Проблема ближнего радиуса
HTML-код
- Опубликовано: 9 фев 2025
- Работай с Романом: mkrtk.ru/p
Целью данного доклада является анализ и обсуждение проблем безопасности на канальном уровне в программном обеспечении MikroTik RouterOS, а также повышение осведомленности о важности правильной настройки фаервола и безопасности сети в целом.
Основные аспекты:
Рассмотрение типичных ошибок в настройках безопасности RouterOS, которые могут привести к несанкционированному доступу.
Влияние отсутствия проработанных официальных рекомендаций от MikroTik на безопасность инфраструктуры.
Тезисы доклада:
1. Разбор неочевидных настроек безопасности MikroTik RouterOS и их влияние на уязвимости в сети.
2. Кейс-стади о получении удаленного доступа через брешь в реализации протоколов и подключении к сетям, в том числе, управляемым через CAPsMAN.
3. Представление методов укрепления защиты на примере конфигурации RouterOS.
Инструменты и методики:
Применение настроек RouterOS для демонстрации потенциальных угроз, методов вторжения в сеть и противодействия вторжению.
Демонстрация использования инструментов и приемов для усиления безопасности сетей, работающих на MikroTik RouterOS. 
Наука
Николай, спасибо за контент!!!
Для кого-то новость, а для кого-то не очень. Но всё же ваш подход верен, и отлично, что показали его.
интересно было
этот ман как обычно водички налил в эмоциональном русле и был таков
Все грамотно
Всегда с интересом смотрю видосики на канале. Не хватает форума, чтобы иногда позадовать глупые вопросы. Например, что нужно делать во внутренней сети, чтобы роутер блокировал весь веб-траффик, включая доступ к собственной веб-морде?
ТГ канал есть.
/ip firewall filter add chain=output src-address=192.168.0.0/16 dst-address=!192.168.0.0/16 dst-port=80,443 protocol=tcp action=drop
Или какие у Вас сети локальные
/ip service set www disabled
/ip service set www-ssl disabled
Веб морду закрыли. Если нужно открыть, но только с определенного адреса, например, то сервис включаем, но делаем правило chain=input src-address=! dst-address= protocol=tcp action=drop dst-port=80 (или какой поставите нестандартный)
Добрый день, при попытке поменять в capsman managerе интерфейс с all на bridge например система выдает ошибку "couldn't change caps manager interface - not allowed to change preset properties (6)" и как же быть в этом случае? (в дефолтной конфе тоже не дает, при выключенном capsman контроллере ). заранее благодарен за ответ!
Насколько указание конкрентного ip-адреса для доступа к winbox (из ЛВС) помогает защитить от взлома?
Esli gororit' pro dostup po MAC_Winbox - to nikak ne vliyaet, nichego ne izmenitsya
Почему правила по honeypot в таблице raw , а не в firewall ?
Чем раньше убит пакет, тем меньше ушло ресурсов и тем меньший путь он проделал в системе. Смотрим флоу по микроту и думаем.
У меня не получаетса изменить интерфейс CAPsMan на другой, кроме all. При изменении выскакивает ошибка : Couldn't change CAPs Manager Snterface .... - not allowed to change preset properties. Как вы это решаете?
ты меняешь на CAPsMAN 1, а он говорил про CAPsMAN 2
@@MikhailGudzenko 14:33 Николай говорил, что в новом CAPsMan этот параметр вынесен явно, а в старом нужно заходить в "секретное" меню. Об этом меню я знаю давно, но поменять там я ничего не могу.
@@bogdan-nike
Там как-то хитренько делается. Попробуй сначала добавить нужный интерфейс с нужным разрешением, потом поднять его наверх. И потом отключить all.
Плюс микрота - много настроек . Минус микрота - много настроек. ipsec старейший и очень стабильный корпоративный проткол, но "сломать" его теперь может любая мартышка.
у меня еще допом стоят правила, отправляю 3 пинга с разным количеством байтов(не скажу какими :) ) и мой ip добавляется в whitelist, там 3 стадии. допустим первый пинг 100 байт, потом 500, потом 1000, и после этого я в белом листе
это на случай если я вхожу не из дома или офиса и без впн
порткнокинг , это очень полезная функция на микротиках. Я ей, в том числе, некоторые не публичные веб сервера прикрываю - правда стучатся через браузер один раз на нестандартный порт и потом заходят на ресурс. На андройд есть приложение на маркете Knock on Ports - бесплатное и с хорошими возможностями, а на гитхабе исходники для проверки - если "пасти" больше одного микрота, то очень выручает -).
ну это ж один из видов port knocking-a
@@AntaresI1024так он и есть.
Сбрутить пару логин/пароль если из задавал б/м нормальный человек? Ну успеха, чё.
много воды очень долго
протерпел 19 минут. мужики. е-мое. если проблемы от рукожопия, то они везде есть и будут пока народ берется что-то делать не разбираясь в проблеме. линукс говно потому, что не настроен и т.п. какие порты закрыть? о чем вопрос. вопрос - какие порты открыть. учите матчасть. у кого уже есть опыт тот уже по интерфейсу поймет +- что и где делать хотя бы в плане файрвола. на сайте микротика есть прямо гайд как его секурить в начале. это все не "проблема ближнего радиуса". это проблема ленивых/глупых/тупых админов. не знаешь - гугли. не стыдно не знать, стыдно не учиться.
Херня. Один из законов Мерфи гласит: Система надежность которой зависит от человека, ненадёжна по определению. Так было в Чернобыле и в Фукусиме. Хочешь жить рядом с АЭС в которой нет автоматизированных систем безопасности и всё зависит от людей? Всё должно быть настроен на максимум безопасности по-дефолту.