Mikrotik: Užitečné tipy pro nastavení. Jak nakonfigurovat a chránit Mikrotik před nepřátelskými průniky zvenčí? Ochrana serveru před externím hackováním přes Mikrotik

Mikrotik - router, router, přístupový bod.

Jak nastavit Mikrotik? Jak ochránit Mikrotik před nepřátelskými průniky zvenčí?
Počáteční nastavení routeru Mikrotik (router). Počáteční ochrana Mikrotik.

Pro ochranu routeru Mikrotik potřebujete:
1. Změňte heslo správce.
2. Vypněte nepotřebné, nepoužívané služby.
3. Povolte NAT
4. Nakonfigurujte Firewall – organizujte filtrování a průchod paketů.

P.S. po nastavení příkazu R, - router smaže všechna nastavení, ale ne hesla, můžete se k němu připojit přes WinBox přes IP - 192.168.88.1

Nastavení z konzole:
jméno admin, heslo prázdné.
Pokud zapomenete heslo, zachrání vás pouze kompletní reset – přeinstalace routeru!
Změna hesla:
> uživatel upravit heslo správce
Otevře se editor; zadejte nové heslo. Pro uložení a ukončení stiskněte Ctrl+o (ovládací prvek a písmeno o zároveň)
Můžete přidat nového uživatele, pro případ:
>použijte přidat jméno=mkt heslo=12345 skupina=plná

Podívejme se, jaká rozhraní existují:
>tisk rozhraní


0 X;; WAN
ether1 ether 1500 1600 1600
1 X;;; LAN
ether2 ether 1500 1600 1600

Aktivujte ty, které potřebujete:
>povolení rozhraní 0
> povolení rozhraní 1
>tisk rozhraní
Příznaky: D — dynamický, X — vypnutý, R — běžící, S — slave
# JMÉNO TYP MTU L2MTU MAX-L2MTU
0 R;; WAN
ether1 ether 1500 1600 1600
1 R;; LAN
ether2 ether 1500 1600 1600

Podívejme se na IP:
> tisk ip adresy
Vezměte například následující parametry:
Poskytovatel (internet) – 195.196.10.50
GW (brána) - 195.196.10.49
DNS server – 195.196.11.10, 195.196.12,10
Místní síť (interní) - 192.168.18.0/24
Přidat poskytovatele IP:
>ip address add address=195.196.10.10/30 interface=ether1
Přidat místní:
>ip address add address=192.168.18.0/24 interface=ether2
Uvidíme, co se stane:
> tisk ip adresy
Přidat bránu Provo:
> IP route add gateway=195.196.10.49
Podívejme se:
> tisk trasy IP

Přidejte DNS poskytovatele internetu:
> IP dns nastavit servery=195.196.11.10,195.196.12,10 allow-remote-request=yes

Povolit NAT (maškaráda):
> IP firewall nat add chain=srcnat action=masquerade out-interface=ether1
Po tomto nastavení bude mít vnitřní síť přístup k internetu.

Nakonfigurujte bránu firewall, tj. je nutné organizovat filtrování paketů (vstupní řetězce) a přirozeně, aby po ochraně mohla vaše síť fungovat - organizovat průchod paketů - jedná se o dopředné řetězce:

P.S Nejprve projděte WinBox - IP -> Firewall -> Service Port - deaktivujte vše Zakázat, ponechte to, co je nutné, tedy v našem případě pptp (VPN server), a pokud chcete použít vestavěný FTP - ftp

