Защита Mikrotik от внешних угроз

Рет қаралды 101,361

4 жыл бұрын

Помогаем в Telegram: @MikTrain (t.me/miktrain)
====ОПИСАНИЕ ВЕБИНАРА====
Несмотря на то, что Mikrotik - это сильный инструмент для защиты сети, сам Mikrotik требует настройки, чтобы так же не оказаться взломанным.
На вебинаре мы разберем:
- Почему не хватает firewall для защиты mikrotik.
- Почему не хватает защиты в /ip services.
- Как использовать службу neighbor.
- Как использовать tool mac server.
- Общие рекомендации по защите.
- Почему у нас не взломали ни одного роутера.
- Как и когда правильно обновлять.
Знания полученные на вебинаре помогут надежно защитить Ваш Mikrotik от сетевых атак, которые нередко направлены именно на маршрутизаторы.
Консультации и помощь по MikroTik в нашем Telegram-канале: t.me/miktrain.
#Mikrotiik, #RomanKozlov, #Firewall, #IPServices, #Neighbor, #ToolMacServer

Пікірлер: 82

@viecheslavp4392 7 ай бұрын

Благодарю за вебинар, просто получаю удовольствие от просмотра! Всех благ, успехов! :)

@alexwm547 4 жыл бұрын

начало с 07:30

@Blagovid 2 жыл бұрын

Здравствуйте Роман, очень интересует тематика Микротик, но.. уже не первый раз сталкиваюсь с вашими вебинарами, даже подписан, но в определенные моменты чувствую себя абсолютным нулем, первоклассником на уроке высшей математики. Понимаю что для многих ваших подписчиков моя просьба вызовет насмешки или даже раздражение, но ведь как и в вождении автомобиля, у каждого бывает стадия базового обучения и первый выезд на проезжую часть, раздражающий проезжающих мимо опытных водителей. Есть ли возможность создать плейлист для людей, кто впервые взял в руки Микротик и постепенно осветить всё для начинающих. Все с самых основ. Думаю такой плейлист привлек бы очень много благодарных подписчиков. Спасибо за ответ.

@unionrus5458 4 жыл бұрын

Роман, спасибо большое за ваши вебинары. Благодаря вам познакомился с Микротик, внедрил у себя. СПАСИБО!

@artemleonov2207 Ай бұрын

Спасибо большое, очень много полезной информации, несмотря на отсутствие Микротика в своем окружении.

@ne_fakechestno8685 3 жыл бұрын

Роман, спасибо Вам огромное за видеоролики! Очень полезные понятные объяснения! Здесь вы говорили что даже до появления уязвимостей, вы не доверяли винбоксу. Упомянули интерфейс-листы. Что за интерфейс-листы, как это работает, не подскажете? Это же не через веб-интерфейс?

@user-ns8se8ui4p 3 жыл бұрын

Мощный видос! Спасибо! Рекомендую к просмотру))

@mazur_vg 3 жыл бұрын

Согласен со многими комментаторами. Благодаря Вам, я познакомился с mikrotik и научился его настраивать. Это лучшая железка! Столько всего интересного! А ваши видео очень информативные. Пересматриваю их по нескольку раз и каждый раз с новыми знаниями нахожу для себя опять что-то новое!!!

@user-di3uo8bb2w 4 жыл бұрын

Роман, спасибо за видео. Очень ждал ответа, как распознать зараженный Микротик. Кроме Script list.

@baxterhunter 4 жыл бұрын

4:09 какой программой и какой скрипт выполняется, что бы смотреть пароль на Микротик? На какие открытые порты он должен смотреть? Роман, спасибо за вэбинары, очень грамотно объясняете.

@user-lv9vz4cr6m 4 жыл бұрын

Коллеги, добрый день! А где можно получить презентацию?

@user-hq7sp1kn8x 4 жыл бұрын

После правила разрешающего established,related почему-то не срабатывает цепочка ICMP и последующий дроп

@hristopopov4724 4 жыл бұрын

Drop udp 53 in raw section is better ! The portknock to add ip addresses in withlist to use allowed services is better too :)

@Rom4ik.LUHOVKIN 6 ай бұрын

Я уже увидел, вас… Вы не только обьесняите как все работает но вы проверяете всех кто вас смотрит))))!!!!! Хитро!!!!

@4y6puk1 4 жыл бұрын

какими командами попасть в production mode в антенне LTE6 ?

@karensevantsyan1706 2 жыл бұрын

Растолкуйте плиз: 30:05 вы сказали, что IP Cloud виден за NAT. С точностью как и вы настраиваете - настроил свой микротик (со своим конечно DNS name). Но он у меня пишет "Router is behind a NAT". Где не досмотрел?

@user-bd9ih5bq3e 4 жыл бұрын

Добрый день, а как попасть в чат телеграмм ?

@afromouse9811 5 ай бұрын

Поставил недавно микротик. По 3-4 долбежбки в день) Первым делом учетку admin рубанул. Спасибо за видео. Буду править еще у себя.

@SWS-LINK 3 жыл бұрын

Отличная подача материала. Мине понравилось ---) Микротик чем то напоминает винроут 20 летней давности, но обросший просто потрясающим функционалом. Подпишусь на Вас, много полезного.

@therealman_tm 4 жыл бұрын

Почему он не настроил цепочку forward?

@user-xf2mo5fu6k 3 жыл бұрын

Здравствуйте подскажите пожалуйста у меня микротик 941 после грозы перестал раздавать интернет

@user-xm1tz8zg5b 4 жыл бұрын

50:20 DDoS нет от неё защиты непосредственно на Вашем роутере, так как пакет уже прилетел к Вам на интерфейс и роутеру, а точнее его cpu надо его обработать дроп не дроп не важно, ресурсы cpu на это будут потрачены, эта и есть отказ в обслуживании, то есть забить в полку cpu оборудования. От DDoS защищаются с помощью выше стоящего провайдера, но это уже другая история.

@Odin.kirill Жыл бұрын

Окей берём 20-ядерный Зион, 128гб ОЗУ и 120ссд, покупаем лицензию роутер ос, накатываем на этот комп её и настраиваем все файрвольные правила 😁😁

@alibaster_odessa 5 ай бұрын

@@Odin.kirillтогда ляжет канал связи и перестанут проходить полезные данные среди лишних пакетов до того как завязнет железка... Или вы к нему подключили несколько раздельных каналов по 10гигабит и забыли об этом упомянуть?)

@negmatabdull639 3 жыл бұрын

Как перенаправит порты с айпис одного на другой

@properlo 4 жыл бұрын

Большинство не обновляет роутеры потому тестил уязвимость паролей и нарыл за пол дня около 300 роутеров в соседних странах. Пол дня только потому что диапазон поиска очень большой взял. Делай с ними что хош. Потестил свою сеть пока дырок не нашел. Но год назад ситуация была куда плачевнее. Причем чтоб поиметь пару тысяч устройств надо было всего лишь еще пол дня тщательного поиска нужных инструментов.

@kcolin 3 ай бұрын

Сделал по вашему примеру, и проблема такая, что первый пинг идет через ICMP. после первого остальные идут по input ACCEPT established,related и не ограничиваются в 1 пакет в секунду.

@kcolin 3 ай бұрын

не важно выше или ниже input ACCEPT established,related. добавил дроп icmp сразу после правила с лимитом. теперь заработало

@user-so7mq1st7i Жыл бұрын

8:50 - 9:45 Несколько раз перемотал и переслушал но так и не понял что имеет приоритет - Available from: в IP Service List или разрешающее вход правило в Firewall Filter?

@MikrotikTraining Жыл бұрын

Сначала firewall, потом ip services. Firewall более производительный и работает на 3 и 4 уровне osi. Ip service - это настройка службы - работает на 7м уровне и менее безопасна. Так же теоретически в настройках ip service могут быть zero day.

@user-so7mq1st7i Жыл бұрын

@@MikrotikTraining Спасибо Роман. Да я конечно не знаком с уровнями OSI что уж там кривить душой) и наверное по этому иногда пытаюсь сравнивать "мягкое с теплым", но по экспериментировав с Available from: в IP Service и Address list "Admin" в Firewall, я пришел к мнению что в моем обывательском понимании приоритет все же имеет Available from в IP Service. Если я в IP Service ставлю разрешение на вход только с одного локального адреса, то не важно какие адреса у меня разрешены на вход в Firewall по адрес листу Admin - я все равно смогу зайти только с того что указал в Available from в IP Service! Ну а если в Available from в IP Service оставить поле пустым, то я могу зайти по любому из адресов в Адрес-листе Админ по правилу в Фаерволе, В связи с этим Ваш ответ "Сначала firewall, потом ip services" вводит меня в тупик. Как так то?

@makstex 4 жыл бұрын

Я для себя ещё оставляю секретную дверь - пингануть роутер определённым размером пакетов (к примеру 70, 80, пару по 90 байт), после чего мой IP попадает в white-list, которому разрешено всё. Естественно white-list первым правилом разрешается, сразу за ним icmp.

@YDenV 4 жыл бұрын

плиз неучу поясните как сделать пинг как Вы описали. благодарю

@player-fm6ud 4 жыл бұрын

@@YDenV add action=drop chain=input dst-address=192.168.100.1 dst-port=80 in-interface=bridge1 protocol=tcp src-address=192.168.100.0/24 src-address-list=!WIN add action=jump chain=input dst-address=192.168.100.1 in-interface=bridge1 jump-target=KnockKnockKnock protocol=icmp src-address=192.168.100.0/24 add action=add-src-to-address-list address-list=Gate1 address-list-timeout=10s chain=KnockKnockKnock dst-address=192.168.100.1 in-interface=bridge1 log=yes \ packet-size=329 protocol=icmp src-address=192.168.100.0/24 add action=add-src-to-address-list address-list=Gate2 address-list-timeout=10s chain=KnockKnockKnock dst-address=192.168.100.1 in-interface=bridge1 log=yes \ log-prefix=KNOCK packet-size=429 protocol=icmp src-address=192.168.100.0/24 src-address-list=Gate1 add action=add-src-to-address-list address-list=WIN chain=KnockKnockKnock dst-address=192.168.100.1 in-interface=bridge1 log=yes log-prefix=KNOCK2 \ packet-size=529 protocol=icmp src-address=192.168.100.0/24 src-address-list=Gate2 add action=return chain=KnockKnockKnock из первой ссылки гугла;)

@player-fm6ud 4 жыл бұрын

@@YDenV Блокируем все поползновения на веб-морду с нашей подсети кроме тех хостов, кто содержится в списке WIN. Все ICMP из нашей подсети перекидываем на цепочку KnockKnockKnock. Если пришёл ICMP-пакет размером 329 на bridge1, то помечаем хост отправитель в список Gate1 на 10 секунд. Если пришёл ICMP-пакет размером 429 на bridge1 и хост-отправитель содержится в списке Gate1, то помечаем хост отправитель в список Gate2 на 10 секунд. Если пришёл ICMP-пакет размером 529 на bridge1 и хост-отправитель содержится в списке Gate2, то помечаем хост отправитель в список WIN на 10 секунд. Возвращаемся из цепочки KnockKnockKnock (в INPUT)

@YDenV 4 жыл бұрын

@@player-fm6ud сенк

@properlo 4 жыл бұрын

Спасибо за пример

@Nataliia.Yurovska 4 жыл бұрын

А можно презентацию? :-)

@rostdev8523 4 жыл бұрын

в конце видео ссылка

@Ixxtiander 3 жыл бұрын

@@rostdev8523 нет там ссылки

@benv1 4 жыл бұрын

10:27 оговорка? Хранят же хеш, а не пароли. 12:26 где посмотреть на сайте в описании, что прошивка уязвимая?

@andreymikhaylov141 4 жыл бұрын

1. К сожалению нет, хранили именно пароли в открытом виде. С 6.45 пароли хранятся в зашифрованном виде. 2. Наверняка хз, но как вариант читать ченджлоги для выходящих обновок, там пишут какие уязвимости закрываются.

@side-watcher 4 жыл бұрын

Вряд-ли они в курсе всех уязвимостей чтоб об них писать и закрывать, так что лучший вариант - закрывать любые порты управления от левых адресов, открывая только себе и другим админам.

@vsyes1984 4 жыл бұрын

@@andreymikhaylov141 реально 6.45??? Она же даже не в лонгтерме!? Сейчас последняя 6.44.6

@andreymikhaylov141 4 жыл бұрын

@@vsyes1984 Если быть совсем точным, то 6.45.1. Посмотри ченджлог mikrotik.com/download/changelogs

@yaroslav103 4 жыл бұрын

а что делать если отключил случайно все сервисы ?

@capmatuk 4 жыл бұрын

По маку заходить

@foxyashkin 3 жыл бұрын

41:15 - Судя по слайду правило нужно 8:0, а делаете 0:8.

@alexfoxberry3681 4 жыл бұрын

У меня Mac OS, без проблем получится настроить Mikrotik?

