MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Návody a problémy s konfigurací.
profik
Příspěvky: 215
Registrován: 9 years ago

Re: MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Příspěvekod profik » 1 month ago

Ahoj všem, prosím o pomoc také se nemůžu připojit na MT, konkrétně slouží jako překlad adres, je první v cestě za routrem od hlavního poskytovatele konektivity.ach jooo.a díky za rady.
0 x

Uživatelský avatar
hapi
Příspěvky: 11574
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 1 month ago

mpcz píše:V tomto nemám zatím úplně jasno, co ale vím zatím jistě, je:
- mám tu v šuplíku pár RB, které fungují zdá se normálně, ale netinstall se na nich nedaří. Různé verze jsem zkoušel, nic. Tabulka kompatibility RB-bios-Netinstall od Sergeje není.
- fleška s biosem není blokovaná, zkoušel jsem různé části přepsat a evidentně ROS nedělá ani kontrolní součet, což bývá jinde běžné. Vyvozuji z toho, že pokud zájemce o blokaci bude vědět, co kde je, může se mu podařit to celé cíleně shodit. mpcz, 12.oct.2018


přepsat čim? přes ros asi těžko. Přes nabootovanej jinej system lehko, proč by ne? Instalaci provádí netinstall co smaže vše a nasadí zdá se i novej bios. Ros aktualizuje vlastním procesem kde kontrola je. Řešíš blbosti.

Novej netinstall pro nový boardy jednoduše proto protože má v sobě pxe pro nový boardy. Pokud ti nefunguje netinstall, vem druhej mikrotik, nastav dhcp a přepni "bootp support" na dynamic. Pak nastartuj board a drž furt tlačítko a měl by se tam ukázat že si vzal ip. Pokud si veme tak je problém v pc s netinstalem což je běžný.
1 x

mirek.k
Příspěvky: 613
Registrován: 10 years ago

Příspěvekod mirek.k » 1 month ago

Obvykle vadí v počítači více síťových rozhraní, kdy NetInstall neví, kde má poslouchat.
Tedy buď vzít PC jen s jedním ethernetem, nebo vše ostatní dočasně zakázat.
0 x

mpcz
Příspěvky: 2251
Registrován: 12 years ago

Příspěvekod mpcz » 1 month ago

hapi píše:
mpcz píše:V tomto nemám zatím úplně jasno, co ale vím zatím jistě, je:
- mám tu v šuplíku pár RB, které fungují zdá se normálně, ale netinstall se na nich nedaří. Různé verze jsem zkoušel, nic. Tabulka kompatibility RB-bios-Netinstall od Sergeje není.
- fleška s biosem není blokovaná, zkoušel jsem různé části přepsat a evidentně ROS nedělá ani kontrolní součet, což bývá jinde běžné. Vyvozuji z toho, že pokud zájemce o blokaci bude vědět, co kde je, může se mu podařit to celé cíleně shodit. mpcz, 12.oct.2018


přepsat čim? přes ros asi těžko. Přes nabootovanej jinej system lehko, proč by ne? Instalaci provádí netinstall co smaže vše a nasadí zdá se i novej bios. Ros aktualizuje vlastním procesem kde kontrola je. Řešíš blbosti.

Novej netinstall pro nový boardy jednoduše proto protože má v sobě pxe pro nový boardy. Pokud ti nefunguje netinstall, vem druhej mikrotik, nastav dhcp a přepni "bootp support" na dynamic. Pak nastartuj board a drž furt tlačítko a měl by se tam ukázat že si vzal ip. Pokud si veme tak je problém v pc s netinstalem což je běžný.

Zatím v tom nemám úplně jasno, technický datasheet od CPU se mi nedaří zatím sehnat. Ale ty tvé kategoricky vyřčené argumenty, založené na existenci zástupu slepě věřících, jsou málokdy něčím podložené. Mohl bys prosím zdůvodnit třeba to, z čeho plyne tvé přesvědčení o CRC kontrole ROSem? Děkuji, mpcz, 13.10.2018
0 x

mpcz
Příspěvky: 2251
Registrován: 12 years ago

Příspěvekod mpcz » 1 month ago

mirek.k píše:Obvykle vadí v počítači více síťových rozhraní, kdy NetInstall neví, kde má poslouchat.
Tedy buď vzít PC jen s jedním ethernetem, nebo vše ostatní dočasně zakázat.

Ostatní adaptéry vypínám, pokusy končí nasazením jiného, "zdravého" kusu RB na stejný kabel, který jede bez problémů. mpcz, 13/10/2018
0 x

Uživatelský avatar
hapi
Příspěvky: 11574
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 1 month ago

mpcz píše:Zatím v tom nemám úplně jasno, technický datasheet od CPU se mi nedaří zatím sehnat. Ale ty tvé kategoricky vyřčené argumenty, založené na existenci zástupu slepě věřících, jsou málokdy něčím podložené. Mohl bys prosím zdůvodnit třeba to, z čeho plyne tvé přesvědčení o CRC kontrole ROSem? Děkuji, mpcz, 13.10.2018


updatoval si někdy mikrotika s připojeným seriákem nebo x86 mašinu? co se děje před tím než to updatuje? check balíčků který ti vyhodí když jsou poškozený! netiinstall je něco úplně jinýho.

