Mikrotik - pre zaciatocnikov

[molnart]

inac vam to pride normalne ze mikrotik uklada vsetky hesla ako plain text a ked stiahnete konfiguracny subor tak su tam vsetky hesla (pre admin pristup, wifi, vpn apod)? viem ze konfiguracny subor sa za zakryptovat, ale celkovo ze tieto hesla su v routri ako plaintext mi pride ako neadekvatne pre zariadenie ktore je urcene do firemnej sfery. toto dokonca aj asus fixoval v uplne consumer routri.

[Pepeb007xx]

tak na to vytvorili uzivatelov, head admin moze byt len jeden a ten hesla vie lebo ich tam zadaval, ostatni ich vidiet nemusia ked nechce

[Snake]

inac vam to pride normalne ze mikrotik uklada vsetky hesla ako plain text a ked stiahnete konfiguracny subor tak su tam vsetky hesla (pre admin pristup, wifi, vpn apod)? viem ze konfiguracny subor sa za zakryptovat, ale celkovo ze tieto hesla su v routri ako plaintext mi pride ako neadekvatne pre zariadenie ktore je urcene do firemnej sfery. toto dokonca aj asus fixoval v uplne consumer routri.

Vies, mna vzdy dozere to ako niekto ide porovnavat enterprise s consumer, ze asus ti to nezobrazi vo webovom rozhrani neznamena ze na cipe to neni ulozene plaintext, a niekotre veci ako plain musia byt, ked pouzivas napriklad WPA-PSK, nakolko ide o preshared key, tak je to kluc, ktorym sa dane spojenie “podpisuje”, nemozes podpisovat niecim zahashovanym, kedze hash je jednosmerna cesta, preto ked chces mat naozaj na wifi pouzite hesla, pouzi radius. Ale to bol len taky priklad

Plainy ma ubiquiti, cisco, a aj mikrotik, do kazdeho mas moznost pouzit radius s predvolenou auth metodou (dobre mikrotik je v tomto v plienkach treba uznat), ale aj na asach mam ipsec nastavene crypto cez certy, kde mi staci ctrl c a ctrl v a mam login k protistrane, no lenze skus sa do tej asy dostat, aj ked si fyzicky pri nej, to iste mikrotik, to iste ubiquiti ktore si s controllerom robi krypto kluc, to ze si admin a vidis plaintext, a co? Ako cudzi clovek to nikdy neuvidim alebo musim zrusit cely konfig a v tom momente mam iba krabicku co blika

[Hexaris]

Tak tu mame pjeknu dziru https://forum.mikrotik.com/viewtopic.php?f=21&t=133533 bohuzial nie je pravda ako normis pise, ze staci ip rozsah v services nastavit ... samozrejme input pravidlo v fw toto riesi. Otazku, ci je ok mat winbox na verejnej ...

[16cmfan]

Ja mam napr. zmeneny winbox port a ostatne servisy mam uplne vypnute... tak to trosku zvysuje bezpecnost..

[PetoBB]

Používam stále v6.40.5, pretože po update na vyššie verzie a teda odstránení bridge módu sa mi citeľne znižovala rýchlosť Wifi. Mám zapnuté všetky services na default portoch. Čo všetko by som mal preventívne povypínať a na aký port zmeniť default winbox? Aké input pravidlo by vyriešilo túto nepríjemnú situáciu? Som na verejnej IP od Orange, za ich ONT Huawaei. Thx

[PetoBB]

Inak som si prešiel log a našiel som tam pokusy o lognutie v sekundových intervaloch. Asi je fajn, že všetky pokusy v logu ukazujú na zlyhanie, ale predsa len som si nie úplne istý bezpečnosťou. Čo teda s tým, profíci?



Prešiel som si diskusiu na MikroTik fóre aj na ispforum a pre istotu som podobne ako 16cmfan vypol všetky services okrem winbox, ktorému som zmenil defaul port 8291 (pri prvom prihlasovaní cez Winbox je potrebné za IP routera doplniť aj tento port). Okrem toho som zmenil aj usera "admin" na úplnu hatlaninu, pretože z toho logu je vidieť že ten útočník sa pokúša logovať ako admin, administrator, Administrator, user, User či root...

[16cmfan]

Peto - ta ip z ktorej sa niekto pokusa pripojit je nejaka divna.. neodpoveda public ale skor vnutornej adrese (tam patria 192.168.x.x a 10.x.x.x.) - ako mas nastaveny router ? DHCP ? Aka je tvoja WAN adresa ? Aj ked som sa stretol niekde u tcom tusim ze za tou 192.168. - mas potom este jednu antenu alebo nejaky bazmek... a mozno len trepem Mne, ked sa niekedy niekto pokusal pripajat vzdy mi ukazalo v logu verejnu ip... cize cokolvek okrem 192.168 a 10xxxx...

[PetoBB]

Mam samozrejme povolene DHCP a ta ip na tom screene je samozrejme vnutorna ip, myslim ze mojho pc. WAN ip teraz neviem, som v praci, je to dynamicky pridelovana ip od orange. Ako som pisal, MikroTik mam pripojeny za ONT Huawei od Orange Fibernet. Za MikroTikom uz nemam ziadny router/switch.

[16cmfan]

https://www.youtube.com/watch?v=c-ABuUh-2OE okolo 28min... Mirkotik ma konecne Powerline produkt!

[shiro]

Mam to tiez tak ako PetoBB, no v logoch zatial nic. A uz je von aj fix, takze upgradnut ROS a bude klud.
Inac, kde sa da nastavit nejaky rozsah logovania? Aby mi v okne "log" vo winboxe ukazovalo logy napr. mesiac dozadu a nie len par dni?
A ako spravit, aby mikrotik v pripade nejakeho typu udalosti (napr. critical, error, alebo podobne, z logov) zaslal napr. mail na ucenu adresu, ze sa daco take v logu vyskytlo?

[Erazer]

To by aj mňa zaujímalo celkom. Poprípade zasielanie celého logu po nejakom časovom intervale.

[16cmfan]

https://forum.mikrotik.com/viewtopic.php?t=52585 popripade ispforum.cz sekcia mikrotik, par navodov tam je na to

Ak mate NAS alebo iny server, mozte loggovanie ukladat nie na Mikrotik ale rovno do NAS...

Nastavenie emailu, ak mate gmail:

server: 71.125.136.109
Port: 587
TLS: yes

[shiro]

pekne, dakujeme

[Snake]

som celkom rad ze sa prihlasujem cez RADIUS a tym padom ziadny local user v SysDB neexistuje