Přidávání pravidel:
ip firewall filter add chain=vstup connection-state=invalid action=drop comment=”Drop Invalid connections”
ip firewall filtr add chain=vstup connection-state=established action=accept comment=”Povolit navázaná spojení”
IP firewall filtr add chain=vstupní protokol=udp action=accept comment="Allow UDP"
ip firewall filtr add chain=vstupní protokol=icmp action=accept comment="Allow ICMP"
ip firewall filter add chain=vstup src-address=192.168.0.0/24 action=accept comment=”Povolit přístup z místní sítě”
Další dvě pravidla jsou, pokud chcete nastavit přístup přes váš Mikrotik do vaší interní sítě přes VPN (pptp server)
První otevírá port 1723, druhý umožňuje protokol 47 (GRE).
ip firewall filter add chain=input action=accept protocol=tcp dst-port=1723 comment=”Povolit přístup k VPN”
ip firewall filter add chain=vstup akce=accept protocol=gre comment=”Pokud máte VPN (pptp server)”
Následující pravidlo vám umožňuje připojit se k vašemu Mikrotiku přes WinBox (výchozí port 8291)
P.S. Přirozeně je potřeba nakonfigurovat „IP Service LIST“ IP -> Services -> IP Service List, kliknout na řádek winbox, otevře se okno pro úpravu dat -> změnit IP na tu, ze které se budete připojovat, totéž je třeba udělat s SSH a WWW , zakázat všechny ostatní služby - zakázat. (ip_address_allow – vaše IP)
ip firewall filtr add chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=8291 comment=”Povolit přístup přes WinBox”
ip firewall filter add chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=22 comment="Povolit přístup přes SSH"
ip firewall filter add chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=80 comment="Povolit přístup přes WWW"
Pokud chcete použít vestavěný FTP:
ip firewall filter add chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=21 comment="Povolit přístup k FTP"
Vše ostatní nakrájíme:
ip firewall filter add chain=vstup akce=drop comment="Drop cancel all other"

Chcete-li chránit svou síť, musíte zkontrolovat veškerý provoz, který prochází
router a blokovat nežádoucí.

ip firewall filter add chain=forward protocol=tcp connection-state=invalid action=drop comment=”Zrušte neplatná připojení”
ip firewall filter add chain=forward connection-state=established action=accept comment=”Povolit již vytvořená připojení”
ip firewall filter add chain=forward connection-state=related action=accept comment=”Povolit související připojení”
Pro každý případ povolujeme průchod protokolu GRE:
ip firewall filter add chain=forward protocol=gre action=accept comment="Allow GRE"
Pokud máte server VPN, povolte portu 3389 spuštění RDP (Remote Desktop).
ip firewall filter add chain=forward protocol=tcp dst-port=3389 action=accept comment=”Allow 3389″

Blokujeme IP adresy vnitřních sítí.
ip firewall filter add chain=forward src-address=0.0.0.0/8 action=drop
ip firewall filter add chain=forward dst-address=0.0.0.0/8 action=drop
ip firewall filter add chain=forward src-address=127.0.0.0/8 action=drop
ip firewall filter add chain=forward dst-address=127.0.0.0/8 action=drop
ip firewall filter add chain=forward src-address=224.0.0.0/3 action=drop
ip firewall filter add chain=forward dst-address=224.0.0.0/3 action=drop

Nebo:
IP firewall filtr add chain forward protocol=udp action=accept comment="Allow UDP"
ip firewall filtr add chain forward protocol=icmp action=accept comment="Allow ICMP Ping"
Nebo:
Pro provoz icmp, udp a tcp vytvoříme řetězce, do kterých zahodíme nechtěné pakety:
Vytvořme přechod na nové řetězce
IP firewall filtr add chain=forward protocol=tcp action=jump jump-target=tcp
ip firewall filtr add chain=forward protocol=udp action=jump jump-target=udp
IP firewall filtr add chain=forward protocol=icmp action=jump jump-target=icmp

Vytvořme pravidla tcp pro řetězec tcp a odepřeme některé porty:
ip firewall filter add chain=tcp protocol=tcp dst-port=69 action=drop comment=”Deny TFTP”
ip firewall filter add chain=tcp protocol=tcp dst-port=111 action=drop comment=”Deny RPC portmapper”
ip firewall filter add chain=tcp protocol=tcp dst-port=135 action=drop comment=”Deny RPC portmapper”
ip firewall filter add chain=tcp protocol=tcp dst-port=137-139 action=drop comment=”Deny NBT”
ip firewall filter add chain=tcp protocol=tcp dst-port=445 action=drop comment=”Deny Cifs”
ip firewall filter add chain=tcp protocol=tcp dst-port=2049 action=drop comment=”Deny NFS”
ip firewall filter add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment=”Deny NetBus”
ip firewall filter add chain=tcp protocol=tcp dst-port=20034 action=drop comment=”Deny NetBus”
ip firewall filter add chain=tcp protocol=tcp dst-port=3133 action=drop comment=”Deny BackOriffice”
ip firewall filter add chain=tcp protocol=tcp dst-port=67-68 action=drop comment=”Deny DHCP”

