Εδώ μιλάμε για Mikrotik RouterBoard

[jkarabas]

Λιγότερο ασφαλές από το πλήρες ναι.
Τρύπιο όχι.
Και σίγουρο ότι πιο ασφαλές από τις λύσεις που υποστηρίζει.

Καλημέρα πιστεύω ότι πάντα θα υπάρχουν κενά ασφαλείας (τρύπες) το θέμα είναι να υπάρχει άμεση ενημέρωση και να λαμβάνονται τα απαραίτητα μέτρα.
Αναθεώρησα και εγώ, κάποτε είχα ανοιχτή τη πόρτα του winbox από το firewall τώρα την έχω κλείσει και μπαίνω μόνο με vpn απ' έξω.

[dimangelid]

Καλημέρα πιστεύω ότι πάντα θα υπάρχουν κενά ασφαλείας (τρύπες) το θέμα είναι να υπάρχει άμεση ενημέρωση και να λαμβάνονται τα απαραίτητα μέτρα.
Αναθεώρησα και εγώ, κάποτε είχα ανοιχτή τη πόρτα του winbox από το firewall τώρα την έχω κλείσει και μπαίνω μόνο με vpn απ' έξω.

Εξ' αρχής οποιαδήποτε μέθοδος απομακρυσμένης πρόσβασης σε router πρέπει να είναι απενεργοποιημένη από την πλευρά του wan.

Αν είναι τόσο μεγάλη ανάγκη να υπάρχει πρόσβαση, πρέπει να γίνεται είτε μέσω vpn, είτε από συγκεκριμένες στατικές εξωτερικές ip.

Είχα στήσει πριν μήνες ένα mikrotik σε virtual machine και άφησα επίτηδες ανοιχτές τις πόρτες για ssh, http/https & winbox. Στα πρώτα λεπτά άρχισαν οι προσπάθειες για είσοδο με ssh και http...

[teodor_ch]

Το έχω ξαναπεί και είναι πολύ βολικό και ασφαλές κόλπο.

Ανοίγεται ότι πόρτες θέλετε βάζοντας src-address-list=SAFEIPs

Και βάζετε σε address list = SAFEIPs το/τα domain πχ. kinito.duckdns.org
όταν θέλετε να μπείτε, μέσω του πχ. duckdns.org βάζετε την ΙΡ που έχετε εκείνη τη στιγμή και μπαίνετε

απο κινητό υπάρχει και android app που ενημερώνει συνεχώς

[macro]

Ενας απο τη τσεχια ( και αλλος ενας νομιζω...), υποστηριζουν οτι κολλησαν απο το νεο vulnerability εχοντας safe ips στο src. address list.

Ο λογος που χρησιμοποιω hamachi για αυτη τη δουλεια ειναι καθαρα οτι εγω δε προκειται ποτε να ασχοληθω με αυτο το θεμα στο αιωνα τον απαντα. Xρειαζεσαι ανοιχτο pc αλλα οταν αναφορα εταιρειες, δεν εχεις θεμα εκει.

Τωρα αν ημουν σα το νικηφορο που τα εχει σε διαφορα σημεια, δε ξερω τι θα εκανα

[gfdimopo]

Καλημέρα παιδιά! ακόμα και με χρήση open vpn έχουν εντοπιστεί θέματα ασφαλείας?

[minas]

Καλημέρα παιδιά! ακόμα και με χρήση open vpn έχουν εντοπιστεί θέματα ασφαλείας?

Για το ίδιο το VPN του Mikrotik δεν υπάρχει γνωστή ευπάθεια αυτή τη στιγμή.
Από τη στιγμή που θα μπεις σε δίκτυο από το οποίο επιτρέπει συνδέσεις Winbox (με hamachi, με OpenVPN, κλπ) τότε η παραπάνω ευπάθεια (που έκλεισε με το τελευταίο update) δουλεύει.

[teodor_ch]

Ενας απο τη τσεχια ( και αλλος ενας νομιζω...), υποστηριζουν οτι κολλησαν απο το νεο vulnerability εχοντας safe ips στο src. address list.

Ο λογος που χρησιμοποιω hamachi για αυτη τη δουλεια ειναι καθαρα οτι εγω δε προκειται ποτε να ασχοληθω με αυτο το θεμα στο αιωνα τον απαντα. Xρειαζεσαι ανοιχτο pc αλλα οταν αναφορα εταιρειες, δεν εχεις θεμα εκει.

Τωρα αν ημουν σα το νικηφορο που τα εχει σε διαφορα σημεια, δε ξερω τι θα εκανα

Αν ισχύει τότε το ip filter/nat είναι τρύπιο.
Κάτι άλλο έχει γίνει. Λινκ?

[macro]

Κώδικας:

#12
Mon Apr 23, 2018 1:38 pm

As an alternative, possibly easier, use the "IP -> Services" menu to specify "Allowed From" addresses. Include your LAN, and the public IP that you will be accessing the device from.[/b]
Normis, it seems this not help.
On Czech forum is user which have winbox in IP services allowed only for his private range and is hacked :-(
https://ispforum.cz/viewtopic.php?p=228863#p228863

και καπου διαβασα για αλλον εναν ακομη.............

https://forum.mikrotik.com/viewtopic.php?f=21&t=133533


Δεν ειμαι και απολυτα σιγουρος βεβαια στο κατα ποσο ισχυουν ολα αυτα. Απλα τα αναφερω.

