Здравствуйте Роман, очень интересует тематика Микротик, но.. уже не первый раз сталкиваюсь с вашими вебинарами, даже подписан, но в определенные моменты чувствую себя абсолютным нулем, первоклассником на уроке высшей математики. Понимаю что для многих ваших подписчиков моя просьба вызовет насмешки или даже раздражение, но ведь как и в вождении автомобиля, у каждого бывает стадия базового обучения и первый выезд на проезжую часть, раздражающий проезжающих мимо опытных водителей. Есть ли возможность создать плейлист для людей, кто впервые взял в руки Микротик и постепенно осветить всё для начинающих. Все с самых основ. Думаю такой плейлист привлек бы очень много благодарных подписчиков. Спасибо за ответ.
4:09 какой программой и какой скрипт выполняется, что бы смотреть пароль на Микротик? На какие открытые порты он должен смотреть? Роман, спасибо за вэбинары, очень грамотно объясняете.
Согласен со многими комментаторами. Благодаря Вам, я познакомился с mikrotik и научился его настраивать. Это лучшая железка! Столько всего интересного! А ваши видео очень информативные. Пересматриваю их по нескольку раз и каждый раз с новыми знаниями нахожу для себя опять что-то новое!!!
50:20 DDoS нет от неё защиты непосредственно на Вашем роутере, так как пакет уже прилетел к Вам на интерфейс и роутеру, а точнее его cpu надо его обработать дроп не дроп не важно, ресурсы cpu на это будут потрачены, эта и есть отказ в обслуживании, то есть забить в полку cpu оборудования. От DDoS защищаются с помощью выше стоящего провайдера, но это уже другая история.
@@Odin.kirillтогда ляжет канал связи и перестанут проходить полезные данные среди лишних пакетов до того как завязнет железка... Или вы к нему подключили несколько раздельных каналов по 10гигабит и забыли об этом упомянуть?)
Растолкуйте плиз: 30:05 вы сказали, что IP Cloud виден за NAT. С точностью как и вы настраиваете - настроил свой микротик (со своим конечно DNS name). Но он у меня пишет "Router is behind a NAT". Где не досмотрел?
Роман, спасибо Вам огромное за видеоролики! Очень полезные понятные объяснения! Здесь вы говорили что даже до появления уязвимостей, вы не доверяли винбоксу. Упомянули интерфейс-листы. Что за интерфейс-листы, как это работает, не подскажете? Это же не через веб-интерфейс?
Отличная подача материала. Мине понравилось ---) Микротик чем то напоминает винроут 20 летней давности, но обросший просто потрясающим функционалом. Подпишусь на Вас, много полезного.
Большинство не обновляет роутеры потому тестил уязвимость паролей и нарыл за пол дня около 300 роутеров в соседних странах. Пол дня только потому что диапазон поиска очень большой взял. Делай с ними что хош. Потестил свою сеть пока дырок не нашел. Но год назад ситуация была куда плачевнее. Причем чтоб поиметь пару тысяч устройств надо было всего лишь еще пол дня тщательного поиска нужных инструментов.
8:50 - 9:45 Несколько раз перемотал и переслушал но так и не понял что имеет приоритет - Available from: в IP Service List или разрешающее вход правило в Firewall Filter?
Сначала firewall, потом ip services. Firewall более производительный и работает на 3 и 4 уровне osi. Ip service - это настройка службы - работает на 7м уровне и менее безопасна. Так же теоретически в настройках ip service могут быть zero day.
@@MikrotikTraining Спасибо Роман. Да я конечно не знаком с уровнями OSI что уж там кривить душой) и наверное по этому иногда пытаюсь сравнивать "мягкое с теплым", но по экспериментировав с Available from: в IP Service и Address list "Admin" в Firewall, я пришел к мнению что в моем обывательском понимании приоритет все же имеет Available from в IP Service. Если я в IP Service ставлю разрешение на вход только с одного локального адреса, то не важно какие адреса у меня разрешены на вход в Firewall по адрес листу Admin - я все равно смогу зайти только с того что указал в Available from в IP Service! Ну а если в Available from в IP Service оставить поле пустым, то я могу зайти по любому из адресов в Адрес-листе Админ по правилу в Фаерволе, В связи с этим Ваш ответ "Сначала firewall, потом ip services" вводит меня в тупик. Как так то?