Pojďme zakázat porty udp pro řetězec udp:
ip firewall filter add chain=udp protocol=udp dst-port=69 action=drop comment=”Deny TFTP”
ip firewall filter add chain=udp protocol=udp dst-port=111 action=drop comment=”Deny PRC portmapper”
ip firewall filter add chain=udp protocol=udp dst-port=135 action=drop comment=”Deny PRC portmapper”
ip firewall filter add chain=udp protocol=udp dst-port=137-139 action=drop comment=”Deny NBT”
ip firewall filter add chain=udp protocol=udp dst-port=2049 action=drop comment=”Deny NFS”
ip firewall filter add chain=udp protocol=udp dst-port=3133 action=drop comment=”Deny BackOriffice”

Povolme pouze nezbytné icmp kódy pro icmp řetězec:
ip firewall filter add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment=»Zrušit neplatná připojení»
ip firewall filter add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment=”Prodleva navázaná spojení”
ip firewall filter add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment=»Povolit již vytvořená připojení»
ip firewall filter add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment=”Povolit zdrojové zhášení”
ip firewall filter add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment=”Allow echo request”
ip firewall filter add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="Povolit překročení času"
ip firewall filter add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment=”Allow parameter bad”
ip firewall filtr add chain=icmp action=drop comment=»zamítnout všechny ostatní typy»

Neměli byste si však myslet, že problémy s bezpečností má pouze Mikrotik; Zcela jiná věc je, že ne všechny zranitelnosti jsou veřejně dostupné a ne všechny společnosti rychle řeší problémy.

RouterOS 6.35.8 – Denial Of Service

Chyba zabezpečení v síťovém zásobníku MikroTik verze 6.38.5 vydaná 2017-03-09 by mohla umožnit neověřenému vzdálenému útočníkovi vyčerpat veškerý dostupný CPU prostřednictvím záplavy paketů TCP RST, což by postiženému routeru bránilo v přijímání nových připojení TCP.

Pokud se chcete naučit, jak nastavit MikroTik, doporučujeme vám projít. Podrobnější informace naleznete na konci této publikace.

Podstata zranitelnosti ROS 6.38.5 spočívá v možnosti vzdáleného zavádění paketů TCP RST do routeru (flood), což znamená využití zdrojů CPU až na 100 % a znemožňuje další příjem paketů, což způsobuje odmítnutí služby. (DoS).

> Monitor systémových prostředků, využitý procesor: 100 % využitý procesor na procesor: 100 % volná paměť: 8480 kB

Útok je veden na portu 8291, který používá Winbox. Samotný exploit je navíc veřejně dostupný, situaci ztěžuje fakt, že jeho implementace nevyžaduje autentizaci, tzn. dokonce znát přihlašovací jméno.

Způsoby ochrany

Jako dočasné opatření můžete změnit port Winbox z 8291 na nestandardní. To lze provést v části IP – Služby. Nevýhodou této metody je, že nijak nechrání před skenováním portů. Mimochodem, v Mikrotiku není v základních pravidlech Firewallu vůbec žádná ochrana proti skenování portů. Pokud narazíte na zkušeného uživatele, změna portu ho nijak nezastaví.

Nejúčinnější ochranou bude použití pravidel Firewallu, omezením přístupu k portu Winbox pouze pro IP administrátora. To lze provést pomocí pravidla:

IP firewall filtr přidat řetězec=vstup akce=přijmout protokol=tcp src-address=ADMIN_IP dst-port=8291 komentář=Allow_Winbox

Kde ADMIN_IP musí být nahrazeno vaší IP. Zároveň nezapomeňte všem ostatním IP zakázat přístup do Winboxu.

Pro uživatele, kteří doma používají routery Mikrotik, se není čeho obávat, protože základní pravidla firewallu zakazují přístup do Winboxu z WAN (internetu). Ale pro velké podnikové sítě nebo poskytovatele je problém mnohem závažnější, protože akce škůdce může vést k selhání sítě.

Dokud nebude zranitelnost opravena, nezbývá nic jiného, ​​než počkat na vydání aktualizace pro RouterOS.

