Защита Mikrotik от внешних угроз

Рет қаралды 107,584

Күн бұрын

Пікірлер

@Blagovid 3 жыл бұрын

Здравствуйте Роман, очень интересует тематика Микротик, но.. уже не первый раз сталкиваюсь с вашими вебинарами, даже подписан, но в определенные моменты чувствую себя абсолютным нулем, первоклассником на уроке высшей математики. Понимаю что для многих ваших подписчиков моя просьба вызовет насмешки или даже раздражение, но ведь как и в вождении автомобиля, у каждого бывает стадия базового обучения и первый выезд на проезжую часть, раздражающий проезжающих мимо опытных водителей. Есть ли возможность создать плейлист для людей, кто впервые взял в руки Микротик и постепенно осветить всё для начинающих. Все с самых основ. Думаю такой плейлист привлек бы очень много благодарных подписчиков. Спасибо за ответ.

@viecheslavp4392 Жыл бұрын

Благодарю за вебинар, просто получаю удовольствие от просмотра! Всех благ, успехов! :)

@unionrus5458 4 жыл бұрын

Роман, спасибо большое за ваши вебинары. Благодаря вам познакомился с Микротик, внедрил у себя. СПАСИБО!

@alexwm547 5 жыл бұрын

начало с 07:30

@karensevantsyan1706 3 жыл бұрын

Растолкуйте плиз: 30:05 вы сказали, что IP Cloud виден за NAT. С точностью как и вы настраиваете - настроил свой микротик (со своим конечно DNS name). Но он у меня пишет "Router is behind a NAT". Где не досмотрел?

@baxterhunter 4 жыл бұрын

4:09 какой программой и какой скрипт выполняется, что бы смотреть пароль на Микротик? На какие открытые порты он должен смотреть? Роман, спасибо за вэбинары, очень грамотно объясняете.

@ЛатрПуканов 4 жыл бұрын

После правила разрешающего established,related почему-то не срабатывает цепочка ICMP и последующий дроп

@mazur_vg 4 жыл бұрын

Согласен со многими комментаторами. Благодаря Вам, я познакомился с mikrotik и научился его настраивать. Это лучшая железка! Столько всего интересного! А ваши видео очень информативные. Пересматриваю их по нескольку раз и каждый раз с новыми знаниями нахожу для себя опять что-то новое!!!

@Дмитрий90-и1б 4 жыл бұрын

Мощный видос! Спасибо! Рекомендую к просмотру))

@hristopopov4724 5 жыл бұрын

Drop udp 53 in raw section is better ! The portknock to add ip addresses in withlist to use allowed services is better too :)

@АндрейФил-я7ъ Жыл бұрын

8:50 - 9:45 Несколько раз перемотал и переслушал но так и не понял что имеет приоритет - Available from: в IP Service List или разрешающее вход правило в Firewall Filter?

@MikrotikTraining Жыл бұрын

Сначала firewall, потом ip services. Firewall более производительный и работает на 3 и 4 уровне osi. Ip service - это настройка службы - работает на 7м уровне и менее безопасна. Так же теоретически в настройках ip service могут быть zero day.

@АндрейФил-я7ъ Жыл бұрын

@@MikrotikTraining Спасибо Роман. Да я конечно не знаком с уровнями OSI что уж там кривить душой) и наверное по этому иногда пытаюсь сравнивать "мягкое с теплым", но по экспериментировав с Available from: в IP Service и Address list "Admin" в Firewall, я пришел к мнению что в моем обывательском понимании приоритет все же имеет Available from в IP Service. Если я в IP Service ставлю разрешение на вход только с одного локального адреса, то не важно какие адреса у меня разрешены на вход в Firewall по адрес листу Admin - я все равно смогу зайти только с того что указал в Available from в IP Service! Ну а если в Available from в IP Service оставить поле пустым, то я могу зайти по любому из адресов в Адрес-листе Админ по правилу в Фаерволе, В связи с этим Ваш ответ "Сначала firewall, потом ip services" вводит меня в тупик. Как так то?

@artemleonov2207 8 ай бұрын

Спасибо большое, очень много полезной информации, несмотря на отсутствие Микротика в своем окружении.