Я для себя ещё оставляю секретную дверь - пингануть роутер определённым размером пакетов (к примеру 70, 80, пару по 90 байт), после чего мой IP попадает в white-list, которому разрешено всё. Естественно white-list первым правилом разрешается, сразу за ним icmp.
@@YDenV Блокируем все поползновения на веб-морду с нашей подсети кроме тех хостов, кто содержится в списке WIN. Все ICMP из нашей подсети перекидываем на цепочку KnockKnockKnock. Если пришёл ICMP-пакет размером 329 на bridge1, то помечаем хост отправитель в список Gate1 на 10 секунд. Если пришёл ICMP-пакет размером 429 на bridge1 и хост-отправитель содержится в списке Gate1, то помечаем хост отправитель в список Gate2 на 10 секунд. Если пришёл ICMP-пакет размером 529 на bridge1 и хост-отправитель содержится в списке Gate2, то помечаем хост отправитель в список WIN на 10 секунд. Возвращаемся из цепочки KnockKnockKnock (в INPUT)
Сделал по вашему примеру, и проблема такая, что первый пинг идет через ICMP. после первого остальные идут по input ACCEPT established,related и не ограничиваются в 1 пакет в секунду.
Лекция отличная, но прошу простить за 5 копеек, но звук завалите в районе 100гц, сильно бубнит у людей с хорошо передающий низ акустикой. Вы думаю сводили звук в обычные колоночки мелкие, где этой частоты и небыло. Вообще советую у всех лекций просто срезать все что ниже 100 а то и 150
1. К сожалению нет, хранили именно пароли в открытом виде. С 6.45 пароли хранятся в зашифрованном виде. 2. Наверняка хз, но как вариант читать ченджлоги для выходящих обновок, там пишут какие уязвимости закрываются.
Вряд-ли они в курсе всех уязвимостей чтоб об них писать и закрывать, так что лучший вариант - закрывать любые порты управления от левых адресов, открывая только себе и другим админам.
Мы пока в основном работаем на ros6. Главная проблема - при обновлении можно потерять роутер. Ну и самое безопасное и качественное - обновление через netinstall и последующая настройка через export/руки
точно никто не взламывал микротики? и точно,что только из за не правилтных настроек? CVE-2019-3977 CVE-2018-7445 CVE-2018-14847 можно продолжать и продолжать )))
42.44 "правило джамп будет проверять только icmp пакеты" круто. Это правило будет проверять все пакеты (ты icmp ты не icmp) и только icmp заворачивать в свою цепочку. Не вводите людей в заблуждение, тем более Вы ведете курсы за деньги.
я сейчас на 4:41 и я понимаю что выступающий включил понты и начинается "писькомер"! Вот смотрите какие у меня скрипты, сейчас будем ломать самый слабый роутер, да я да я! И думаю а по факту интересно как и что можно протюнить чтобы было более безопасно тем более когда у тебя белый ip!
начало с 07:30
Благодарю за вебинар, просто получаю удовольствие от просмотра! Всех благ, успехов! :)
Здравствуйте Роман, очень интересует тематика Микротик, но.. уже не первый раз сталкиваюсь с вашими вебинарами, даже подписан, но в определенные моменты чувствую себя абсолютным нулем, первоклассником на уроке высшей математики. Понимаю что для многих ваших подписчиков моя просьба вызовет насмешки или даже раздражение, но ведь как и в вождении автомобиля, у каждого бывает стадия базового обучения и первый выезд на проезжую часть, раздражающий проезжающих мимо опытных водителей. Есть ли возможность создать плейлист для людей, кто впервые взял в руки Микротик и постепенно осветить всё для начинающих. Все с самых основ. Думаю такой плейлист привлек бы очень много благодарных подписчиков. Спасибо за ответ.
Роман, спасибо большое за ваши вебинары. Благодаря вам познакомился с Микротик, внедрил у себя. СПАСИБО!
