Взломали Mikrotik

Обсуждение ПО и его настройки
nevidimka
Сообщения: 33
Зарегистрирован: 15 дек 2017, 13:49

Добрый день. Наш коммутатор был атакован и успешно взломан. Но начну по порядку.
Есть офис (О1) и второй офис (О2) между ними VPN канал по протоколу SSTP. Mikrotik стоит в О2.
Подверглись взлому два раза. После первого взлома, обновили до последней прошивки, закрыли все сервисы кроме winbox, закрыли порт 53. Но коммутатор был опять взломан. Причем первый раз, когда взломали, пинг до коммутатора (по белому ip) шел успешно, теперь же он вообще недоступен. На учетный записи придумали сверхсложные пароли, но я так понимаю это нам не помогло.

Подскажите как обезопасить себя правильно? какое правило прописать, что бы только из О1 можно было подключаться по VPN к О2? Что нужно закрыть а что разрешить? пожалуйста...
ps: на микротике белый ip.
pss: знаю, инфы мало предоставил, постараюсь в ходе обсуждения подробнее все объяснить.


Аватара пользователя
romsandj
Сообщения: 143
Зарегистрирован: 17 янв 2017, 08:27
Откуда: Ростовская область

nevidimka писал(а): 25 окт 2018, 08:34 После первого взлома, обновили до последней прошивки,
Просто обновили? Нужно шить через netinstall. Наверняка зловред оставил для себя лазейки.
nevidimka писал(а): 25 окт 2018, 08:34 Причем первый раз, когда взломали, пинг до коммутатора (по белому ip) шел успешно, теперь же он вообще недоступен
видно не успел зловред закрыть коммутатор из вне
nevidimka писал(а): 25 окт 2018, 08:34 На учетный записи придумали сверхсложные пароли, но я так понимаю это нам не помогло
Если не шились netinstaller-ом, то оставленная лазейка сообщила зловредам об этих новых паролях
nevidimka писал(а): 25 окт 2018, 08:34 Подскажите как обезопасить себя правильно? какое правило прописать, что бы только из О1 можно было подключаться по VPN к О2? Что нужно закрыть а что разрешить?
Ну я бы сделал, например, так.
На МТ2 со статикой:
1) Настроить правила брутфорса на внешний инетрфейс для порта sstp
2) Настроить PortKnocking на открытие порта sstp
На МТ1 без статики:
1) Настроить проверку доступности конца туннеля, например, каждые 15 мин. Если пинга нет, то запускаем скрипт выполнения PortKnocking до МТ2. Соответственно, порт открывается, соединение устанавливается, туннель поднимается.


Я бы изменил мир, но Бог не даёт исходники...
Обладатель Mikrotik RB951G-2HnD, RB751U-2HnD, hAP Lite (RB941-2nD), SXT Lite 5 (RBSXT5nD)
nevidimka
Сообщения: 33
Зарегистрирован: 15 дек 2017, 13:49

Да, просто обновили. Вчера узнали, что второй раз был не взлом, а простое зависание оборудование. Все бы ничего, да вот спустя больше суток , зависание повторилось. Чем это может быть вызвано? Можно ла как то задать Микротику задачу, что бы он каждую ночь в 12:00 сам перезагружался?

нашел в интернете похожую проблему, там предлагают написать скрипт в шедулере и запустить whatchdog.
Сделал так, но не уверен , что правильно:
 Перезагрузка каждый день в 23:00
Изображение
UPD:в графе "INTERVAL" написал 24:00:00 ( я так понимаю это каждый день)
 настройка whatchdog
Изображение


Аватара пользователя
romsandj
Сообщения: 143
Зарегистрирован: 17 янв 2017, 08:27
Откуда: Ростовская область

ну ребут это понятно (хотя за 5 лет впервые слышу, чтоб МТ зависал)
А whatchdog зачем? Ну пинговать что то. И..? Что дальше? Например, нет пинга, что дальше?


Я бы изменил мир, но Бог не даёт исходники...
Обладатель Mikrotik RB951G-2HnD, RB751U-2HnD, hAP Lite (RB941-2nD), SXT Lite 5 (RBSXT5nD)
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Дальше в Стороже не нужно задавать никакого адреса. Но он должен быть включен. Тогда перезагрузка будет осуществляться как раз не при пропадании пинга какого-либо устройства, а при зависании РоутерОС. Еще можно попробовать пинговать сам Микротик, но это хуже. Почитайте подробнее про работу Watchdog.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Зависание Микротика - очень редкое явление. Может быть вызвано либо ошибками прошивки (в этом случае Netinstall должен помочь), либо очень большой нагрузкой на железо. Сливаем логи, читаем их и по ним решаем, что там случалось.
Перезагрузка ежедневно - по-моему увиливание от решения проблемы, чреватое большими осложнениями. Нужно диагностировать проблему и избавляться от нее.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
nevidimka
Сообщения: 33
Зарегистрирован: 15 дек 2017, 13:49

В общем роутер перезагружается сам , каждый день в 23:00. Пока что (тьфу тьфу тьфу) зависаний нет.
По поводу логов, там совершенно нечего смотреть. Инфа , что роутер включился, получил ip и что есть соединение по впн или вход в winbox. Во вкладе "Resources" вроде тоже все хорошо.
 
Изображение
Изображение


Аватара пользователя
Kato
Сообщения: 271
Зарегистрирован: 17 май 2016, 04:23
Откуда: Primorye

nevidimka писал(а): 29 окт 2018, 13:17 В общем роутер перезагружается сам , каждый день в 23:00.
с чего бы "нормально работающему" (с ваших слов!) так делать?


nevidimka
Сообщения: 33
Зарегистрирован: 15 дек 2017, 13:49

Kato писал(а): 29 окт 2018, 13:54
nevidimka писал(а): 29 окт 2018, 13:17 В общем роутер перезагружается сам , каждый день в 23:00.
с чего бы "нормально работающему" (с ваших слов!) так делать?
ну я имел ввиду задание в шедулере, которое прописал выше. :mi_ga_et:

ps: а если я в "Routerboard" нажму "upgrade", настройки сбросятся?


Аватара пользователя
SinnerLike
Сообщения: 70
Зарегистрирован: 03 окт 2016, 08:13
Откуда: Когалым

nevidimka писал(а): 29 окт 2018, 14:01 ps: а если я в "Routerboard" нажму "upgrade", настройки сбросятся?
Нет. Это обновит "bios" платы RouterBoard


Дома: hAP ac
На работе: Зоопарк.
Ответить