A patch ugyanakkor mint látható, nem jutott el az egyik helyi internetszolgáltató által kiszórt készülékekre, amelyeken így a támadók távolról adminisztrátori jogosultságokat szerezhettek. Az eset kiválóan illusztrálja, hogy milyen fontos a hagyományosan elhanyagolt különféle hálózati eszközök, különösen a routerek megfelelő frissítése, amire nem csak a gyártóknak, de a felhasználóknak is érdemes odafigyelni. Az eset pikantériája, hogy az érintettek tehetetlenségét egy Alexey névre hallgató, úgynevezett gray hat hacker megelégelte, és magánakcióba kezdett. A szerveradminisztrátorként dolgozó szakember a Winbox sebezhetőség kiaknázva tűzfal szabályt hozott létre az érintett MikroTik eszközökben, amely blokkolja 8291-es port internet felőli hozzáférhetőségét. A jóakaró hacker állítja, már nagyjából 100 000 darab eszközön végezte el a műveletet, amely mellé megjegyzésben egy Telegram elérhetőséget is hagyott. A @router_os csatornára mindeddig csupán nagyjából 50 üzenet érkezett, amelyek egy része köszönet, a másik pedig valamilyen felháborodott reakció volt.
Ennek segítségével konfigurálható a hálózati eszköz, és bár a hozzáférés a legtöbb esetben helyi hálózatokból engedélyezett, nincs technikai akadálya, hogy az internet felől is elérhetővé váljon a menedzsment lehetőség. A gyártó április végi közleménye szerint a biztonsági hiba lehetőséget ad arra, hogy a támadó megszerezze a a felhasználó adatbázisfájlját, amit dekódolva adminisztrátori hozzáférést szerezhet az eszközön. Ezt követően pedig gyakorlatilag már szabad a pálya, amit mi sem bizonyít jobban, mint a bő két hónapja napvilágot látott, zombiként tevékenykedő routersereg. Ahogy arról a HWSW korábban beszámolt, MikroTik routerek százezrei vonultak a kriptobányába az azokba fecskendezett Coinhive bányászkód miatt. A Coinhive egy a hasonló, úgynevezett cryptojacking támadásoknál népszerű, egyébként legálisan is használható szolgáltatás, amely egy beágyazható JavaScript bányászkóddal teszi pénzzé a felhasználók számítógépes erőforrásainak egy részét a támadók egy MikroTik sebezhetőséget használtak ki, amelyhez a gyártó egyébként példamutató módon, már a felfedezést követő napon kiadott javítást, idén április 23-án.
Vissza: "RouterOS közösségi támogatás [ kezdőknek, alapok]" Ki van itt Jelenlévő fórumozók: nincs regisztrált felhasználó valamint 4 vendég
leon1980 Hozzászólások: 2 Csatlakozott: 2019. március 10., vasárnap 22:44 Skype: leonfreddy Telefonos Elérhetőség: 6462569894 Tűzfala szabályok. Üdvözlök mindenkinek. MikroTik RB4011iGS+5HacQ2HnD-IN routerem van. A következő kérdésem lenne, van egy belső kamera rendszer a Port forwarding sikeresen megtörtént, A külső IP címet írom be a kamera néző programba megadva a port számot működik hogy ha nem a belső wifi hálózaton vagyok. Ha ha ráállok a belső wifi hálózatra a kamera programon keresztül külső IP címet kérek akkor nem működik. Tud nekem valaki segíteni abban hogy milyen tűzfal szabályt kell létrehozzak? animal Hozzászólások: 416 Csatlakozott: 2013. február 13., szerda 14:55 Telefonos Elérhetőség: +36305614147 Tartózkodási hely: Budapest Kapcsolat: Re: Tűzfala szabályok. Hozzászólás Szerző: animal » 2019. március 12., kedd 16:28 leon1980 írta: Üdvözlök mindenkinek. Tud nekem valaki segíteni abban hogy milyen tűzfal szabályt kell létrehozzak? a meglévő szabályt módosítsd le hogy csak akkor vegye figyelembe ha az in-interface a net port Animal - Y9 - Accesspoint - Mikrotik Certificated - Lehetetlen nincs, csak nehezen kivitelezhető - Hozzászólás Szerző: leon1980 » 2019. március 15., péntek 3:03 Köszönöm sikerült kivettem az terface fület üres re és működik.
Az �n IP c�me: 37. 9. 45. 48 Friss�tve: 2011. 06. 03. Router A router �s a benne helyet foglal� t�zfal az internet fel� t�rt�n� kommunik�ci� egyik fontos eleme (a biztons�g szempontj�b�l). A kis h�l�zatn�l (n�h�ny PC eset�n) nem c�lszer� t�bb t�zezer forintot kiadni egy router-re, viszont ha m�r n�h�ny tucat g�pr�l besz�l�nk, akkor v�lem�nyem szerint megt�r�l a befektet�s a cser�be kapott stabilit�s �s biztons�g miatt. Igen profi routert gy�rt p�ld�ul a Mikrotik. A k�sz�l�k tapasztalatom szerint nagyon stabil, �s megb�zhat�. Szolg�ltat�sai r�v�n a h�l�zatra k�t�tt g�pek adat�raml�sa j�l k�zben tarthat�k. Egyik alkalommal egy kb: 80 g�p alkotta h�l�zatb�l valamelyik g�p folyamatosan spam-eket (k�retlen leveleket) k�ld�tt ki az internetre. A Mikrotik router seg�ts�g�vel nagyon egyszer�en lehetett blokkolni, hogy a h�l�zatb�l csak a saj�t szolg�ltat� ir�ny�ba lehessen levelet kik�ldeni, majd ezek ut�n monitorozni lehet, hogy melyik g�p pr�b�lkozik a k�retlen levelek k�ld�s�vel. Az eml�tett 80 g�p jelent�s r�sze kapcsolatba �llt az internettel.
A router-be �p�tett t�zfal el�nyei: • Stabil, megb�zhat� m�k�d�s. • A felhaszn�l�nak nem kell bajl�dnia vele. • V�russal vagy egy�b szoftveres �ton nem lehet kij�tszani az eszk�zt. A router-be �p�tett t�zfal h�tr�nyai: •Szaktud�st ig�nyel (a felhaszn�l� nem biztos hogy be tudja �ll�tani, illetve az alapbe�ll�t�sok t�bbnyire kev�snek bizonyulnak a hat�kony v�delem �rdek�ben) a t�zfal be�ll�t�sait a h�l�zatra kell szabni. • A rosszul be�ll�tott (vagy kikapcsolva felejtett) t�zfalon �szrev�tlen�l ki lehet sziv�rogtatni adatokat. t�zfal be�ll�t�sa: A t�zfalon a kimen� inform�ci�kat t�bbnyire nem szokt�k blokkolni, pedig ugyanolyan fontos mint az, hogy a h�l�zatba ne lehessen bet�rni. V�rusok �s egy�b �ton bejuttatott programok gond n�lk�l tudnak adatokat kik�ldeni a t�zfalon, ha azok az gy�ri be�ll�t�sokkal m�k�dnek. Ez�rt c�lszer� minden kimen� kommunik�ci�t is blokkolni, �s csak az alapvet� portokat kell nyitva hagyni.
Tallózzuk ki az eszközt WinBoxból, MAC címre kattintva lépjünk be és az IP / Firewall / Filter alatt drag-and-drop jelleggel húzzuk a 0. szabályt a legaljára. A WinBoxból ne lépjünk még ki, de a nagy izgalmakra való tekintettel rakjunk be valami zenét a YouTube-ról, ami immáron megint elérhető. Azután irány vissza a parancssor. A cikk még nem ért véget, kérlek, lapozz!
Sz�m�t�g�pre telep�tett t�zfal el�nyei: • Egyedileg j�l be�ll�that� az adott g�pre. • A felhaszn�l�t minden h�l�zati kommunik�ci�r�l inform�lja. • L�teznek j�l haszn�lhat� ingyenes v�ltozatok. ( N�h�ny itt megtal�lhat�. ) Sz�m�t�g�pre telep�tett t�zfal h�tr�nyai: • Sebezhet�bb mint a router-be �p�tett t�zfal. • Szak�rtelmet ig�nyel. A t�zfal amikor nem tudja eld�nteni, hogy ''mire k�sz�l'' egy szoftver, akkor megk�rdezi a felhaszn�l�t, akinek el kell tudni d�nteni, hogy melyik program akar kommunik�lni az internet fel� �s azt enged�lyezi-e vagy sem. P�ld�ul, ha a a Firefox b�ng�sz� lefriss�ti automatikusan mag�t majd elindul, akkor a t�zfal megk�rdi, hogy a felhaszn�l� enged�lyezi-e a kommunik�ci�t. Ha ebben az esetben a felhaszn�l� megvonja az enged�lyt, akkor nem a tov�bbiakban nem fog tudni b�ng�szni az interneten. Ehhez hasonl� m�don a felhaszn�l� ak�r a saj�t levelez�j�t is letilthatja. Teh�t a lok�lis g�pen haszn�lt t�zfal igen hasznos, de tiszt�ban kell lennie a felhaszn�l�nak a m�k�d�s�vel!
Szemléltetem pillanatokon belül a példa routeren, úgy kevésbé lesz nyers, jobban érthető lesz. A változatosság kedvéért parancssoros módon fogom izgatni a tűzfal szabályokat. Windows alól én a PuTTY klienst használom, de bármilyen SSH / Telnet kliens tökéletesen megfelel a célnak. 6. x ROS verziótól kezdve van egy alap help az elérhető utasításokat illetően, már közvetlenül a belépéskor. Sokan, sokszor mondták már sok mindenre, hogy tényleg annyira egyszerű, mint egy faék. Nem tudom ezek a kijelentések százalékos arányban mennyire voltak igazak, de jelen esetben bátran vállalom: ez ennél egyszerűbb nem is lehetne:.. egy szinttel fentebb / gyökérszintre? parancs listázás TAB parancs kiegészítés Körülbelül ennyi. Tényleg. Amint beléptünk a routerünkbe, máris kezdhetjük püfölni a billentyűzetet. /ip firewall filter add action=accept chain=input connection-state=established disabled=no add action=accept chain=input connection-state=related disabled=no add action=log chain=input disabled=no log-prefix=FIREWALL add action=drop chain=input connection-state=invalid disabled=no add action=drop chain=input disabled=no Ha már az IP / Firewall / Filters menüben vagyunk, egy print utasítással kérjük le pontosan, hogy milyen szűrők is vannak akkor most aktiválva.
5 - Az utolsó szabály pedig eldob MINDENT. Csupa nagybetűvel. Minden csomag, ami ideáig elérkezett, számunkra lényegtelen, és kukázzuk. Térjünk vissza a szabályok sorrendjének kérdéséhez. A próba kedvéért éljünk az alábbi parancs lehetőségével: move 5 destination=0 Ezzel az utolsó szabályt rakjuk be az első pozícióba, a többi eggyel hátrébb sorolódik automatikusan. Minden csomag ezzel a szabállyal kezdi az ismerkedését a routeren belül. Ami külön válogatás nélkül el is dobja MINDET, kérésünk szerint. Mivel parancssorból izgatjuk a rendszert, nos, meg is szakadt a kapcsolat. Nincs internet. Nincs webes felület. Pingelni se tudjuk a routert. Egyetlen esélyünk eme badarságot veszteségek nélkül korrigálni, ha a WinBox segítségét kérjük, ami továbbra is képes layer2 szinten elérni az eszközünk, megkerülve ezzel a tűzfalat. Megkerüljük a tűzfalat? Hát hogy van ez? Pontosabb az a megfogalmazás, hogy a tűzfal már layer3 szinten lép életbe, amikor már TCP/IP szinten folyik a kommunikáció. Fizikai címzést használva hatástalan.