4:09 какой программой и какой скрипт выполняется, что бы смотреть пароль на Микротик? На какие открытые порты он должен смотреть? Роман, спасибо за вэбинары, очень грамотно объясняете.
Согласен со многими комментаторами. Благодаря Вам, я познакомился с mikrotik и научился его настраивать. Это лучшая железка! Столько всего интересного! А ваши видео очень информативные. Пересматриваю их по нескольку раз и каждый раз с новыми знаниями нахожу для себя опять что-то новое!!!
После правила разрешающего established,related почему-то не срабатывает цепочка ICMP и последующий дроп
50:20 DDoS нет от неё защиты непосредственно на Вашем роутере, так как пакет уже прилетел к Вам на интерфейс и роутеру, а точнее его cpu надо его обработать дроп не дроп не важно, ресурсы cpu на это будут потрачены, эта и есть отказ в обслуживании, то есть забить в полку cpu оборудования. От DDoS защищаются с помощью выше стоящего провайдера, но это уже другая история.
Окей берём 20-ядерный Зион, 128гб ОЗУ и 120ссд, покупаем лицензию роутер ос, накатываем на этот комп её и настраиваем все файрвольные правила 😁😁
@@Odin.kirillтогда ляжет канал связи и перестанут проходить полезные данные среди лишних пакетов до того как завязнет железка... Или вы к нему подключили несколько раздельных каналов по 10гигабит и забыли об этом упомянуть?)
Растолкуйте плиз: 30:05 вы сказали, что IP Cloud виден за NAT. С точностью как и вы настраиваете - настроил свой микротик (со своим конечно DNS name). Но он у меня пишет "Router is behind a NAT". Где не досмотрел?
Мощный видос! Спасибо! Рекомендую к просмотру))
Я уже увидел, вас… Вы не только обьесняите как все работает но вы проверяете всех кто вас смотрит))))!!!!! Хитро!!!!
Drop udp 53 in raw section is better ! The portknock to add ip addresses in withlist to use allowed services is better too :)
Роман, спасибо за видео.
Очень ждал ответа, как распознать зараженный Микротик. Кроме Script list.
Спасибо большое, очень много полезной информации, несмотря на отсутствие Микротика в своем окружении.
Поставил недавно микротик. По 3-4 долбежбки в день) Первым делом учетку admin рубанул. Спасибо за видео. Буду править еще у себя.
Роман, спасибо Вам огромное за видеоролики! Очень полезные понятные объяснения! Здесь вы говорили что даже до появления уязвимостей, вы не доверяли винбоксу. Упомянули интерфейс-листы. Что за интерфейс-листы, как это работает, не подскажете? Это же не через веб-интерфейс?
Отличная подача материала. Мине понравилось ---) Микротик чем то напоминает винроут 20 летней давности, но обросший просто потрясающим функционалом. Подпишусь на Вас, много полезного.
41:15 - Судя по слайду правило нужно 8:0, а делаете 0:8.
Почему он не настроил цепочку forward?
какими командами попасть в production mode в антенне LTE6 ?
Большинство не обновляет роутеры потому тестил уязвимость паролей и нарыл за пол дня около 300 роутеров в соседних странах. Пол дня только потому что диапазон поиска очень большой взял. Делай с ними что хош. Потестил свою сеть пока дырок не нашел. Но год назад ситуация была куда плачевнее.
Причем чтоб поиметь пару тысяч устройств надо было всего лишь еще пол дня тщательного поиска нужных инструментов.
8:50 - 9:45 Несколько раз перемотал и переслушал но так и не понял что имеет приоритет - Available from: в IP Service List или разрешающее вход правило в Firewall Filter?
Сначала firewall, потом ip services. Firewall более производительный и работает на 3 и 4 уровне osi. Ip service - это настройка службы - работает на 7м уровне и менее безопасна. Так же теоретически в настройках ip service могут быть zero day.
