MBUM #2 MikroTik Beer User Meeting

Podobne dokumenty
Wykorzystanie połączeń VPN do zarządzania MikroTik RouterOS

MBUM #2. Zarządzanie kopiami konfiguracji RouterOS. Jacek Rokicki

Przykład wykorzystania programu Mini Mag do zarządzania kasami ELZAB z wykorzystaniem sieci rozległej WAN

Linksys/Cisco SPA2102, SPA3102 Instrukcja Konfiguracji

IPSEC z Mikrotik zero to hero Piotr Wasyk

Telefon AT 530 szybki start.

Niniejsza instrukcja przedstawia przykład konfiguracji koncentratora SSL VPN w trybie Network Extension.

NIP: REGON INSTRUKCJA KONFIGURACJI WIFI NA PRZYKŁADZIE ROUTERA TP-LINK TL-WR740N.

Telefon IP 620 szybki start.

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek poniżej:

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek

Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX

Router programowy z firewallem oparty o iptables

Bramka IP 2R+L szybki start.

Konfiguracja własnego routera LAN/WLAN

INSTRUKCJA OBSŁUGI DLA SIECI

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

Aneks do instrukcji obsługi routera Asmax Br-804v II

GPON Huawei HG8245/HG8245T/HG8245H

Ćwiczenie 5a Sieć komputerowa z wykorzystaniem rutera.

Konfiguracja połączeń sieciowych

GPON Huawei HG8245/HG8245T/HG8245H/HG8546M/ HG8245Q/HS8546V/HS8145V

4. Podstawowa konfiguracja

Podsumowanie. Uwaga. Przygotowanie

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

Połączenie VPN aplikacji SSL. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Profile aplikacji SSL 1.3. Konto SSL 1.4. Grupa użytkowników

Kasowanie domyślnej konfiguracji Konfiguracja wstępna. Nadanie adresu IP i bramy domyślnej Konfiguracja nowego hotspota...

Ćwiczenie 5b Sieć komputerowa z wykorzystaniem rutera.

TP-LINK 8960 Quick Install

URZĄDZENIA KOMUNIKACJI INTERNETOWEJ PODŁĄCZENIE I KONFIGURACJA

Połączenie VPN SSL Web Proxy. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Profile SSL Web Proxy 1.3. Konto SSL 1.4. Grupa użytkowników

PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK)

MINI ROUTER DO TV/PS

Linksys/Cisco RT31P2, WRT54GP2. Instrukcja Konfiguracji

1.1 Podłączenie Montaż Biurko Montaż naścienny... 4

Przykład konfiguracji koncentratora SSL VPN w trybie Reverse Proxy (dotyczy serii urządzeń ZyWALL USG)

Firewall bez adresu IP

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

Projektowanie bezpieczeństwa sieci i serwerów

Instalacja. Podłączenie urządzenia. Wyłącz wszystkie urządzenia sieciowe (komputer, modem i router).

MikroTik jako filtr rodzinny (stron erotycznych)

Instrukcja konfiguracji i uruchamiania połączenia VPN z systemami SAP

Opis instalacji i konfiguracji programu HW Virtual Serial Port z kasą PS3000Net

Przełączanie i Trasowanie w Sieciach Komputerowych

Bezpieczeństwo w M875

Ćwiczenie 7 Sieć bezprzewodowa z wykorzystaniem rutera.

Warsztaty ewon. efive

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Instalacja i uruchomienie usługi telefonii internetowej HaloNet dla FRITZ!Box Fon WLAN 7170

Ćwiczenie 6 Przełącznik zarządzalny T2500G-10TS (TL-SG3210).

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

Ustawienia sieci Parametry sieci ustawiamy wybierając MENU->INSTALACJA->USTAWIENIA SIECI IP.

DWUPASMOWY, BEZPRZEWODOWY PUNKT DOSTĘPU / ROUTER 450 MBIT

Proces dostępu do danych

Uwaga: NIE korzystaj z portów USB oraz PWR jednocześnie. Może to trwale uszkodzić urządzenie ZyWALL.

Przewodnik technologii ActivCard

Zdobywanie fortecy bez wyważania drzwi.

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Szybki. Internet. dla Firm. podręcznik użytkownika Modem Pirelli DRG A125G

Bezpieczeństwo Systemów Telekomunikacyjnych 2014 / 2015 Bezpieczeństwo aplikacji sieciowych, Ataki (D)DoS Prowadzący: Jarosław Białas

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

FAQ: /PL Data: 16/11/2007 Programowanie przez Internet: Konfiguracja modułów SCALANCE S 612 V2 do komunikacji z komputerem przez VPN

podstawowa obsługa panelu administracyjnego

CENTRUM OPROGRAMOWANIA

Bezpieczeństwo systemów komputerowych. Laboratorium 1

Praca z programami SAS poza lokalną siecią komputerową UZ. Zestawienie tunelu SSH oraz konfiguracja serwera proxy w przeglądarce WWW

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Konwerter RS-485->Ethernet [TCP/IP] CN-ETH-485 INSTRUKCJA [konfiguracja urządzenia do współpracy z programem MeternetPRO]

Urządzenie InelNET-01 służy do sterowania radiowym systemem SSN-04R firmy INEL poprzez internet.

