истерия вокруг безопсности RouterOS

Обсуждение ПО и его настройки
Ответить
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Буквално недавно мне куча людей скинули ссыки на статьи где было написано что мол лютые хакеры нашли уязвмости в РоутерОС и ломают наево и аправо.

Сйчас в рассылке от разработчиков пришло письмо

Hello,

It has come to our attention that a rogue botnet is currently scanning random public IP addresses to find open Winbox (8291) and WWW (80) ports, to exploit a vulnerability in the RouterOS www server that was patched more than a year ago (in RouterOS v6.38.5, march 2017).

Since all RouterOS devices offer free upgrades with just two clicks, we urge you to upgrade your devices with the "Check for updates" button, if you haven't done so within the last year.

More information can be found here: https://forum.mikrotik.com/viewtopic.php?f=21&t=132499

Best regards,
MikroTik


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Мне тоже пришло. Но так как я как правило www сервисом не пользуюсь вообще, в винбоксом только внутри локалки, то как бы и не стал дёргаться. Тем более я большую часть железок плавно перетащил на последние версии ПО. Исключение составляют совсем уж удаленные и неудобные, которые просто опасаюсь обновлять (у меня несколько железок при обнове с 6.37 сразу на 6.40 свалились в циклический ребут, пришлось их Netinstall'ом прошивать). Но на таких удаленках кроме ssh на нестандартном порту и нет ничего. Поэтому не переживаю абсолютно.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Так речь вроде как идет про открытые наружу порты 80 и 8291. А зачем вообще их наружу открывать то ? Сделать на ТИКе VPN-сервер какой-кого устраивает по разным параметрам (скорости, стабильности, секретности шифрования и т д..., т.е. (pptp, l2tp, open), а уже после подключения клиента - заходите пожалуйста на Ваш www или winbox по адресу VPN-сервера или его же локальному адресу (+ маршрутиризацию настроить если нужно еще куда заходить). Так ведь ?

Зачем вообще важные порты наружу то пробрасывать ? Ведь настройка VPN, особенно для тех кто делает это постоянно - дело нескольких минут.

Или я не правильно понимаю ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Sertik писал(а): 31 мар 2018, 12:23 Зачем вообще важные порты наружу то пробрасывать ? Ведь настройка VPN, особенно для тех кто делает это постоянно - дело нескольких минут.
Или я не правильно понимаю ?
Не то что неправильно, а скорее не в той плоскости, так скажем.
Всё что Вы выше написали, всё верно, и ВПН можно кроме как использования для
доступа в локальную сеть и использовать для подключения и к самому роутеру,
но всё же это больше исключение, не всегда есть нужда или даже возможность
чтобы поднимать ВПН, и не всегда у меня есть возможность настраивать
на компьютере ВПН-клиент чтобы подключиться, поэтому прямой доступ
к роутеру был есть и нужен. Главное правильно его и открыть и обезопасить.

Бегал по Интернету, тоже искал по поводу этой истерии, кроме портов 80 и 8291, рекомендуют
закрывать порты 81,82,83 и 8081,8082,8083,8089,8181,8880 (это не официальные рекомендации)

И в любом случаи желательно все микротики обновить...у кого они не обновлены.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Sertik писал(а): 31 мар 2018, 12:23 Или я не правильно понимаю ?
Если роутер домашний и один - то правильно понимаете.
А если маршрутизаторов пару сотен, территорий, на которых они стоят три-четыре десятка, а вы их "сопровождаете" не в качестве основной работы, а как приработок? Когда локалки недоступны по-определению, админить можно только снаружи. И тут с одной стороны есть удобство пользования Winbox'ом, с другой - безопасность подшефной сети. Конечно, ценящий свою репутацию админ не станет излишне рисковать безопасностью клиентской сети. Хотя до паранойи доходить не стоит. Как правило, можно по ssh временно включить вход на 8291. Главное, не забыть потом отключить его.
В целом просто немного остерегаемся, и этого достаточно.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Для Podarok66:

"... если доступа в локалки нет по определению ..."

Все же не очень понятно, если Вы "удаленный" админ "сопровождающий в качестве не основной работы, а дополнительного заработка" много роутеров, стоящих в разных местах ... Ну хорошо, допустим. Но Ваш работодатель (-ели), то есть клиенты, фирмы-клиенты, должны же Вам предоставить доступ к своему оборудованию, так ведь ? Первичный доступ дадут, а дальше уже Вы рулите ...

Пойдем дальше, если у Вы поддерживаете клиента и все маршрутизаторы, входящие в его сеть, то ведь Ваша задача, настроить сети так, чтобы у Вас самого, как админа, был ко всему оборудованию нормальный доступ. Так почему не сделать это все через VPN ? Например, доступ к одному, или нескольким главным так сказать узлам (для резерва на всякий случай), через VPN, а дальше уже через маршруты ? Или это долго и муторно, а главное неохота или не хватает времени физически ?

Тут наверное важно, кто есть клиенты. Понятно, что работу в наше время выбирать не приходится. Но, как говорится лучше с умным потерять, чем с дураком найти ... Если заказчики люди не дурные и с головой, если Вы хороший админ, так за вас драться должны ... Другое дело, что большинство заказчиков даже не подозревают, сколько должен знать и знает хороший админ и сколько по хорошему ему должны платить ...

Всегда уважал людей знающих и желаю Вам хорошей работы, уважения коллег и достойной оплаты Вашего труда !


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Вы отталкиваетесь от точки зрения идеала ))) Увы, жизнь диктует свои правила. И дураками( клиентами) разбрасываться становится расточительно. И драться никто за админа с улицы не станет. Поэтому что есть, с тем и живем.
Домашние роутеры у меня как раз все соединены в сеть OVPN, доступ ко всем.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

у себя пингкнокер юзаю ибо ВПН неохото да и не всегда удобно


Есть интересная задача и бюджет? http://mikrotik.site
Ответить