@@MikrotikTraining Спасибо Роман. Да я конечно не знаком с уровнями OSI что уж там кривить душой) и наверное по этому иногда пытаюсь сравнивать "мягкое с теплым", но по экспериментировав с Available from: в IP Service и Address list "Admin" в Firewall, я пришел к мнению что в моем обывательском понимании приоритет все же имеет Available from в IP Service. Если я в IP Service ставлю разрешение на вход только с одного локального адреса, то не важно какие адреса у меня разрешены на вход в Firewall по адрес листу Admin - я все равно смогу зайти только с того что указал в Available from в IP Service! Ну а если в Available from в IP Service оставить поле пустым, то я могу зайти по любому из адресов в Адрес-листе Админ по правилу в Фаерволе, В связи с этим Ваш ответ "Сначала firewall, потом ip services" вводит меня в тупик. Как так то?
Я для себя ещё оставляю секретную дверь - пингануть роутер определённым размером пакетов (к примеру 70, 80, пару по 90 байт), после чего мой IP попадает в white-list, которому разрешено всё. Естественно white-list первым правилом разрешается, сразу за ним icmp.
плиз неучу поясните как сделать пинг как Вы описали. благодарю
@@YDenV add action=drop chain=input dst-address=192.168.100.1 dst-port=80 in-interface=bridge1 protocol=tcp src-address=192.168.100.0/24 src-address-list=!WIN
add action=jump chain=input dst-address=192.168.100.1 in-interface=bridge1 jump-target=KnockKnockKnock protocol=icmp src-address=192.168.100.0/24
add action=add-src-to-address-list address-list=Gate1 address-list-timeout=10s chain=KnockKnockKnock dst-address=192.168.100.1 in-interface=bridge1 log=yes \
packet-size=329 protocol=icmp src-address=192.168.100.0/24
add action=add-src-to-address-list address-list=Gate2 address-list-timeout=10s chain=KnockKnockKnock dst-address=192.168.100.1 in-interface=bridge1 log=yes \
log-prefix=KNOCK packet-size=429 protocol=icmp src-address=192.168.100.0/24 src-address-list=Gate1
add action=add-src-to-address-list address-list=WIN chain=KnockKnockKnock dst-address=192.168.100.1 in-interface=bridge1 log=yes log-prefix=KNOCK2 \
packet-size=529 protocol=icmp src-address=192.168.100.0/24 src-address-list=Gate2
add action=return chain=KnockKnockKnock из первой ссылки гугла;)
@@YDenV Блокируем все поползновения на веб-морду с нашей подсети кроме тех хостов, кто содержится в списке WIN.
Все ICMP из нашей подсети перекидываем на цепочку KnockKnockKnock.
Если пришёл ICMP-пакет размером 329 на bridge1, то помечаем хост отправитель в список Gate1 на 10 секунд.
Если пришёл ICMP-пакет размером 429 на bridge1 и хост-отправитель содержится в списке Gate1, то помечаем хост отправитель в список Gate2 на 10 секунд.
Если пришёл ICMP-пакет размером 529 на bridge1 и хост-отправитель содержится в списке Gate2, то помечаем хост отправитель в список WIN на 10 секунд.
Возвращаемся из цепочки KnockKnockKnock (в INPUT)
@@player-fm6ud сенк
Спасибо за пример
Добрый день, а как попасть в чат телеграмм ?
Сделал по вашему примеру, и проблема такая, что первый пинг идет через ICMP.
после первого остальные идут по input ACCEPT established,related и не ограничиваются в 1 пакет в секунду.
не важно выше или ниже input ACCEPT established,related.
добавил дроп icmp сразу после правила с лимитом. теперь заработало
Здравствуйте подскажите пожалуйста у меня микротик 941 после грозы перестал раздавать интернет
Лекция отличная, но прошу простить за 5 копеек, но звук завалите в районе 100гц, сильно бубнит у людей с хорошо передающий низ акустикой. Вы думаю сводили звук в обычные колоночки мелкие, где этой частоты и небыло. Вообще советую у всех лекций просто срезать все что ниже 100 а то и 150
Как перенаправит порты с айпис одного на другой
10:27 оговорка? Хранят же хеш, а не пароли.
12:26 где посмотреть на сайте в описании, что прошивка уязвимая?
