podarok66 писал(а): ↑17 авг 2020, 21:25
Прям прочитал всю ветку с несказанным удовольствием. Как детектив какой. Подведём итоги.
1. Роутер недоступен через Winbox, причём вероятнее всего дело не в смене пароля.
2. Роутер очень далеко и попасть к нему возможности нет.
3. SSH по какой-то неочевидной причине не используется, несмотря на то, что это наиболее гибкий и малоёмкий в плане ресурсов вариант.
4. Цепочки форвард работают, как и раньше.
5. Использовались пакеты ветки stable.
Выводы и рекомендации:
1. Long term вместо stable - даже не обсуждается.
2. SSH по ключам на нестандартном порту с правилами защиты от брутфорса (у Vlad-2 есть великолепный вариант здесь на форуме, брать и применять)
3. В порядке бреда - можно попробовать вход по API, обычно на этот вариант внимания не обращают, но помнится одному из юзеров помогло.
4. Кстати, вход через Winbox при перенастройке как минимум перенести на другой порт, если он совершенно необходим.
5. Кстати, можно все подключения к роутеру организовывать через туннели с авторизацией по сертификатам и ключам. Думаю немного сложнее взломать.
6. Версию взлома не отбрасываю, но и на веру принять не могу, в той же статье с хабра версия программного обеспечения 6.45.6. С тех пор прошло довольно много времени и такие вещи давно закрыты.
7. Версию блокировки из-за ошибки в правилах считаю более вероятной, тем паче описанные обрывы, а после ночи пропажа соединения похожи на вариант, когда при запрете адреса, работа на него какое-то время продолжается через established и related соединения.
8. Наиболее приемлемым видится вариант, при котором ТС готовит простой вариант конфигурации в текстовом формате *.rsc . На объекте ищется человек, пусть даже эникейщик, с минимальной технической грамотностью. Ему отсылается файл конфигурации, инструкция по сбросу и загрузке высланной конфигурации. Как только конфигурация применится, подключается по удалёнке спец и срочно донастраивает железо до серьёзного уровня, в том числе и безопасности.
Да это не быстро, да нужен человек на точке, но иначе альтернативой будет ожидание самолёта и надежды, что всё это время железка проработает без сбоев. В любом из вариантов есть свои недостатки, но мир вообще несовершенен
Огромное спасибо за дельные советы.
Однозначно как окажусь рядом с проблемным микротиком, так после возврата его к "нормальной жизни" выполню:
1) сменю прошивку на Long term вместо stable
2) включу SSH по ключам на нестандартном порту с правилами защиты от брутфорса (он был отключен так как им не пользовался, просто послушался советов отключить всё чем не пользуюсь)
Посмотрел экспорт - там: set ssh disabled=yes
Безусловно, было крайне легкомысленно не оставить себе шансов для доступа к Микротику в случае падения доступа посредством Winbox`а.
Настройку SSH и защиту планирую по советам из заметки "ЗАЩИТА MIKROTIK"
https://wiki.merionet.ru/seti/4/mikroti ... nastrojke/
3) про вариант с API - мне это сложновато, т.к. Питон не освоил пока что, а главное, это у меня запрещено всё чем не пользуюсь, включая:
set api disabled=yes
set api-ssl disabled=yes
4) Winbox перенести на другой порт не могу, т.к. перестает при этом корректно работать The DUDE сервер - уже проверял. Это огромный минус, бился долго, в результате вернул стандартный порт и настроил занесение в черные списки всех любопытных кроме тех, кто в белом списке.
5) Уже реализованы подключения к роутеру организовывать через туннели, нужно будет выполнить советы: "ВСЕ... с авторизацией по сертификатам и ключам", пока что соединения между микротиками без использования сертификатов настроены
6) очень хочется надеяться, что это не взлом был... реально обломно потратить огромные силы на то, чтобы разобраться, настроить как я думал надежно от хакеров, и тем не менее попасть в просак
7) Версию блокировки из-за ошибки в правилах не могу исключить, т.к. я в последние сутки постоянно пытался разобраться почему не удается корректно соединиться удаленному устройству из LAN с ftp-сервером поднятом на микротике. Разбирался до ночи, теоретически мог что-то нажать, а поскольку все работало и не отключалось в силу разрешающих правил файрвола на установленные соединения, то я могу не осознавать своей ошибки.
8) Идея найти эникейщика мною обдумывалась... но оборудование специально установлено в безлюдном месте.
Все ещё размышляю стоит ли просить провайдера отключить минут на 15 сигнал в кабеле или нет? Приведёт это к перезагрузке роутера или нет в ситуации, когда у меня прописано так:
/system watchdog
set ping-start-after-boot=1d ping-timeout=10m watch-address=8.8.8.8 \
watchdog-timer=no
У меня такое ощущение, что у меня вотчдог отключен. Описание настройки сторожевого таймера можно посмотреть, например, по ссылке
https://www.technotrade.com.ua/Articles ... tchdog.php
Уверен, что эта история научит меня, а может еще и кого-нибудь из читателей ветки к доп.мерам, которые позволят сохранить удаленный доступ к оборудованию в случае непредвиденной ситуации.