Metody zabezpieczania transmisji w sieci Ethernet

Konfiguracja mostu radiowego w urządzeniu UBIQUITI NANOSTATION M5

ZADANIE.09 Syslog, SNMP (Syslog, SNMP) 1,5h

Warsztaty ewon. zdalny dostęp do sterowników

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

1. Montaż i podłączenie do sieci Konfiguracja przez stronę 8

Instrukcja podłączenia bramki IP 1R+L oraz IP 2R+L w trybie serwisowym za pomocą usługi telnet.

INSTRUKCJA OBSŁUGI. ROUTER SOHO; 4+1xWAN / 8+1xWAN TP-LINK

podstawowa obsługa panelu administracyjnego

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

PBS. Wykład Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy

PODŁĄCZENIE I KONFIGURACJA BRAMKI VoIP LINKSYS PAP2T

INSTRUKCJA OBSŁUGI ROUTERA 4 w 1 - ΩMEGA O700 - WIRELESS N 300M ROUTER.

SZYBKI START MP01. Wersja: V1.0 PL

BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI

Dokładniejsze informacje można znaleźć w Podręczniku użytkownika.

K2 XVR-04 K2 XVR-08 K2 XVR-16 K2 XVR-24

Rejestracja użytkownika Bentley Często zadawane pytania techniczne

Przypisywanie adresów IP do MAC-adresów

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Pirelli 226 DRG Instalacja urządzenia RJ 11 Pierwsze Logowanie

Przykłady wykorzystania polecenia netsh

- w związku ze stwierdzoną usterką właściciel firmy wezwał serwis komputerowy w celu jej zdiagnozowania i usunięcia,

Studium przypadku Case Study CCNA2-ROUTING. Warianty projektów

Konfiguracja połączenia VPN do sieci Akademii Morskiej

Transkrypt:

MikroTik Beer User Meeting Zabezpieczenie routerów MikroTik. Omówienie ostatnio ujawnionych luk. Michał Filipek

Michał Filipek Ukończył Politechnikę Warszawską na kierunku Informatyka. Na przestrzeni ostatnich 12 lat pracował dla firm telekomunikacyjnych na stanowiskach: VoIP Engineer, Specjalista ds. Sieci i Systemów Telekomunikacyjnych, Specjalista ds. Utrzymania Sieci, Network Architect. Trener i współzałożyciel największego centrum szkoleniowego MikroTik w tej części Europy: Mikrotik Warsaw Training Center. Prowadzi szkolenia z zakresu działania sieci IP, telefonii VoIP oraz ISDN, ponadto świadczy usługi doradcze dla firm telekomunikacyjnych, technologicznych i innych. michal@mwtc.pl

Agenda Metody dostępu do urządzenia Zabezpieczenie dostępu do routera Konta użytkowników Dodatkowe mechanizmy zwiększające bezpieczeństwo Omówienie podatności WinBox opublikowanej w kwietniu 2018 Czy można było się uchronić przed atakiem? W jaki sposób sprawdzić, czy zostałem ofiarą ataku? Demonstracja wykorzystania podatności

Metody dostępu do urządzenia Dodatkowo możemy rozważyć zmianę portów na jakich pracują usługi: SSH zamiast 22 na przykład 3089 WinBox zamiast 8291 na przykład 1043 Ewentualnie wskazanie z jakich adresów IP usługa będzie dostępna (Available From)

Metody dostępu do urządzenia oraz inne usługi Należy upewnić się, że poniższe usługi są wyłączone: /tool bandwidth-server set enabled=no /ip dns set allow-remote-requests=no /ip socks set enabled=no /ip upnp set enable=no /ip cloud set ddns-enable=no update-time=no /lcd set enabled=no /ip proxy set enabled=no

Dostęp do urządzenia INTERNET WAN LAN_1 bridge LAN_1 Sieć wewnętrzna #1 LAN_2 Sieć wewnętrzna #2 MGMT Zarządzanie

Dostęp z sieci bezpośrednio podłączonych do routera (MAC-ADDRESS) Administracyjne wyłączenie wszystkich interface ów urządzenia jakie nie są obecnie wykorzystywane /interface set 2,3 disabled=yes Czy wszystkie sieci wewnętrzne są sieciami zaufanymi? Można wyznaczyć jeden port na urządzeniu służący jedynie do zarządzania urządzeniem. Protokół MNDP (MikroTik Neighbor Discovery Protocol) pozwala na wykrywanie innych urządzeń znajdujących się w tej samej domenie rozgłoszeniowej co nasz router. Dodatkowo router, który ma uruchomione MNDP (uruchamiany ten protokół per interface, a nie całe urządzenie) sam staje się wykrywalny. Sugerowane jest wyłączenie działania protokołu na wszystkich interface ach za wyjątkiem interface u do zarządzania oraz zaufanych sieci (/ip neighbor). Dostęp do urządzenia z wykorzystaniem jego adresu MAC (nie potrzebujemy posiadać adresu IP, dostęp możliwy jedynie w ramach tej samej domeny rozgłoszeniowej, dalej konieczne jest podanie prawidłowego loginu i hasła). W tym wypadku postępujemy podobnie jak w przypadku protokołu MNDP, czyli wyłączamy dostęp na wszystkich interface ach poza zaufanymi (/tool mac-server).