[teodor_ch]

Κώδικας:

#12
Mon Apr 23, 2018 1:38 pm

As an alternative, possibly easier, use the "IP -> Services" menu to specify "Allowed From" addresses. Include your LAN, and the public IP that you will be accessing the device from.[/b]
Normis, it seems this not help.
On Czech forum is user which have winbox in IP services allowed only for his private range and is hacked :-(
https://ispforum.cz/viewtopic.php?p=228863#p228863

και καπου διαβασα για αλλον εναν ακομη.............

https://forum.mikrotik.com/viewtopic.php?f=21&t=133533


Δεν ειμαι και απολυτα σιγουρος βεβαια στο κατα ποσο ισχυουν ολα αυτα. Απλα τα αναφερω.

Δεν το πολύδιάβασα. Αλλά ο mikrotik admin αμφισβητεί το περιστατικό.
Και λένε και αυτοί αυτό που λέω και εγώ.

What do do: 1) Firewall the Winbox port from the public interface, and from untrusted networks. It is best, if you only allow known IP addresses to connect to your router to any services, not just Winbox. We suggest this to become common practice. As an alternative, possibly easier, use the "IP -> Services" menu to specify "Allowed From" addresses. Include your LAN, and the public IP that you will be accessing the device from. 2) Change your passwords.

- - - Updated - - -

Only difference between firewall access restriction and ip service access restriction is that last one accepts connection, if source address does not match allowed list closes it. Firewall drops starting from the first syn packet.

όλα καλά και μέσω ip services allow from

[deniSun]

Το έχω ξαναπεί και είναι πολύ βολικό και ασφαλές κόλπο.

Ανοίγεται ότι πόρτες θέλετε βάζοντας src-address-list=SAFEIPs

Και βάζετε σε address list = SAFEIPs το/τα domain πχ. kinito.duckdns.org
όταν θέλετε να μπείτε, μέσω του πχ. duckdns.org βάζετε την ΙΡ που έχετε εκείνη τη στιγμή και μπαίνετε

απο κινητό υπάρχει και android app που ενημερώνει συνεχώς

Δεν το γνώριζα το duckdns.

[macro]

Εγω χρησιμοποιω το no-ip.org, αρκετα καλο και λειτουργικο με το μονο σπαστικο που εχει οτι στο free πρεπει να κανεις μια φορα το μηνα validation για να σου κρατουν το domain που εχεις φτιαξει.

[jkarabas]

Το έχω ξαναπεί και είναι πολύ βολικό και ασφαλές κόλπο.

Ανοίγεται ότι πόρτες θέλετε βάζοντας src-address-list=SAFEIPs

Και βάζετε σε address list = SAFEIPs το/τα domain πχ. kinito.duckdns.org
όταν θέλετε να μπείτε, μέσω του πχ. duckdns.org βάζετε την ΙΡ που έχετε εκείνη τη στιγμή και μπαίνετε

απο κινητό υπάρχει και android app που ενημερώνει συνεχώς

Εάν γίνεις λίγο ποιο συγκεκριμένος με τις ρυθμίσεις στο mikrotik προσπάθησα τότε να το υλοποιήσω αλλά δεν τα κατάφερα.
Το είχες αναφέρει παλαιότερα εδώ.

[teodor_ch]

Φτιάξε λογαριασμό στο duckdns.org και ενημέρωσε την ΙΡ του domain που θα φτιάξεις (πχ. jkarabas.duckdns.org) σε αυτήν που θέλεις να αφήσεις να περάσει.


Αυτά στο ΜΚ για τη πόρτα tcp 12345 απο jkarabas.duckdns.org

Κώδικας:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=12345 src-address-list=SAFEIPs action=accept
/ip firewall address-list add address=jkarabas.duckdns.org list=SAFEIPs

[jkarabas]

Φτιάξε λογαριασμό στο duckdns.org και ενημέρωσε την ΙΡ του domain που θα φτιάξεις (πχ. jkarabas.duckdns.org) σε αυτήν που θέλεις να αφήσεις να περάσει.


Αυτά στο ΜΚ για τη πόρτα tcp 12345 απο jkarabas.duckdns.org

Κώδικας:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=12345 src-address-list=SAFEIPs action=accept
/ip firewall address-list add address=jkarabas.duckdns.org list=SAFEIPs

Ευχαριστώ, θα το κοιτάξω αργότερα...μιλάμε για input έτσι και όχι forward.

[puntomania]

..άρα στην ουσία... φτιάχνουμε απο ddns σε κάθε απομακρυσμένη συσκευή που θέλουμε... και τα δηλώνουμε στο μικροτικ να τα αποδεχετε.

τέτοιο σενάριο... με την remote mac... δεν παίζει?