@АлександрАкимов-ц1д 5 жыл бұрын

Роман, спасибо за видео. Очень ждал ответа, как распознать зараженный Микротик. Кроме Script list.

@afromouse9811 Жыл бұрын

Поставил недавно микротик. По 3-4 долбежбки в день) Первым делом учетку admin рубанул. Спасибо за видео. Буду править еще у себя.

@Rom4ik.LUHOVKIN Жыл бұрын

Я уже увидел, вас… Вы не только обьесняите как все работает но вы проверяете всех кто вас смотрит))))!!!!! Хитро!!!!

@ne_fakechestno8685 4 жыл бұрын

Роман, спасибо Вам огромное за видеоролики! Очень полезные понятные объяснения! Здесь вы говорили что даже до появления уязвимостей, вы не доверяли винбоксу. Упомянули интерфейс-листы. Что за интерфейс-листы, как это работает, не подскажете? Это же не через веб-интерфейс?

@4y6puk1 4 жыл бұрын

какими командами попасть в production mode в антенне LTE6 ?

@kcolin 10 ай бұрын

Сделал по вашему примеру, и проблема такая, что первый пинг идет через ICMP. после первого остальные идут по input ACCEPT established,related и не ограничиваются в 1 пакет в секунду.

@kcolin 10 ай бұрын

не важно выше или ниже input ACCEPT established,related. добавил дроп icmp сразу после правила с лимитом. теперь заработало

@therealman_tm 5 жыл бұрын

Почему он не настроил цепочку forward?

@ВладимирХаритонов-в2ж 4 жыл бұрын

50:20 DDoS нет от неё защиты непосредственно на Вашем роутере, так как пакет уже прилетел к Вам на интерфейс и роутеру, а точнее его cpu надо его обработать дроп не дроп не важно, ресурсы cpu на это будут потрачены, эта и есть отказ в обслуживании, то есть забить в полку cpu оборудования. От DDoS защищаются с помощью выше стоящего провайдера, но это уже другая история.

@Odin.kirill Жыл бұрын

Окей берём 20-ядерный Зион, 128гб ОЗУ и 120ссд, покупаем лицензию роутер ос, накатываем на этот комп её и настраиваем все файрвольные правила 😁😁

@alibaster_odessa 11 ай бұрын

@@Odin.kirillтогда ляжет канал связи и перестанут проходить полезные данные среди лишних пакетов до того как завязнет железка... Или вы к нему подключили несколько раздельных каналов по 10гигабит и забыли об этом упомянуть?)

@АлександрСоболев-щ2н 4 жыл бұрын

Здравствуйте подскажите пожалуйста у меня микротик 941 после грозы перестал раздавать интернет

@properlo 5 жыл бұрын

Большинство не обновляет роутеры потому тестил уязвимость паролей и нарыл за пол дня около 300 роутеров в соседних странах. Пол дня только потому что диапазон поиска очень большой взял. Делай с ними что хош. Потестил свою сеть пока дырок не нашел. Но год назад ситуация была куда плачевнее. Причем чтоб поиметь пару тысяч устройств надо было всего лишь еще пол дня тщательного поиска нужных инструментов.

@SWS-LINK 3 жыл бұрын

Отличная подача материала. Мине понравилось ---) Микротик чем то напоминает винроут 20 летней давности, но обросший просто потрясающим функционалом. Подпишусь на Вас, много полезного.

@ДенисПетров-р7ш 5 жыл бұрын

Добрый день, а как попасть в чат телеграмм ?

@makstex 5 жыл бұрын

Я для себя ещё оставляю секретную дверь - пингануть роутер определённым размером пакетов (к примеру 70, 80, пару по 90 байт), после чего мой IP попадает в white-list, которому разрешено всё. Естественно white-list первым правилом разрешается, сразу за ним icmp.

@YDenV 5 жыл бұрын

плиз неучу поясните как сделать пинг как Вы описали. благодарю

@player-fm6ud 5 жыл бұрын

@@YDenV add action=drop chain=input dst-address=192.168.100.1 dst-port=80 in-interface=bridge1 protocol=tcp src-address=192.168.100.0/24 src-address-list=!WIN add action=jump chain=input dst-address=192.168.100.1 in-interface=bridge1 jump-target=KnockKnockKnock protocol=icmp src-address=192.168.100.0/24 add action=add-src-to-address-list address-list=Gate1 address-list-timeout=10s chain=KnockKnockKnock dst-address=192.168.100.1 in-interface=bridge1 log=yes \ packet-size=329 protocol=icmp src-address=192.168.100.0/24 add action=add-src-to-address-list address-list=Gate2 address-list-timeout=10s chain=KnockKnockKnock dst-address=192.168.100.1 in-interface=bridge1 log=yes \ log-prefix=KNOCK packet-size=429 protocol=icmp src-address=192.168.100.0/24 src-address-list=Gate1 add action=add-src-to-address-list address-list=WIN chain=KnockKnockKnock dst-address=192.168.100.1 in-interface=bridge1 log=yes log-prefix=KNOCK2 \ packet-size=529 protocol=icmp src-address=192.168.100.0/24 src-address-list=Gate2 add action=return chain=KnockKnockKnock из первой ссылки гугла;)

@player-fm6ud 5 жыл бұрын

@@YDenV Блокируем все поползновения на веб-морду с нашей подсети кроме тех хостов, кто содержится в списке WIN. Все ICMP из нашей подсети перекидываем на цепочку KnockKnockKnock. Если пришёл ICMP-пакет размером 329 на bridge1, то помечаем хост отправитель в список Gate1 на 10 секунд. Если пришёл ICMP-пакет размером 429 на bridge1 и хост-отправитель содержится в списке Gate1, то помечаем хост отправитель в список Gate2 на 10 секунд. Если пришёл ICMP-пакет размером 529 на bridge1 и хост-отправитель содержится в списке Gate2, то помечаем хост отправитель в список WIN на 10 секунд. Возвращаемся из цепочки KnockKnockKnock (в INPUT)

@YDenV 5 жыл бұрын

@@player-fm6ud сенк

@properlo 5 жыл бұрын

Спасибо за пример

@foxyashkin 4 жыл бұрын

41:15 - Судя по слайду правило нужно 8:0, а делаете 0:8.

@negmatabdull639 3 жыл бұрын

Как перенаправит порты с айпис одного на другой

@yaroslav103 5 жыл бұрын

а что делать если отключил случайно все сервисы ?

@capmatuk 5 жыл бұрын

По маку заходить

@valentin-d8t6u 5 ай бұрын

Лекция отличная, но прошу простить за 5 копеек, но звук завалите в районе 100гц, сильно бубнит у людей с хорошо передающий низ акустикой. Вы думаю сводили звук в обычные колоночки мелкие, где этой частоты и небыло. Вообще советую у всех лекций просто срезать все что ниже 100 а то и 150

@cheraboriyds 3 жыл бұрын

чем плохи настройки огненной стены "по умолчанию" ?

@bouzilla941 3 жыл бұрын

На момент создания видео или на данный момент? Сейчас он более менее вроде

@cheraboriyds 3 жыл бұрын

@@bouzilla941 да, я про нынешние настройки по умолчанию.

@benv1 5 жыл бұрын

10:27 оговорка? Хранят же хеш, а не пароли. 12:26 где посмотреть на сайте в описании, что прошивка уязвимая?

@andrey141-g2e 5 жыл бұрын

1. К сожалению нет, хранили именно пароли в открытом виде. С 6.45 пароли хранятся в зашифрованном виде. 2. Наверняка хз, но как вариант читать ченджлоги для выходящих обновок, там пишут какие уязвимости закрываются.

@side-watcher 5 жыл бұрын

Вряд-ли они в курсе всех уязвимостей чтоб об них писать и закрывать, так что лучший вариант - закрывать любые порты управления от левых адресов, открывая только себе и другим админам.

@vsyes1984 5 жыл бұрын

@@andrey141-g2e реально 6.45??? Она же даже не в лонгтерме!? Сейчас последняя 6.44.6

@andrey141-g2e 5 жыл бұрын

@@vsyes1984 Если быть совсем точным, то 6.45.1. Посмотри ченджлог mikrotik.com/download/changelogs

@Nataliia.Yurovska 5 жыл бұрын

А можно презентацию? :-)

@rostdev8523 4 жыл бұрын

в конце видео ссылка

@Ixxtiander 3 жыл бұрын

@@rostdev8523 нет там ссылки

@alexfoxberry3681 5 жыл бұрын

У меня Mac OS, без проблем получится настроить Mikrotik?