Dostęp z zewnątrz do routera (internet) Szczegółowo zaplanować w jaki sposób będzie można z zewnątrz podłączyć się do routera: Z konkretnych adresów IP Za pomocą VPN Port knocking (nie mamy stałego adresu IP oraz brak VPN na urządzeniu, z którego będziemy się łączyć do routera)

Dostęp z zewnątrz do routera (internet) Z konkretnych adresów IP Próba logowania WAN /ip firewall filter /ip services /users LAN_1 bridge LAN_1 LAN_2 /ip firewall filter add chain=input comment="accept Established, Related" connection-state=established,related action=accept /ip firewall filter add chain=input src-address=45.32.154.212 action=accept /ip firewall filter add chain=input src-address=45.32.154.100 action=accept /ip firewall filter add chain=input action=drop MGMT

Zmienny adres IP Dostęp z zewnątrz do routera (internet) VPN INTERNET WAN 172.16.10.10 Adresacja Punkt-Punkt 172.16.10.1 SSTP LAN_1 bridge /ip firewall filter add chain=input comment="accept Established, Related" connectionstate=established,related action=accept /ip firewall filter add chain=input comment="sstp VPN" protocol=tcp dst-port=443 action=accept /ip firewall filter add chain=input src-address=172.16.10.10/32 action=accept /ip firewall filter add chain=input action=drop LAN_1 LAN_2 MGMT

Zmienny adres IP Dostęp z zewnątrz do routera (internet) Port Knocking INTERNET WAN Próba połaczenia na port 2133/tcp LAN_1 Próba połaczenia na port 7117/tcp Logowanie Winbox bridge LAN_1 /ip firewall filter add chain=input comment="accept Established, Related" connection-state=established,related action=accept /ip firewall filter add chain=input protocol=tcp dst-port=2133 action=add-src-toaddress-list address-list=port-knocking-stage1 address-list-timeout=00:01:00 /ip firewall filter add chain=input protocol=tcp dst-port=7117 src-address-list=portknocking-stage1 action=add-src-to-address-list address-list=port-knocking-stage2 address-list-timeout=00:01:00 /ip firewall filter add chain=input src-address-list=port-knocking-stage2 protocol=tcp dst-port=8291 action=accept /ip firewall filter add chain=input action=drop LAN_2 MGMT Stosując port knocking powinniśmy zabezpieczyć się przed Skanowaniem Portów!!!

Konta użytkowników Utworzenie nowego użytkownika typu administrator (group: full) Wyłączenie konta admin Stosowanie odpowiednio złożonych haseł Wykorzystanie zewnętrznego systemu do autentykacji/autoryzacji użytkowników (Radius)

Dodatkowe mechanizmy zwiększające bezpieczeństwo Reverse Path Filtering (ochrona przed spoofing iem wysyłanym z naszych sieci) /ip settings set rp-filter=strict Ustawienie silnej kryptografii dla połączeń ssh /ip ssh set strong-crypto=yes Korzystanie z zewnętrznego systemu kolekcji i analizy logów (SYSLOG,GRAYLOG można połączyć logi syslog z funkcjonalnością GeoIP i moniorować czy na nasze urządzenie nie loguje się ktoś z podejrzanego adresu) Regularne wykonywanie kopii konfiguracji (można użyć skryptu) urządzenia i weryfikacja, gdy nastąpi modyfikacja

Podatności na ataki

Podatność na atak - WinBox Dotyczy RouterOS w wersji od 6.29 do 6.42.1(current), 6.40.8(bugfix) Ujawniona w okolicach 20.04.2018 Szybka reakcja producenta i wypuszczenie poprawki Umożliwia pobranie bazy danych użytkowników i haseł Umożliwia zapisanie plików na naszym urządzeniu w dowolnym miejscu Ze względu na bardzo słabą metodę przechowywania hasła (metoda XoR), odczytanie hasła z pliku jest bardzo łatwe

Czy można było uniknąć bycia zaatakowanym? Tak, jeżeli dostęp z zewnątrz był zabezpieczony przez firewall J

W jaki sposób sprawdzić, czy nie zostałem zaatakowany? Udane próby logowania z adresów zagranicznych o dziwnych porach dnia i nocy (koniecznie logowane na zewnętrznego syslog a, ponieważ na zaatakowanym MikroTik u logi zostaną prawdopodobnie skasowane) jest to najbardziej wiarygodna metoda weryfikacji Zmieniona konfiguracja /system/logging urządzenia /system logging action set 0 memory-lines=1 Zmieniona konfiguracja urządzenia, a w szczególności: Uruchomiona usługi telnet Włączone socks Włączone web-proxy Włączone DNS (allow-remote-request) Powyższe metody nie odpowiedzą w 100%, czy doszło do ataku, są jedynie zbiorem najczęściej spotkanych objawów!!!

Dziękuję za uwagę J https://mbum.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres