MikroTik: рассмотрим пару подводных камней динамической защиты
HTML-код
- Опубликовано: 6 май 2020
- В качестве примера приложен скрипт для отслеживание длины блеклиста, удаление адресов из белых списков из блеклиста, реакция на атаку и на ее интенсивность. Универсальный скрипт, позволяющий реализовать множество сценариев с ловушками, кнок-аутами (разрешение входа по спецобращению).
Сам скрипт в оригинале здесь drive.google.com/open?id=150Q... Наука
В целом всё сказанное верно -). Микротик, как и любая серьёзная железка, требует некоторого объёма знаний и понимания что и зачем делается. И конечно некого хорошего и плохого бекграунда, ибо всё познаётся через опыт. пы-сы и для дома отличная железка, если не лезть куда не надо -).
Спасибо за видеорекомендации, шаблон скрипта и подробные объяснения! Столкнулся с ситуацией, когда потерял доступ к своему микротику даже из локалки. Такое ощущение, что по неизвестной причине стали дропаться соединения из белого листа. Буду использовать ваши рекомендации для настройки своих микротиков.
Спасибо !!!
Лучшее объяснение.
вы правы ! я не админ и купил себе домой hap ac да очень сложен в настройках ! но доволен есть то что нет в других роутерах
А что мешает добавить ВЛ в раздел prerouting, выше всяких правил блокировки, что бы они никогда не блокировались.? У меня регулярно была такая ситуация, поднял правило и всё ок, IP находиться как и в автоматическом бане, так и в ВЛ.
Бог.
Так вы же в предыдущем видео говорили, что ни в коем случае не покупайте Микротик. Какая тогда может быть динамическая защита? :)
интересно.
Автору большое спасибо за интересный материал! Очень таки хотелось бы увидеть в Вашем изложении последовательность настройки правил Firewall не смотря на большое кол-во рекомендаций на просторах интернета, я первый раз встречаю такую элегантную конфигурацию.
Микротики каждый админ настраивает под себя. И исходя из многих параметров, типа скорость, память, нагрузка, процессор и т.д. приходится каждый раз собирать конфиги заново. Универсальных решений не бывает. Иногда приходится следить за роутером несколько недель и рихтовать правила...
Не очень понял, зачем удалять адреса белого списка из черного, если их можно просто туда не добавлять, добавив в правило блэклиста "src-address-list=!whitelist"?
Затем, чтобы не плодить сущности и правила. Ведь не только в одном месте блеклисты могут быть использованы. Чем больше правил, тем медленнее обработка, не так ли? И если на одних роутерах есть запас по скорости/процу, то в других - нет, а я давал универсальный алгоритм.
@@moya-sprava-admin А добавление одного IP в два взаимоисключающих (по логике) списка это не пложение сущностей (а заодно и дополнительный расход памяти)? Чем длиннее скрипт, тем также медленнее его обработка. Не представляю сколько должно быть правил добавления в ЧС, чтобы дополнительная проверка на отсутствие IP в коротеньком (он ведь гораздо меньше черного) белом списке отнимала много ресурсов.
@@sarge9843 вы никогда не видели систем, где роутеры настраиваться разными админами? Даже в одной организации (не говоря про аутсорс) у разных админов разные подходы. А глюки выгребать потом кому-то ещё. Чем проще алгоритмы, тем проще систему рулить.
Здравствуйте . Как вы считаете, можно ли полноценно заменить ваш роутер 750gr3, который только для роутинга на hap ac2 а для раздачи wi fi отдельную точку доступа. Спрашиваю потому что hap ac2 уже есть в наличии .
Вполне. hap ac - неплохие роутеры, жаль только покрытие их вайфай их небольшое, т.к. антенны не слишком чувствительные. Но я поднимал таких по 5 штук на обслуживание частных домов и вполне успешно :)
@@moya-sprava-admin Спасибо огромное за то, что уделили время и ответили. После того как приобрел, по совету работника от провайдера , начал искать инфу о актуальных настройках - наткнулся на Ваш канал . Просмотрел все видео о микротик и не только, и начал очень сомневаться в решении о покупке сего девайса =) В течении 14 дней могу вернуть обратно.Я обычный пользователь (ни разу не админ) привык настраивать все сам, виндовс устанавливал сам и роутеры настраивал тоже сам, но на уровне обезьяны по инструкции, здесь как я понял точно не мой случай и ладно бы один раз заплатить за настройку и забыть, я так понял- это может быть еще тот 😀аттракцион.