@jablochniy7550 5 жыл бұрын

ставишь wine, и через wine открываешь винбокс, ну или через телнет или ссш))

@alexmint9540 5 жыл бұрын

jablochniyvorishka можно же еще через web настроить?

@jablochniy7550 5 жыл бұрын

@@alexmint9540 web очень кривая, можно и через телефон (IOS, Android)

@ZakroyGlaza 2 жыл бұрын

На семерку .. обновляться страшно чота.... Хотя был успешный опыт с заводской тройки на 4.4..*.. Опасаюсь так скать К тому же.. обновлять надо GW.

@MikrotikTraining 2 жыл бұрын

Мы пока в основном работаем на ros6. Главная проблема - при обновлении можно потерять роутер. Ну и самое безопасное и качественное - обновление через netinstall и последующая настройка через export/руки

@starikoff72 4 жыл бұрын

создаем аддресс-лист, заталкиваем туда нужные интерфейсы, обозначаем этот лист для дискавери и маквинбокс/мактелнет. Вуаля, закрылись по L2.

@starikoff72 4 жыл бұрын

Сорян, не досмотрел) Просто это я делаю одним из первых действий

@MrShamshudinov Жыл бұрын

Здравствуйте, а можно поподробнее?

@starikoff72 Жыл бұрын

@@MrShamshudinov /interface/list/ add name=MACServer member/add list=MACServer interface=bridge /tool/mac-server set allowed-interface-list=MACServer mac-winbox/set allowed-interface-list=MACServer

@dkartashoff 4 жыл бұрын

Включенный MNDP покажет соседей в сети провайдера. Окей. А провайдер должен изолировать соседей?

@icipher6730 5 жыл бұрын

Всё хорошо, но не могу не докопаться до ерундовой мелочи.) Аббревиатура API не как "апи" произносится, а как eh-pee-eye.

@arsen-video 4 жыл бұрын

Три четверти универа говорит "апи". Таких как ты - где-то четверть...

@timurahmedov514 5 жыл бұрын

С торентами луче не бороться, а использовать qos , все полезное в приоритете, не полезное в в минимум. Ни чего нового

@prezid9586 4 жыл бұрын

А как отсеять все полезное? Особенно после какого-нибудь проксика.

@1083511 Жыл бұрын

Взломы по всему миру а ценик не снижают

@Pu7icat Жыл бұрын

точно никто не взламывал микротики? и точно,что только из за не правилтных настроек? CVE-2019-3977 CVE-2018-7445 CVE-2018-14847 можно продолжать и продолжать )))

@ВладимирХаритонов-в2ж 4 жыл бұрын

42.44 "правило джамп будет проверять только icmp пакеты" круто. Это правило будет проверять все пакеты (ты icmp ты не icmp) и только icmp заворачивать в свою цепочку. Не вводите людей в заблуждение, тем более Вы ведете курсы за деньги.

@Jora1x 4 жыл бұрын

Вложенная цепочка должна проигнорить проверку, а так без джампа, вся цепочка будет проверять.

@sirokuza 2 жыл бұрын

всегда юзал веб морду лисички и alt linux

@Rom4ik.LUHOVKIN Жыл бұрын

Я ваше видео включил мой аккаунт перезагрузился походу вы смотрите все аккаунты, благодарю вас, буду держать защиту от вас!!!!

@player-fm6ud 5 жыл бұрын

Лайк перед просмотром)

@cubaichik 3 жыл бұрын

Дырявый микрот с ботнетами

@dekanol022 3 жыл бұрын

какая красивая лапша, жаль настройки только сложные и ,,, поэтапные,,, длинные и тупые,,

@zl0y 4 жыл бұрын

я сейчас на 4:41 и я понимаю что выступающий включил понты и начинается "писькомер"! Вот смотрите какие у меня скрипты, сейчас будем ломать самый слабый роутер, да я да я! И думаю а по факту интересно как и что можно протюнить чтобы было более безопасно тем более когда у тебя белый ip!

@Jora1x 4 жыл бұрын

А когда досмотрел дальше, вывод поменял?