MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Návody a problémy s konfigurací.
ludvik
Příspěvky: 4162
Registrován: 7 years ago

Re: MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Příspěvekod ludvik » 2 months ago

Nechci ti do toho kecat - ale jak jsme ti mohli najít chybu ve firewallu, když jsi nám ho nepředvedl?
Méně zkušení nemusí být idioti. Ale něco přečíst si odmítají, natož něco hledat. O správném firewallu tu jde řeč snad každý měsíc. Jako slušný odpich lze využít i wiki mikrotiku, případně jeho výchozí konfiguraci. Zase tolik lidí tady jako jako support nefunguje, aby je bavilo pořád radit to samé.
A jsi-li laik, je na to jiná část tohoto fóra ... tam bys asi měl nějaké "hájení".
dedek_2019 píše:Hmm, tak díky za radu.... Jste fakt pašáci, poradili jste skvěle! Bylo rychlejší si najít tu drobnou chybku ve FW sám, než se jí dozvědět od vás.
Koukám, že podle osazenstva tohodle fóra, jsou zřejmě všichni méně zkušení uživatelé úplní idioti, co si neumí nastavit nový login...
Tak se tu bavte, "ajeťáci" :-)
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

shooter
Příspěvky: 750
Registrován: 10 years ago

Příspěvekod shooter » 2 months ago

Tento bordel jsem dnes objevil v MK v ARP je to víc než divny
je napadenej MK nebo to Ubntčko ?
16 D 169.254.124.158 00:15:6D:BD:17:CA bridge1
17 D 169.254.7.46 00:15:6D:BD:17:CA bridge1
18 D 169.254.103.131 00:15:6D:BD:17:CA bridge1
19 D 169.254.34.93 00:15:6D:BD:17:CA bridge1
20 D 169.254.7.229 00:15:6D:BD:17:CA bridge1
21 D 169.254.55.175 00:15:6D:BD:17:CA bridge1
22 D 169.254.75.141 00:15:6D:BD:17:CA bridge1
23 D 169.254.40.103 00:15:6D:BD:17:CA bridge1
24 D 169.254.72.137 00:15:6D:BD:17:CA bridge1
25 D 169.254.84.10 00:15:6D:BD:17:CA bridge1
26 D 169.254.43.60 00:15:6D:BD:17:CA bridge1
27 D 169.254.109.183 00:15:6D:BD:17:CA bridge1
28 D 169.254.48.150 00:15:6D:BD:17:CA bridge1
29 D 169.254.74.194 00:15:6D:BD:17:CA bridge1
30 D 169.254.7.70 00:15:6D:BD:17:CA bridge1
31 D 169.254.88.40 00:15:6D:BD:17:CA bridge1
32 D 169.254.116.142 00:15:6D:BD:17:CA bridge1
33 D 169.254.60.17 00:15:6D:BD:17:CA bridge1
34 D 169.254.71.31 00:15:6D:BD:17:CA bridge1
35 D 169.254.36.66 00:15:6D:BD:17:CA bridge1
36 D 169.254.121.181 00:15:6D:BD:17:CA bridge1
37 D 169.254.52.135 00:15:6D:BD:17:CA bridge1
38 D 169.254.56.94 00:15:6D:BD:17:CA bridge1
39 D 169.254.93.168 00:15:6D:BD:17:CA bridge1
0 x

Uživatelský avatar
hapi
Příspěvky: 12376
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 2 months ago

ty používáš 169.254.x.x?
0 x

iTomB
Příspěvky: 864
Registrován: 12 years ago

Příspěvekod iTomB » 2 months ago

Videl bych to jako zarizeni, co nenasli DHCP a maji IP link-local a tohle je za nejakym wifi bridgem, ktery maskuje MAC.
0 x

shooter
Příspěvky: 750
Registrován: 10 years ago

Příspěvekod shooter » 2 months ago

hapi píše:ty používáš 169.254.x.x?

Ne

Adresy neustale přibývaji a mizí proto je mi to divny ted třeba 54 zaznamu
zařízení je Nanostation5 v režimu AP a na něm jen jeden klient a ten chodí s jinou MAC
Ubnt poslední FW 4.0.4
0 x

helapc
Příspěvky: 968
Registrován: 8 years ago

Příspěvekod helapc » 2 months ago

4.0.4 ??
0 x

Uživatelský avatar
hapi
Příspěvky: 12376
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 2 months ago

já tohle viděl včera na edge switchy, neni to ARP ale MAC tabulka a 169.254. tam lítaly odkud mohly. PC, kamery.. odkud to mohlo.
0 x

shooter
Příspěvky: 750
Registrován: 10 years ago

Příspěvekod shooter » 2 months ago

a přišel si na něco proč se to děje ?
0 x

Uživatelský avatar
Macek
Příspěvky: 104
Registrován: 11 years ago

Příspěvekod Macek » 1 month ago

dedek_2019 píše:Zdar chlapi,
řeším od léta 2018 něco podobného s neustálými útoky na všechny MTK, které spravuji. Finálním a zatím funkčním řešením prozatím byla blokace na INPUT všech zahraničních IP adres a také blokace portu 53 (opět na INPUT). Tím jsem se zbavil všech útoků a byl klid. Problém nastal, když jsem zjistil, že díky blokaci DNS (port 53) mi např. nefungují zálohy NAS na servery jako Amazon či Google Drive... A to už je celkem problém. Snažil jsem se tedy "pogooglit" IP adresy oněch serverů, na které zálohy probíhají (s tím, že je přidám do výjimek), ale bohužel bez úspěchu. Zřejmě nemám všechny. Zálohy jsem tedy nouzově řešil vždy dočasným vypnutím blokace DNS, ale ejhle, dnes po 5-ti minutách MTK "zasyflený". Resp. útočník nestihl nahrát žádný script, ale stihl mi smazat všechna pravidla na FW. Takže toto dočasné řešení je dost nebezpečné :-)
Nemáte někdo jiný tip, jak toto obejít?