Aktualizovaný stav k 4.4.2014

Diskuse o této zranitelnosti pokračuje na oficiálním fóru mikrotiků.

Uživatel un1x0d provedl test exploitu na RB751, hEX lite a CHR (8x Xeon), ve výsledku byla všechna tři zařízení zatížena na 100 %, což vedlo k selhání všech síťových služeb. Navíc, jak poznamenal un1x0d, zranitelnost nezávisí na portu a funguje s jinými porty.

Uživatel McSlash testoval zranitelnost na RB951, RB2011, hAp Lite a CCR1036 – exploit fungoval ve všech případech. Žádná pravidla brány firewall nepomáhají. Podpora Mikrotiku zatím zranitelnost nepřiznala. Vývoj nadále sledujeme.

Video kurz „Nastavení zařízení MikroTik“ (analogicky k MTCNA)

Učíte se pracovat s MikroTikem? Doporučuji video kurz "". Kurz pokrývá všechna témata z oficiálního kurikula MTCNA a spoustu dalšího materiálu. Kurz kombinuje teoretickou část a praxi - nastavení routeru dle technické specifikace. Konzultace zadání kurzu vede jeho autor Dmitrij Skoromnov. Vhodné pro první seznámení s vybavením MikroTik a pro systematizaci znalostí pro zkušené specialisty.

Hrubá síla je, když se někdo snaží, někdy dlouho a tvrdě, uhodnout naše heslo pro cokoli pomocí hrubé síly. V Linuxu se proti tomu úspěšně používá fail2ban. V Mikrotiku takové potěšení není, takže si budeme mít to potěšení vytvořit ochranu proti brutforce vlastníma rukama.

Úplný výpis příkazů, který jste pravděpodobně viděli na oficiální wiki (http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention):

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forceers" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment=" " zakázáno=ne
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment=" " zakázáno=ne
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=" " zakázáno=ne
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

A na internetu je mnoho míst, kde je tato sada dostupná. Jen trochu vysvětlím, co to dělá.

Myšlenka je tato: dáváme tři legitimní pokusy během krátké doby o připojení přes ssh (22/tcp, pokud máte jiný port, použijte svůj vlastní). Na čtvrtý pokus vám zakážeme přístup na 10 dní. máme právo. Takže krok za krokem.

1. Při navazování nového připojení (connection-state=new) s portem 22/tcp si zapamatujeme zdrojovou IP a na 1 minutu ji umístíme do seznamu „ssh_stage1“:

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

2. Pokud během této minuty tento „někdo“ (a pamatujeme si ho v „ssh_stage1“) bude chtít znovu navázat nové spojení s 22/tcp, přidáme ho do seznamu „ssh_stage2“ a také na 1 minutu:

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=" " zakázáno=ne

3. Pokud se během této minuty tento „někdo“ (nyní je ve „ssh_stage2“) znovu chce připojit k 22/tcp, přidáme ho do seznamu „ssh_stage3“ (ano, uhodli jste, opět na 1 minutu):

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment=" " zakázáno=ne

4. Pokud je vytrvalý, pak ho přidáme na 10 dní na naši „černou listinu“ „ssh_blacklist“, protože na tom nezáleží.

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment=" " zakázáno=ne

5. A tímto příkazem zakážeme všechny ze seznamu „ssh_blacklist“ bez stínu pochybností (všimněte si, že pravidlo je ve výchozím nastavení neaktivní):

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=yes

Ve skutečnosti, když jsem udělal takové schéma a zkusil se připojit z linuxové konzole na externí ip mého mikrotiku, již na druhý pokus (a ne na 3. nebo 4.) byla ip „útočníka“ zařazena do „ssh_blacklistu“ “ seznam. Nepoužívám ssh na Mikrotik, takže v mém případě to není fatální, ale pokud se skutečně připojíte na dálku, pak Zpočátku může být dobrý nápad nepovolovat pravidlo zákazu (zakázáno=ano). Nechte je dostat se na seznam, žádné otázky. V praxi odhadněte, kolikrát se potřebujete připojit za sebou, než se dostanete na seznam zákazů. Po kontrole aktivujte pravidlo zákazu podle seznamu "ssh_blacklist"! Omlouvám se, že příkazy jsou dlouhé, ale parser sežere zpětné lomítko, takže to skončí na jednom řádku.