Теперь из всего прочитанного и просмотренного для себя в квартире 40м2 вижу выход 1) Использовать свой старый недороутер тенда 10а в качестве точки доступа в связке с hap ac2 только в качестве роутера не используя его посредственный wi fi и получая при отказах в работе танец с бубном на пару дней в моем случае =) 2)Либо сдать назад (14 дней) и снова поиск более полноценного роутера и точки доступа (2в 1).@@moya-sprava-admin
@@user-nx8tc1bf8l поставьте пару асусов ах55 и забудьте о проблемах с вайфаем, как о кошмарном мне. Причем начать можно с 1 шт :)
@@user-nx8tc1bf8l поменяйте пока не поздно на Асус ах55. Микротик - хорошо, но для дома Асус лучше
А можно по началу объяснить как пишутся скрепты, какой принцип и правила написания?
Все просто. Скрипт пишется через "и"
@@Ghooooost🎉
у моего микротика 128 озу в будущем будут 8 ядерные процессоры и озу по 4 гб и проблема отподет сама собой и я на 15 мегобайтах свободной озу открывал 4000 конектов
Взял после микротика домой асус поставил падаван - вполне доволен) а микротик поставил людям в офис как обычный роутер и забыл) кстати челу одному поставил микротик роутер, так он мне пол года писал, просил поставить попроще.. но я не магазин)
К такому мнению приходят многие, но не все могут его озвучить. Микротик - то святое :)
@@moya-sprava-admin если человек попросит поставить роутер, но с тем что он будет сам настраивать можно кинетик, если скажет настрой сеть мне я поставлю микротик, раз настрою и всё, хотя кинетик так же не плох и мне понравился, асус на падаване так же не плох, а то что кто то не понимает в настройках это вопрос другой.Я много встречал людей те кто делают сети в офисах без админов, так же банки филлиалы, была ситуация когда, попросили поставить роутер микротик в банке и банк помойму Аваль, админ и них удалённый, говорил нужен белый адрес и всё, я поставил, белый выдал.Потом где то через дней 5, возле их здания нужна точка доступа, ну пока парни мои делали, монтаж начал анализировать что тут рядом с wifi, смотрю о вай фай микротовский в дефолте, думаю подключусь, подключаюсь, а это Авалевский роутер, админ вай фай не отключил, не отрезал его от бриджа, но зато впн туннель сделал, а то что банковская сеть в открытом доступе, эт похер, так это что получается ооййй виноват микротик, что с дефолта сразу сам не подстроился под банк?
@@lDooM753 микротик виноват не тем, что он "не подстроился", а тем, что его настраивать не умеют. Ситуация, о которой вы рассказали мне встречается достаточно часто, увы. Поэтому я всегда говорил и говорю - микротик только для тех, кто осознает, как и что надо настраивать. Остальным он не нужен, более того - он опасен.
Цікавий скріпт. Добре, дуже дякую.
P. S. RDP голою дупою в інтернет це дуже сміливо. Хоча я розумію, аутсорс такий аутсорс і впроваджувати VPN після анікейщиків які зробили все на прокидуванні портів це біда((
І це майже скрізь. На жаль, мати свого, ще й гарного, адміна - задоволення не з дешевих. Тому навіть OpenVPN підняти на сервері чи роутері - це виключення, а не практика.
@@moya-sprava-admin є ще одна крайність - vpn піднято.
Але це PPTP ...
Блииин! очень интересно и актуально, но ТАК МНОГО ВОДЫ и отступлений от темы!!!! и не надо повторять одно и тоже по 5 раз! Краткость сестра сами знаете...
Из 40 мин. ролика 15 мин. вступления!
афтар пеши есчо. почему ты считаешь что микротик с дефолтными настройками хуже асуса, по-моему одно и тоже получается но у микротика остается гипотетическая возможность заюзать дополнительные возможности, ну хотя бы банально метрику маршрута указать чего нельзя сделать например на зюхелях
99.9% не знают что такое метрика и не могут ее менять. А для вас, знающих про метрику как раз и предназначен микротик. :) Самый большой минус микротов для обычных пользователей - это вайфай. У микротов он просто полностью отстойный. Если вы хоть раз попользуетесь асусом/тплинком на броадкоме с включенным beamforming, я думаю вы прозреете.
Мне не очень понятно, у машины 32-64 мб памяти. Может это не совсем то что нужно и стоит посмотреть на более старшие модели?
На самом деле не очень согласен. Ну вот например. Есть выбор, между темже hAP 941-2nd темже или самым дешевым тп-линк. Мне вот кажется что микротик лучше.
По моему опыту, через квик сет работает отлично, память почти не ест, в качестве базовых потребностей, вафля, интернет, игрушки. До этого был роутер tenda, минимум настроек, работает, но. Был плохенький кабель, о чем не знал, заменил на микротик 951Ui-2HnD, просто увидел у когото в обзоре, что есть вот такая модель и она работает и в принципе можно взять такуюже. С вафлей все ок, при том на максимум не жарила из коробки, по дефолту. С хреновым кабелем отлично работал, без разрывов. Хотя железно он мне не особо подходил, 128 мб, usb, poe, прочее, в этом у меня нет необходимости, хотя были кое какие мысли. Все хотел разобраться, покурить мануалы как оно что и к чему, чтобы ну немного понимать в сетях, знать чем пользуюсь. Так руки и не дошли в общем, не суть.
Сейчас выбирал роутер, для небольшой комнаты, чисто интернет и вайфай, ничего более. Посмотрел на tp-link, дешевый, увидел его в местном магазине, 800гривен, хах, почитал отзывы, понял, лажа, не работает каждый день виснет, именно 14 версия. Потом подумал, былже у меня микротик, вдруг есть у них простые решения. И вправду. За туже цену хап лайт. Заказал, жду, что оно, очень уж интересно. По диаграме от производителя тоже самое, только без вышеперечисленного вроде usb, poe и тд. Да и ни один роутер в подобном диапазоне цены не предложит полноценную систему как и на больших собратьях. При том у любого производителя старшое решение это урод с кучей рог, а тут приятный белый кирпич, тупо стандартный корпус, угадать что внутри можно по маркировке которую легко разшифровать. Ну в общем за то микротик и любят. Что система одна, а возмодности ограничены только железом. Чем и бесят все эти дешманские роутеры где из настроек ssid и пароль и все.
Лучше бы показали как с Вашей точки зрения, правильно настроить Микротик для "обычного пользователя" с нуля
Вы видимо не слушали, что я рассказывал. У микротика нет волшебной таблетки и нет правильных настроек. Это конструктор, испытательный стенд. Его собирают под конкретные условия. Базовая настройка со страницы быстрой настройки - это оптимально с 0. Вы получите функционал роутера за 10 долларов и гордую надпись "микротик".
@@moya-sprava-admin функционал роутера за 10 долларов, гордую надпись "микротик", и вагон дополнительных возможностей которых нет ни у одного асуса. это можно сравнить с микрософт вордом, каждый используется всего 10% от функционала но у каждого эти 10% разные Ж)
@@theurs2 вы правильно все говорите, кроме одного: как в Ворде, так и в микротике эти ваши 10% нужны 1% пользователей. И ещё меньше умеют ими пользоваться. Мне приходится настраивать микротики после горе админов, не говоря уже про простых пользователей. Простой пример: вы знаете сколько настроек надо поменять в микротике, чтобы банально его "ввести" руками в сеть 192.168.0.0/24? Конечно, квиксетап сделает это сам, там делов то один адрес прописать. Но часто есть обратная ситуация. Роутер уже настроен, в нем прописаны дополнительные настройки. И тут приходит понимание, что по определённым причинам надо поменять сеть работы. Все. Подавляющее большинство "админов" либо это не сделают корректно, либо вообще не имеют представления куда смотреть. Вот вам и уровень универсальности не на словах, а на деле.
@@moya-sprava-admin сколько настроек надо менять? при дефолтном конфиге надо будет поменять адрес на бридже и пул адресов dhcp. вроде ничего больше/ а если вам это надо для разруливания конфликта адресов с другими сетями то можно вообще не менять ничего а использовать netmap, это тоже пара строк в конфиге
Возник вопрос за что мы платим деньги провайдерам если они не могут защитить от атак ? Или они тупо забили на безопасность клиентов и тупо собирают деньги? Молодцы конечно.
Большинство провайдеров либо не защищают клиентов без особого договора, либо вообще не защищают, пока и каналы не лежат от ddos
@@moya-sprava-admin забили на все я понял
Ну так а какой роутер нужен обычному пользователю? Почему такой гемор с выбором этого долбанного роутера?! ТВ-4к-андроид, тройка телефонов, два тв/бокса, 100мбт. .
Какоооой???
Для 4к каналов надо стабильно 30 Мбит на канал и всплески до 50 Мбит. 2 тюнера вынесут 100 Мбит на ура, только гигабит, хорошая медь и низкий пинг до провайдера айпитиви/отт. Для 4к не достаточно хорошего роутера. Надо ещё и исп с низким и стабильным пингом. Я в таких случаях ставлю 750gr3, его дури хватает разрулить 3-4 телека без напряга, но приходится с очередями играться. А вайфай отдельно. Но все равно затык с исп, они не обеспечивают обычно плавности на скачках в 200-300 мбит, ищите и да обрящите и очень важно: на любых обертках типа рррое, рртр, л2тп накладные расходы до 25% больше за счёт деления пакетов, учтите это.
Абсолютно согласен с автором. Микротики - это узкоспециализированная штука. Для дома оно не подходит. Для качественной раздачи вайфая не подходит. Много народу любит шильдики мол "а я использую микротик" Создали себе миф и легенду. В свое время вышла модель "MikroTik RB4011iGS+5HacQ2HnD-IN" решил домой взять покрутить-посмотреть. Неделю с ним игрался и в конечном счете сдал в магазин. Разобрался с ним за вечер. Благо в нете инфы навалом. Какие выводы. Грелся этот девайс как сковорода. Можно было использовать в качестве зимнего обогревателя. Руку на нем не удержал бы, можно обжечься. Вайфай работал наиотвратительно. Связь то была то пропадала. То интерфейс вообще отвалилвался. С техникой эпл вообще не захотело работать. Как итог... в магазин вернул. До того больше 10-ти лет пользовал нетгир. Настроил и забыл. За 10 лет перегружал его несколько раз. Сейчас пользую роутер синолоджи и так же, больше полугода уже работает без перезагрузки. Висят на нем и видеонаблюдение и нас и домашние компы с телефонами. Плюс опен впн. Скорость при заявленном гигабите от провайдера выдает реальные 890 гигабит (lan). По радио около 300. настраивается наипростейшим способом. Динамическая защита отлично срабатывает отсекая всяких ушлепков.
У netgear все классно, кроме поддержки. Нету ее у нас :) как и у синолоджи.
Я вот что то не понимаю, чем микротик самому автору видео дорогу пересек что он его так обсирает? Тем что вы не смогли его настроить в свое время? Так это только ваши проблемы но ни как не повод чтобы выставлять данный маршрутизатор в дурном свете так как в свое время у меня так же бывали сложности с настройкой, однако, я не стал обсирать данный маршрутизатор а лишь более серьезней стал просматривать мануалы по данному устройству. Потом, все маршрутизаторы с WiFi интерфейсом(в простонародье именуемые роутерами) имеют свои достоинства и недостатки, взять к примеру кенетик от компании Zyxel- сталкивался с такими проблемами что далее не куда. А проблема собственно кралась в прошивке как в дальнейшем удалось выяснить: В линуксе не надейтесь что у вас компьютер будет иметь возможность выхода в интернет по проводному соединению, такого не светит(я в свое время уйму форумов перелопатил, думал что глюки в системе пока не вышли обновления и с ними, собственно, и сами проблемы с проводным интернет соединением, уже, даже при использовании в качестве машины компьютер с Windows на борту(при чем, в случае обновления, в случае выключения данного маршрутизатора отваливалась сетка и для восстановления работоспособности требовалось сбрасывать все настройки по дефолту и вводить их заново)). И, стоит заметить, разработчики из техподдержки данную проблему так еще и не смогли решить.
Ещё раз: у меня микрот и дома и на работе. И у меня работает. Но каждый день меня достают как горе админы, так и пользователи, которым горе админы посоветовали/настроили микрот. Поэтому моя позиция неизменна: микрот - хорошо, но не для всех.
Микротик нелья сравнивать с асус. Микрот умеет много чего и очень прост в настройке.
5:10 *ну хорошо, так речь о dos или ddos? по-большему ты говоришь о ddos - укажи, что это решается на уровне магистралей и самих провайдеров. т.е. ты врешь снова, что это решится на вашем уровне.*
8:30 *у микротиков есть консольные порты.*
пока ты решаешь fail2ban - а зачем вообще что то считать, если можно не обрабатывать? а от ддоса ничего не спасет.
PS работайте по белым листам.
Вы слишком однобоко смотрите и на проблемы и на их решение. Есть разные задачи и разное их решение. Есть ддос, который фильтруется через исп, а есть подбор паролей на рдп портах, например. И современные ботсети вполне справляются с блокировками, отваливаются по щелчку и запускаются так же. И это не проблема для канала, это проблема для безопасности сервака.
- что это решается на уровне магистралей и самих провайдеров - угу, решается. У нас 4 дня "решалось", работа компании была практически парализована, каналы забиты, сервисы в дауне...