1. К сожалению нет, хранили именно пароли в открытом виде. С 6.45 пароли хранятся в зашифрованном виде.
2. Наверняка хз, но как вариант читать ченджлоги для выходящих обновок, там пишут какие уязвимости закрываются.
Вряд-ли они в курсе всех уязвимостей чтоб об них писать и закрывать, так что лучший вариант - закрывать любые порты управления от левых адресов, открывая только себе и другим админам.
@@andrey141-g2e реально 6.45??? Она же даже не в лонгтерме!? Сейчас последняя 6.44.6
@@vsyes1984 Если быть совсем точным, то 6.45.1. Посмотри ченджлог mikrotik.com/download/changelogs
а что делать если отключил случайно все сервисы ?
По маку заходить
А можно презентацию? :-)
в конце видео ссылка
@@rostdev8523 нет там ссылки
чем плохи настройки огненной стены "по умолчанию" ?
На момент создания видео или на данный момент? Сейчас он более менее вроде
@@bouzilla941 да, я про нынешние настройки по умолчанию.
На семерку .. обновляться страшно чота.... Хотя был успешный опыт с заводской тройки на 4.4..*.. Опасаюсь так скать
К тому же.. обновлять надо GW.
Мы пока в основном работаем на ros6. Главная проблема - при обновлении можно потерять роутер. Ну и самое безопасное и качественное - обновление через netinstall и последующая настройка через export/руки
00:28:30
У меня Mac OS, без проблем получится настроить Mikrotik?
ставишь wine, и через wine открываешь винбокс, ну или через телнет или ссш))
jablochniyvorishka можно же еще через web настроить?
@@alexmint9540 web очень кривая, можно и через телефон (IOS, Android)
Включенный MNDP покажет соседей в сети провайдера. Окей. А провайдер должен изолировать соседей?
создаем аддресс-лист, заталкиваем туда нужные интерфейсы, обозначаем этот лист для дискавери и маквинбокс/мактелнет. Вуаля, закрылись по L2.
Сорян, не досмотрел) Просто это я делаю одним из первых действий
Здравствуйте, а можно поподробнее?
@@MrShamshudinov
/interface/list/
add name=MACServer
member/add list=MACServer interface=bridge
/tool/mac-server
set allowed-interface-list=MACServer
mac-winbox/set allowed-interface-list=MACServer
С торентами луче не бороться, а использовать qos , все полезное в приоритете, не полезное в в минимум. Ни чего нового
А как отсеять все полезное? Особенно после какого-нибудь проксика.
Всё хорошо, но не могу не докопаться до ерундовой мелочи.) Аббревиатура API не как "апи" произносится, а как eh-pee-eye.
Три четверти универа говорит "апи". Таких как ты - где-то четверть...
Взломы по всему миру а ценик не снижают
точно никто не взламывал микротики? и точно,что только из за не правилтных настроек?
CVE-2019-3977
CVE-2018-7445
CVE-2018-14847
можно продолжать и продолжать )))
всегда юзал веб морду лисички и alt linux
42.44 "правило джамп будет проверять только icmp пакеты" круто. Это правило будет проверять все пакеты (ты icmp ты не icmp) и только icmp заворачивать в свою цепочку. Не вводите людей в заблуждение, тем более Вы ведете курсы за деньги.
Вложенная цепочка должна проигнорить проверку, а так без джампа, вся цепочка будет проверять.
Лайк перед просмотром)
Я ваше видео включил мой аккаунт перезагрузился походу вы смотрите все аккаунты, благодарю вас, буду держать защиту от вас!!!!
я сейчас на 4:41 и я понимаю что выступающий включил понты и начинается "писькомер"! Вот смотрите какие у меня скрипты, сейчас будем ломать самый слабый роутер, да я да я! И думаю а по факту интересно как и что можно протюнить чтобы было более безопасно тем более когда у тебя белый ip!
А когда досмотрел дальше, вывод поменял?
Дырявый микрот с ботнетами
какая красивая лапша, жаль настройки только сложные и ,,, поэтапные,,, длинные и тупые,,
Бестолковое видео.