Ну а если в Available from в IP Service оставить поле пустым, то я могу зайти по любому из адресов в Адрес-листе Админ по правилу в Фаерволе, В связи с этим Ваш ответ "Сначала firewall, потом ip services" вводит меня в тупик. Как так то?
Я для себя ещё оставляю секретную дверь - пингануть роутер определённым размером пакетов (к примеру 70, 80, пару по 90 байт), после чего мой IP попадает в white-list, которому разрешено всё. Естественно white-list первым правилом разрешается, сразу за ним icmp.
плиз неучу поясните как сделать пинг как Вы описали. благодарю
@@YDenV add action=drop chain=input dst-address=192.168.100.1 dst-port=80 in-interface=bridge1 protocol=tcp src-address=192.168.100.0/24 src-address-list=!WIN
add action=jump chain=input dst-address=192.168.100.1 in-interface=bridge1 jump-target=KnockKnockKnock protocol=icmp src-address=192.168.100.0/24
add action=add-src-to-address-list address-list=Gate1 address-list-timeout=10s chain=KnockKnockKnock dst-address=192.168.100.1 in-interface=bridge1 log=yes \
packet-size=329 protocol=icmp src-address=192.168.100.0/24
add action=add-src-to-address-list address-list=Gate2 address-list-timeout=10s chain=KnockKnockKnock dst-address=192.168.100.1 in-interface=bridge1 log=yes \
log-prefix=KNOCK packet-size=429 protocol=icmp src-address=192.168.100.0/24 src-address-list=Gate1
add action=add-src-to-address-list address-list=WIN chain=KnockKnockKnock dst-address=192.168.100.1 in-interface=bridge1 log=yes log-prefix=KNOCK2 \
packet-size=529 protocol=icmp src-address=192.168.100.0/24 src-address-list=Gate2
add action=return chain=KnockKnockKnock из первой ссылки гугла;)
@@YDenV Блокируем все поползновения на веб-морду с нашей подсети кроме тех хостов, кто содержится в списке WIN.
Все ICMP из нашей подсети перекидываем на цепочку KnockKnockKnock.
Если пришёл ICMP-пакет размером 329 на bridge1, то помечаем хост отправитель в список Gate1 на 10 секунд.
Если пришёл ICMP-пакет размером 429 на bridge1 и хост-отправитель содержится в списке Gate1, то помечаем хост отправитель в список Gate2 на 10 секунд.
Если пришёл ICMP-пакет размером 529 на bridge1 и хост-отправитель содержится в списке Gate2, то помечаем хост отправитель в список WIN на 10 секунд.
Возвращаемся из цепочки KnockKnockKnock (в INPUT)
@@player-fm6ud сенк
Спасибо за пример
Сделал по вашему примеру, и проблема такая, что первый пинг идет через ICMP.
после первого остальные идут по input ACCEPT established,related и не ограничиваются в 1 пакет в секунду.
не важно выше или ниже input ACCEPT established,related.
добавил дроп icmp сразу после правила с лимитом. теперь заработало
41:15 - Судя по слайду правило нужно 8:0, а делаете 0:8.
Большинство не обновляет роутеры потому тестил уязвимость паролей и нарыл за пол дня около 300 роутеров в соседних странах. Пол дня только потому что диапазон поиска очень большой взял. Делай с ними что хош. Потестил свою сеть пока дырок не нашел. Но год назад ситуация была куда плачевнее.
Причем чтоб поиметь пару тысяч устройств надо было всего лишь еще пол дня тщательного поиска нужных инструментов.
а что делать если отключил случайно все сервисы ?
По маку заходить
10:27 оговорка? Хранят же хеш, а не пароли.
12:26 где посмотреть на сайте в описании, что прошивка уязвимая?
1. К сожалению нет, хранили именно пароли в открытом виде. С 6.45 пароли хранятся в зашифрованном виде.
2. Наверняка хз, но как вариант читать ченджлоги для выходящих обновок, там пишут какие уязвимости закрываются.
Вряд-ли они в курсе всех уязвимостей чтоб об них писать и закрывать, так что лучший вариант - закрывать любые порты управления от левых адресов, открывая только себе и другим админам.
@@andreymikhaylov141 реально 6.45??? Она же даже не в лонгтерме!? Сейчас последняя 6.44.6
@@vsyes1984 Если быть совсем точным, то 6.45.1. Посмотри ченджлог mikrotik.com/download/changelogs
Включенный MNDP покажет соседей в сети провайдера. Окей. А провайдер должен изолировать соседей?
А можно презентацию? :-)
в конце видео ссылка
@@rostdev8523 нет там ссылки
У меня Mac OS, без проблем получится настроить Mikrotik?
ставишь wine, и через wine открываешь винбокс, ну или через телнет или ссш))
jablochniyvorishka можно же еще через web настроить?
@@alexmint9540 web очень кривая, можно и через телефон (IOS, Android)
чем плохи настройки огненной стены "по умолчанию" ?
На момент создания видео или на данный момент? Сейчас он более менее вроде
@@bouzilla941 да, я про нынешние настройки по умолчанию.
На семерку .. обновляться страшно чота.... Хотя был успешный опыт с заводской тройки на 4.4..*.. Опасаюсь так скать
К тому же.. обновлять надо GW.
Мы пока в основном работаем на ros6. Главная проблема - при обновлении можно потерять роутер. Ну и самое безопасное и качественное - обновление через netinstall и последующая настройка через export/руки
Лайк перед просмотром)
создаем аддресс-лист, заталкиваем туда нужные интерфейсы, обозначаем этот лист для дискавери и маквинбокс/мактелнет. Вуаля, закрылись по L2.
Сорян, не досмотрел) Просто это я делаю одним из первых действий
Здравствуйте, а можно поподробнее?
@@MrShamshudinov
/interface/list/
add name=MACServer
member/add list=MACServer interface=bridge
/tool/mac-server
set allowed-interface-list=MACServer
mac-winbox/set allowed-interface-list=MACServer
Взломы по всему миру а ценик не снижают
всегда юзал веб морду лисички и alt linux
Всё хорошо, но не могу не докопаться до ерундовой мелочи.) Аббревиатура API не как "апи" произносится, а как eh-pee-eye.
Три четверти универа говорит "апи". Таких как ты - где-то четверть...
точно никто не взламывал микротики? и точно,что только из за не правилтных настроек?
CVE-2019-3977
CVE-2018-7445
CVE-2018-14847
можно продолжать и продолжать )))
С торентами луче не бороться, а использовать qos , все полезное в приоритете, не полезное в в минимум. Ни чего нового
А как отсеять все полезное? Особенно после какого-нибудь проксика.
Я ваше видео включил мой аккаунт перезагрузился походу вы смотрите все аккаунты, благодарю вас, буду держать защиту от вас!!!!
42.44 "правило джамп будет проверять только icmp пакеты" круто. Это правило будет проверять все пакеты (ты icmp ты не icmp) и только icmp заворачивать в свою цепочку. Не вводите людей в заблуждение, тем более Вы ведете курсы за деньги.
Вложенная цепочка должна проигнорить проверку, а так без джампа, вся цепочка будет проверять.
Дырявый микрот с ботнетами
какая красивая лапша, жаль настройки только сложные и ,,, поэтапные,,, длинные и тупые,,
я сейчас на 4:41 и я понимаю что выступающий включил понты и начинается "писькомер"! Вот смотрите какие у меня скрипты, сейчас будем ломать самый слабый роутер, да я да я! И думаю а по факту интересно как и что можно протюнить чтобы было более безопасно тем более когда у тебя белый ip!
А когда досмотрел дальше, вывод поменял?