Díky moc,
Dědek.
Jak blokneš veškeré zahraniční adresy?
0 x

ArkaNoid
Příspěvky: 37
Registrován: 1 year ago

Příspěvekod ArkaNoid » 1 month ago

Macek píše:
dedek_2019 píše:Zdar chlapi,
řeším od léta 2018 něco podobného s neustálými útoky na všechny MTK, které spravuji. Finálním a zatím funkčním řešením prozatím byla blokace na INPUT všech zahraničních IP adres a také blokace portu 53 (opět na INPUT). Tím jsem se zbavil všech útoků a byl klid. Problém nastal, když jsem zjistil, že díky blokaci DNS (port 53) mi např. nefungují zálohy NAS na servery jako Amazon či Google Drive... A to už je celkem problém. Snažil jsem se tedy "pogooglit" IP adresy oněch serverů, na které zálohy probíhají (s tím, že je přidám do výjimek), ale bohužel bez úspěchu. Zřejmě nemám všechny. Zálohy jsem tedy nouzově řešil vždy dočasným vypnutím blokace DNS, ale ejhle, dnes po 5-ti minutách MTK "zasyflený". Resp. útočník nestihl nahrát žádný script, ale stihl mi smazat všechna pravidla na FW. Takže toto dočasné řešení je dost nebezpečné :-)
Nemáte někdo jiný tip, jak toto obejít?

Díky moc,
Dědek.
Jak blokneš veškeré zahraniční adresy?


Zdravim.
Jedine, ze s vytvoris databazu IP adries, ktora bude pojednavat o tom, ktora IP je na co
- IP pre zakaznika
- Ip pre zariadenie v sieti
Napriklad :
- MikroTik uz zakaznika ma IP 172.30.1.200
- dany zakaznik ma IP 172.30.1.1
- 172.30.1.200 nebude mat pristup do internetu, ale len do tvojej sieti
- zariadenia nebude mat pristup do NETU a je to vybavene.
- 172.30.1.1 ma pristup komplet, lebo to je zakaznicka IP
Svojho casu som nieco take naklepal na FREE BSD pre IPFW firewall aj zo shapovanim
- bezalo to na MINI PC
- napriklad http://www.qotom.net/product/45.html
- je to len otazkou exportu s tvojej internej databazy na dany stroj, ktory obsluhuje nejaku cast tvojej siete
- i IPFW vies nastavit vsetko potrebne. Len sa s tym treba hrat.
1 x


Uživatelský avatar
honzam
Příspěvky: 5396
Registrován: 12 years ago

Příspěvekod honzam » 1 month ago

Tak Mikrotik potvrdil že to je chyba přímo v kernelu.
Prý bude do 9.dubna opraveno
0 x

ludvik
Příspěvky: 4162
Registrován: 7 years ago

Příspěvekod ludvik » 1 month ago

Jestli to dobře chápu: a) není to zranitelnost, je to jen chyba, b) vědí to rok! ale opravit to stihnou do devátého dubna ... čili jedenáct dnů po profláknutí na fóru a maximálně dny před zveřejněním. c) možnost jiné obrany než upgrade není a jelikož nejsou podrobnosti, tak ani na něčem mimo mikrotik.

Celý svět bude mít pár dnů na upgrade prakticky všech ROS.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

the.max
Příspěvky: 1245
Registrován: 11 years ago
Bydliště: Sudetten land
Kontaktovat uživatele:

Příspěvekod the.max » 1 month ago

6.45 beta22 by to měla opravovat
0 x
Vysoce odborných omylů se dopouští jen specialisté.

Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.

Uživatelský avatar
honzam
Příspěvky: 5396
Registrován: 12 years ago

Příspěvekod honzam » 1 month ago

ludvik píše:Jestli to dobře chápu: a) není to zranitelnost, je to jen chyba, b) vědí to rok! ale opravit to stihnou do devátého dubna ... čili jedenáct dnů po profláknutí na fóru a maximálně dny před zveřejněním. c) možnost jiné obrany než upgrade není a jelikož nejsou podrobnosti, tak ani na něčem mimo mikrotik.


Podle mě to zranitelnost je. Pokud ti někdo přes IPV6 může shodit celý router tak to je jen chyba? :)
Možnost obrany je - vypni IPV6 v síti a problém se tě netýká.
Ano vědí o tom skoro rok. Od dubna 2018 a oprava zatím pouze v 6.45beta22 (vydané dnes). Ostatní Stable kanály budou dle mě následovat brzy...
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 3 hosti