@jablochniy7550 4 жыл бұрын

ставишь wine, и через wine открываешь винбокс, ну или через телнет или ссш))

@alexmint9540 4 жыл бұрын

jablochniyvorishka можно же еще через web настроить?

@jablochniy7550 4 жыл бұрын

@@alexmint9540 web очень кривая, можно и через телефон (IOS, Android)

@chadovdy 2 жыл бұрын

чем плохи настройки огненной стены "по умолчанию" ?

@bouzilla941 2 жыл бұрын

На момент создания видео или на данный момент? Сейчас он более менее вроде

@chadovdy 2 жыл бұрын

@@bouzilla941 да, я про нынешние настройки по умолчанию.

@dkartashoff 4 жыл бұрын

Включенный MNDP покажет соседей в сети провайдера. Окей. А провайдер должен изолировать соседей?

@ZakroyGlaza Жыл бұрын

На семерку .. обновляться страшно чота.... Хотя был успешный опыт с заводской тройки на 4.4..*.. Опасаюсь так скать К тому же.. обновлять надо GW.

@MikrotikTraining Жыл бұрын

Мы пока в основном работаем на ros6. Главная проблема - при обновлении можно потерять роутер. Ну и самое безопасное и качественное - обновление через netinstall и последующая настройка через export/руки

@starikoff72 3 жыл бұрын

создаем аддресс-лист, заталкиваем туда нужные интерфейсы, обозначаем этот лист для дискавери и маквинбокс/мактелнет. Вуаля, закрылись по L2.

@starikoff72 3 жыл бұрын

Сорян, не досмотрел) Просто это я делаю одним из первых действий

@MrShamshudinov 8 ай бұрын

Здравствуйте, а можно поподробнее?

@starikoff72 7 ай бұрын

@@MrShamshudinov /interface/list/ add name=MACServer member/add list=MACServer interface=bridge /tool/mac-server set allowed-interface-list=MACServer mac-winbox/set allowed-interface-list=MACServer

@player-fm6ud 4 жыл бұрын

Лайк перед просмотром)

@icipher6730 4 жыл бұрын

Всё хорошо, но не могу не докопаться до ерундовой мелочи.) Аббревиатура API не как "апи" произносится, а как eh-pee-eye.

@arsen-video 3 жыл бұрын

Три четверти универа говорит "апи". Таких как ты - где-то четверть...

@1083511 6 ай бұрын

Взломы по всему миру а ценик не снижают

@sirokuza Жыл бұрын

всегда юзал веб морду лисички и alt linux

@timurahmedov514 4 жыл бұрын

С торентами луче не бороться, а использовать qos , все полезное в приоритете, не полезное в в минимум. Ни чего нового

@prezid9586 4 жыл бұрын

А как отсеять все полезное? Особенно после какого-нибудь проксика.

@Pu7icat 5 ай бұрын

точно никто не взламывал микротики? и точно,что только из за не правилтных настроек? CVE-2019-3977 CVE-2018-7445 CVE-2018-14847 можно продолжать и продолжать )))

@user-xm1tz8zg5b 4 жыл бұрын

42.44 "правило джамп будет проверять только icmp пакеты" круто. Это правило будет проверять все пакеты (ты icmp ты не icmp) и только icmp заворачивать в свою цепочку. Не вводите людей в заблуждение, тем более Вы ведете курсы за деньги.

@Jora1x 3 жыл бұрын

Вложенная цепочка должна проигнорить проверку, а так без джампа, вся цепочка будет проверять.

@Rom4ik.LUHOVKIN 6 ай бұрын

Я ваше видео включил мой аккаунт перезагрузился походу вы смотрите все аккаунты, благодарю вас, буду держать защиту от вас!!!!

@user-zs8vl6fp6q 2 жыл бұрын

Дырявый микрот с ботнетами

@dekanol022 2 жыл бұрын

какая красивая лапша, жаль настройки только сложные и ,,, поэтапные,,, длинные и тупые,,

@zl0y 3 жыл бұрын

я сейчас на 4:41 и я понимаю что выступающий включил понты и начинается "писькомер"! Вот смотрите какие у меня скрипты, сейчас будем ломать самый слабый роутер, да я да я! И думаю а по факту интересно как и что можно протюнить чтобы было более безопасно тем более когда у тебя белый ip!

@Jora1x 3 жыл бұрын

А когда досмотрел дальше, вывод поменял?