Na co potřebuješ datasheet cpučka? fakt by mě zajímalo co vymejšlíš za kraviny. Něco prostě zatrhlo v routerboardu nastavení položku "protected routerboard" a pak nefunguje ethernet boot. Takže tady nevymejšlej konspirační teorie.

Kód: Vybrat vše

Protected bootloader
This is a new feature which allows the protection of RouterOS configuration and files from a physical attacker by disabling etherboot. It is called "Protected RouterBOOT".


fakt by mě zajímala tvoje konverzece s mikrotiky a s čim tě poslaly do pryč.
0 x

mpcz
Příspěvky: 2251
Registrován: 12 years ago

Příspěvekod mpcz » 1 month ago

Děkuji za vysvětlení, přiznám se, že tomu přesně nerozumím. Jako by ta odpověď byla na něco jiného. Předpokládám, že pro Kvalifikovaného útočníka není po napadení žádný problém dosunout do stroje další kód, pokud ví co, přepsat pár buněk paměti a Netinstall může být porušen, stroj funguje dál normálně, CRC v ROS na nic nepřijde, pokud tam vůbec je. Nemyslím, že ta varianta je úplně hloupá, dokud to někdo kvalifikovaně nevyloučí nebo nepotvrdí. Dle mého stojí za diskuzi.
Zkus si to sám, zkompilovat přepisovač, haknout, nahrát, spustit (co je zatím problém je, že po rebootu se to zase nespustí, to ale není vůbec nutné) a budeš mít toto:
hapi-hapi.jpg
hapi-hapi.jpg (48.02 KiB) Zobrazeno 1143 x

Něco mí říká, že to s tou kontrolou kontrolního součtu nebude tak žhavé. Ale nechám se (dokonce velmi rád) přesvědčit.
mpcz, 13/10/2018
0 x

Uživatelský avatar
hapi
Příspěvky: 11574
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 1 month ago

ty mluvíš o kontrole bootloaderu, já o kontrole operačního systému. Operační system nebude kontrolovat bootloader, kontroluje jenom sám sebe. Nemůže vědět že si dal novější bootloader kterej nezná kterej nemá jak ověřit. Muselo by to být někde zapsaný v zařízení což je taky přepisovatelný takže na nic. Kdo upraví bootloader upraví i hash crcčka.

K čemu tohle vůbec je dobrý? nikam to nevede. Varianta je pouze nahrát do zařízení novej bootloader a pak přes to nahrát novej ros. Tim je oprava vyřešená u zařízeních který jsou totálně kaput.
0 x

Uživatelský avatar
hapi
Příspěvky: 11574
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 1 month ago

co spíš zkusit featuru mikrotiku nazvanou "reformat-hold-button". Pak by to mělo provést kompletní reset totálně všeho a smazat nenávratně veškerou konfiguraci mikrotiku. Je to záloha pro to když se zamkne boot přes network a i přesto se nikdo ke konfiguraci nedostane a tohle jí totálně smaže a podle všeho nahodí netinstall.
0 x

mpcz
Příspěvky: 2251
Registrován: 12 years ago

Příspěvekod mpcz » 1 month ago

Začínám se bohužel ztrácet v tom množství zatím neověřených alternativ. Zaměřil bych se proto jen na tu klíčovou věc: kde je uložena část kódu, řídící netinstall? mpcz, 13/10/2018
0 x

Uživatelský avatar
hapi
Příspěvky: 11574
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 1 month ago

jakýho kódu?
0 x

tomasik
Příspěvky: 130
Registrován: 6 years ago

Příspěvekod tomasik » 1 month ago

čistě teoreticky, jak by to bylo, když jsem dejme tomu na jednom PC serveru "neustale" (teoreticky) připojen winboxem na RBcko a dojde k útoku/prepisu admina přes ktereho jsem stále připojen, odpoji me to nebo to mohu zase přepsat zpět v rámci toho "neutálého" spojení ? Pokud nedojde k odpojeni winboxu....
0 x

Dalibor Toman
Příspěvky: 1200
Registrován: 6 years ago

Příspěvekod Dalibor Toman » 1 month ago

tomasik píše:čistě teoreticky, jak by to bylo, když jsem dejme tomu na jednom PC serveru "neustale" (teoreticky) připojen winboxem na RBcko a dojde k útoku/prepisu admina přes ktereho jsem stále připojen, odpoji me to nebo to mohu zase přepsat zpět v rámci toho "neutálého" spojení ? Pokud nedojde k odpojeni winboxu....


to si to nemuzes sam vyzkouset? Prihlas se 2x nebo si zmen heslo v terminalu. Nestane se skoro nic - jen nespustis nic, co vyzaduje prihlaseni (New Terminal)
0 x

dvcompt
Příspěvky: 89
Registrován: 11 years ago

Příspěvekod dvcompt » 1 month ago

ahoj všem, pochopil jsem správně že zbavit se toho zas... malware pomůže pouze upgrade přeš netinstall?
smazání scriptů a filtrů není řešení?
díky
0 x

rsaf
Příspěvky: 816
Registrován: 12 years ago

Příspěvekod rsaf » 1 month ago

To bohužel nikdo přesně neví. Nákaz je mnoho variant, byly různě agresivní. Podle mě ve spoustě případů si útočník "jen" povolil http/socks proxy a zabezpečil router tak, aby se na něj již nedalo útočit (já měl třeba kus s vypnutým winboxem) ale jinak tomu nemusí nic být...
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 7 hostů