Добрый день. Наш коммутатор был атакован и успешно взломан. Но начну по порядку.
Есть офис (О1) и второй офис (О2) между ними VPN канал по протоколу SSTP. Mikrotik стоит в О2.
Подверглись взлому два раза. После первого взлома, обновили до последней прошивки, закрыли все сервисы кроме winbox, закрыли порт 53. Но коммутатор был опять взломан. Причем первый раз, когда взломали, пинг до коммутатора (по белому ip) шел успешно, теперь же он вообще недоступен. На учетный записи придумали сверхсложные пароли, но я так понимаю это нам не помогло.
Подскажите как обезопасить себя правильно? какое правило прописать, что бы только из О1 можно было подключаться по VPN к О2? Что нужно закрыть а что разрешить? пожалуйста...
ps: на микротике белый ip.
pss: знаю, инфы мало предоставил, постараюсь в ходе обсуждения подробнее все объяснить.
Взломали Mikrotik
- romsandj
- Сообщения: 143
- Зарегистрирован: 17 янв 2017, 08:27
- Откуда: Ростовская область
Просто обновили? Нужно шить через netinstall. Наверняка зловред оставил для себя лазейки.
видно не успел зловред закрыть коммутатор из вне
Если не шились netinstaller-ом, то оставленная лазейка сообщила зловредам об этих новых паролях
Ну я бы сделал, например, так.
На МТ2 со статикой:
1) Настроить правила брутфорса на внешний инетрфейс для порта sstp
2) Настроить PortKnocking на открытие порта sstp
На МТ1 без статики:
1) Настроить проверку доступности конца туннеля, например, каждые 15 мин. Если пинга нет, то запускаем скрипт выполнения PortKnocking до МТ2. Соответственно, порт открывается, соединение устанавливается, туннель поднимается.
Я бы изменил мир, но Бог не даёт исходники...
Обладатель Mikrotik RB951G-2HnD, RB751U-2HnD, hAP Lite (RB941-2nD), SXT Lite 5 (RBSXT5nD)
Обладатель Mikrotik RB951G-2HnD, RB751U-2HnD, hAP Lite (RB941-2nD), SXT Lite 5 (RBSXT5nD)
-
- Сообщения: 33
- Зарегистрирован: 15 дек 2017, 13:49
Да, просто обновили. Вчера узнали, что второй раз был не взлом, а простое зависание оборудование. Все бы ничего, да вот спустя больше суток , зависание повторилось. Чем это может быть вызвано? Можно ла как то задать Микротику задачу, что бы он каждую ночь в 12:00 сам перезагружался?
нашел в интернете похожую проблему, там предлагают написать скрипт в шедулере и запустить whatchdog.
Сделал так, но не уверен , что правильно: UPD:в графе "INTERVAL" написал 24:00:00 ( я так понимаю это каждый день)
нашел в интернете похожую проблему, там предлагают написать скрипт в шедулере и запустить whatchdog.
Сделал так, но не уверен , что правильно: UPD:в графе "INTERVAL" написал 24:00:00 ( я так понимаю это каждый день)
- romsandj
- Сообщения: 143
- Зарегистрирован: 17 янв 2017, 08:27
- Откуда: Ростовская область
ну ребут это понятно (хотя за 5 лет впервые слышу, чтоб МТ зависал)
А whatchdog зачем? Ну пинговать что то. И..? Что дальше? Например, нет пинга, что дальше?
А whatchdog зачем? Ну пинговать что то. И..? Что дальше? Например, нет пинга, что дальше?
Я бы изменил мир, но Бог не даёт исходники...
Обладатель Mikrotik RB951G-2HnD, RB751U-2HnD, hAP Lite (RB941-2nD), SXT Lite 5 (RBSXT5nD)
Обладатель Mikrotik RB951G-2HnD, RB751U-2HnD, hAP Lite (RB941-2nD), SXT Lite 5 (RBSXT5nD)
-
- Сообщения: 1598
- Зарегистрирован: 15 сен 2017, 09:03
Дальше в Стороже не нужно задавать никакого адреса. Но он должен быть включен. Тогда перезагрузка будет осуществляться как раз не при пропадании пинга какого-либо устройства, а при зависании РоутерОС. Еще можно попробовать пинговать сам Микротик, но это хуже. Почитайте подробнее про работу Watchdog.
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
- podarok66
- Модератор
- Сообщения: 4355
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Зависание Микротика - очень редкое явление. Может быть вызвано либо ошибками прошивки (в этом случае Netinstall должен помочь), либо очень большой нагрузкой на железо. Сливаем логи, читаем их и по ним решаем, что там случалось.
Перезагрузка ежедневно - по-моему увиливание от решения проблемы, чреватое большими осложнениями. Нужно диагностировать проблему и избавляться от нее.
Перезагрузка ежедневно - по-моему увиливание от решения проблемы, чреватое большими осложнениями. Нужно диагностировать проблему и избавляться от нее.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 33
- Зарегистрирован: 15 дек 2017, 13:49
- Kato
- Сообщения: 271
- Зарегистрирован: 17 май 2016, 04:23
- Откуда: Primorye
-
- Сообщения: 33
- Зарегистрирован: 15 дек 2017, 13:49
ну я имел ввиду задание в шедулере, которое прописал выше.
ps: а если я в "Routerboard" нажму "upgrade", настройки сбросятся?
- SinnerLike
- Сообщения: 70
- Зарегистрирован: 03 окт 2016, 08:13
- Откуда: Когалым