Jednoduchý Winbox hardening

Fórum s jednoduchými tipy na zlepšení každodenní řehole. Převážně pro Linux, macOS a RouterOS.
pgb
Příspěvky: 430
Registrován: 2 years ago

Re: Jednoduchý Winbox hardening

Příspěvekod pgb » 2 months ago

JirkaK píše:Diky za info.
Pokud jsem to tedy pochopil spravne tak youbikey pouzijes jen na zaslani hesla ssh klientovi. Tzn, ze pouzivas statickeho hesla (nikoliv sifrovaneho jednorazoveho).
Co brani tvym zemastnancum, kterym YubiKey davas kvulii paranoe (aby neznali hesla), to heslo precist libovolnym keylogerem?
JK



Z youbikey privátní klíč nedostaneš, pouze veřejný. Co si představuješ pod pojmem statická hesla, jako jeden účet (nechápu otázku)?. Heslo do rb je jiná věc, ale pokud nemá youbikey, tak se k tomu nedostane. Na účty máš pak třeba radius.
0 x

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1572
Registrován: 13 years ago
antispam: Ano
Kontaktovat uživatele:

Příspěvekod zdenek.svarc » 2 months ago

pgb píše:Nedalo mi to a zkusil jsem to, nejspíš tam budete mít neco ve firewallu ...

Pozitivní. Vyřešeno. Terminace SSH tunelu se řídí adresou za parametrem "-L", nikoliv vzdálenou adresou SSH seance, tzn:

Kód: Vybrat vše

ssh -l admin -p 2222 IP_OR_DOMAIN_ADDRESS -L 8291:IP_OR_DOMAIN_ADDRESS_OF_TERM:8291

Takže tunel:

Kód: Vybrat vše

ssh -l admin -p 2222 IP_OR_DOMAIN_ADDRESS -L 8291:127.0.0.1:8291
skutečně terminuje na loopbacku. Díky za spolupráci :v:
0 x

ludvik
Příspěvky: 3860
Registrován: 7 years ago

Příspěvekod ludvik » 2 months ago

Kde je terminováno SSH je mi tak nějak fuk ... konexe "uvnitř" je z 127.0.0.1 na 127.0.0.1 (v případě použití dle usera PGB, samozřejmě).
winbox_localhost.png
winbox_localhost.png (4.76 KiB) Zobrazeno 2294 x

zdenek.svarc píše:
pgb píše:
zdenek.svarc píše:K variantě s SSH tunelem doplním, že Winbox služba musí být omezena na IP adresu toho síťového rozhraní, na který budeme vytvářet SSH tunel (ip service set winbox address=xxx.xxx.xxx.xxx), protože právě tuto IP adresu propaguje SSH tunel vůči Winbox službě jako zdrojovou.


Špatně, dej si tam loopback 127.0.0.1 ... funguje vždy


Negativní. Skutečně 127.0.0.1 nefunguje (verze 6.42.6) a skutečně se SSH tunel terminuje na IP adrese vnějšího rozhraní. Samozřejmě se to může jinak chovat na zařízení v bridge nebo obecně v jiné konfiguraci.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

ludvik
Příspěvky: 3860
Registrován: 7 years ago

Příspěvekod ludvik » 2 months ago

YubiKey (prosím ... nazývej správně. Trpím úplně stejně jako u "nstream") umožňuje právě i statické heslo. Nacpe ho klávesnicí po stisku té plošky. To je dobré pro služby co nic jiného neumí - půl hesla napíšu já, půlku Yubikey.
pgb píše:Z youbikey privátní klíč nedostaneš, pouze veřejný. Co si představuješ pod pojmem statická hesla, jako jeden účet (nechápu otázku)?. Heslo do rb je jiná věc, ale pokud nemá youbikey, tak se k tomu nedostane. Na účty máš pak třeba radius.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

pgb
Příspěvky: 430
Registrován: 2 years ago

Příspěvekod pgb » 2 months ago

Ne, takhle to nepoužívám. Nechám si v tom vygenerovat veřejný klíč a ten pak nastavím uživateli v RB. Privání klíč pak propojím přes agenta a knihovnu opensc-pkcs11.so. Zkopírovat YubiKey jsem se snažil, chtěl jsem udělat zálohu toho klíče a cestu jsem nenalezl (a ani by neměla existovat, není to pouze "obyčejná" fleška)
0 x

pgb
Příspěvky: 430
Registrován: 2 years ago

Příspěvekod pgb » 2 months ago

EDIT: Níže uvedené nějak divně funguje/nefunguje. Teda ty volba nic nedělá ????.

Chtěl bych předem všechny upozornit, na Linuxu bývá funkce ssh port forward většinou zapnutá. Je to výborná funkce, jak se lehce dostat do interní sítě na lokální zařízení, pokud hraniční router podporuje SSH (z pohledu lokálních zařízení se tváříte jako router na kterém jste připojeni :) ). MK ji má ve výchozím nastavení vypnutou (pouze akceptuje přesměrování na 127.0.0.1, ale jinam ne). Pokud ji chcete použít pro tunelování na jiné vnitřní zařízení, musíte ji povolit

Kód: Vybrat vše

/ip ssh set forwarding-enabled=yes
Naposledy upravil(a) pgb dne 26 Jul 2018 12:19, celkem upraveno 1 x.
0 x

ludvik
Příspěvky: 3860
Registrován: 7 years ago

Příspěvekod ludvik » 2 months ago

Já ti rozumím. Sice to nepoužívám, ale zaměřuji se na to a chci to ... Kdyby to šlo zkopírovat, tak je to jen flash drive.

Klíče v RB jsou sice pěkná věc, jenže je musíš nějak udržovat. Což sice samozřejmě jde (otázkou je, zda i z běžně dostupných dohledových systémů), ale pro větší počty je to prostě opruz.
Naopak to statické v kombinaci s radiusem je už jiná káva. Bude to fungovat kdekoliv, kam ten klíč strčím. I když z principu je to holt o něco méně bezpečné.
pgb píše:Ne, takhle to nepoužívám. Nechám si v tom vygenerovat veřejný klíč a ten pak nastavím uživateli v RB. Privání klíč pak propojím přes agenta a knihovnu opensc-pkcs11.so. Zkopírovat YubiKey jsem se snažil, chtěl jsem udělat zálohu toho klíče a cestu jsem nenalezl (a ani by neměla existovat, není to pouze "obyčejná" fleška)


Kdy mikrotik forwarding vypnul? Jsem si jistý, že jsem to používal. Kdysi.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

ludvik
Příspěvky: 3860
Registrován: 7 years ago

Příspěvekod ludvik » 2 months ago

Ještě na 6.40.8 to funguje. A to v případě:

Kód: Vybrat vše

[ludvik@] > ip ssh print
forwarding-enabled: no
always-allow-password-login: no
strong-crypto: no
host-key-size: 2048


ludvik píše:Kdy mikrotik forwarding vypnul? Jsem si jistý, že jsem to používal. Kdysi.


edit: no ale dost divoce to funguje. Někde se ty pakety ztrácí. Jenže tomu nepomůže ani zapnutí forwardingu.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

pgb
Příspěvky: 430
Registrován: 2 years ago

Příspěvekod pgb » 2 months ago

Omlouvám se za chybné prohlášení. Fakt to funguje i v 6.42.6 (i když jsem názoru že by nemělo dle toho nastavení)
0 x

the.max
Příspěvky: 1045
Registrován: 11 years ago
Bydliště: Sudetten land
Kontaktovat uživatele:

Příspěvekod the.max » 2 months ago

zdenek.svarc píše:
the.max píše:To sice jo, ale co je za problém nahodit tunel, a ve winboxu neklikat na adresu 2x ale jen jednou a adresu přepsat na localhost? ...

Protože "má admin Winbox plný předdefinovaných routerů bez jednotného loginu", proboha. Přestaň být ješitný a dvakrát přemýšlej než něco napíšeš. Děkuju.


A četl jsi co jsem psal? Možná jsi jen tomu psanému textu nerozumněl.
Já ti neberu, že máš ve winboxu nadefinovanejch kdoví kolik routerů s různejma adresama, loginama a heslama. Když na toho mikrotika lezeš SSHčkem, tak stejně musíš zadat login a heslo, pokud tam nemáš klíč. Pak si povolit winbox, a až pak se tam winboxem připojit. Když uděláš tunel, tak se taky na mikrotika připojíš stejně jako v tvém případě. Akorát pak ve winboxu vybereš uloženej router kam se chceš připojit a než klikneš na connect, tak změníš adresu na localhost. Tím, že v poli Connect to změníš adresu, se ti přece nezmění login a heslo co je tam načtené.
0 x
Vysoce odborných omylů se dopouští jen specialisté.

Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.

Ladik
Příspěvky: 1302
Registrován: 9 years ago
antispam: Ano

Příspěvekod Ladik » 2 months ago

Mu jde nejspis o to, ze vubec musi vyplnovat tu ip adresu, kdyby jenom copy/paste, to pak strasne zdrzuje.
0 x

Uživatelský avatar
hapi
Příspěvky: 11405
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 2 months ago

neřeší tohle náhodou romon?
0 x


Zpět na „Tipy“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 2 hosti