Ransomware a ina haveť (MikroTik)

[16cmfan]

Nejake bezpečnostne tipy ?

Ja som si na MT pridal tieto pravidla...

Kód: Vybrať všetko

 chain=forward action=drop protocol=tcp dst-port=135-139 log=yes log-prefix="" 

18    chain=forward action=drop protocol=udp dst-port=135-139 log=yes log-prefix="" 

19    chain=forward action=drop protocol=tcp dst-port=445 log=yes log-prefix="" 

20    chain=forward action=drop protocol=udp dst-port=445 log=yes log-prefix=""

Co myslite, zbytocnost ?

[mp3turbo]

nie je to zbytocnost, avsak... citaj poslednu vetu


Je otazka aky Microsoft sharing by ti mohol/mal prist z internetu, ale generalne tvoje pravidla davaju zmysel. Pozor na jednu vec : nemas specifikovany ziadny interface a/alebo akekolvek ine podmienky ktore musia byt splnene na tento drop = VSETOK takyto traffic ktory by chcel prejst cez Mikrotik bude zahodeny.

Vo vnutornej sieti to moze byt cirkus, ze ? Ked mas viacere subnety a su spojene Mikrotikom, Microsoft SMB sharing ti nepojde - teda ani vo vnutornej sieti. Keby si chcel zakazat vstup takehoto trafficu zvonku, pouzil by si napriklad in-interface kvalifikator, cize napr

18 chain=forward action=drop protocol=udp dst-port=135-139 log=yes log-prefix="" in-interface=ether1
[ za podmienky ze ether1 ta pripaja na vonkajsi svet ]

pripadne
18 chain=forward action=drop protocol=udp dst-port=135-139 log=yes log-prefix="" src-address=!192.168.0.0/16
[ cize AK ZDROJOVA ADRESA NIE JE [!] 192.168.x.x TAK POTOM ZAHOD TENTO TRAFFIC cize tu uz nerozlisujes interfejsy ale nieco ine]



PS: ajtak je spravne mat zakazane vsetko a povolovat podla potreby, cize taketo pravidla pri spravnom pouziti mozgu vobec nepotrebujes

[16cmfan]

Diky za tipy pridam to tam - co sa tyka mozgu, umna to problem nie je ale mam tu dalsich clenov rodiny

[Snake]

nie je to zbytocnost, avsak... citaj poslednu vetu


Je otazka aky Microsoft sharing by ti mohol/mal prist z internetu, ale generalne tvoje pravidla davaju zmysel. Pozor na jednu vec : nemas specifikovany ziadny interface a/alebo akekolvek ine podmienky ktore musia byt splnene na tento drop = VSETOK takyto traffic ktory by chcel prejst cez Mikrotik bude zahodeny.

Vo vnutornej sieti to moze byt cirkus, ze ? Ked mas viacere subnety a su spojene Mikrotikom, Microsoft SMB sharing ti nepojde - teda ani vo vnutornej sieti. Keby si chcel zakazat vstup takehoto trafficu zvonku, pouzil by si napriklad in-interface kvalifikator, cize napr

18 chain=forward action=drop protocol=udp dst-port=135-139 log=yes log-prefix="" in-interface=ether1
[ za podmienky ze ether1 ta pripaja na vonkajsi svet ]

pripadne
18 chain=forward action=drop protocol=udp dst-port=135-139 log=yes log-prefix="" src-address=!192.168.0.0/16
[ cize AK ZDROJOVA ADRESA NIE JE [!] 192.168.x.x TAK POTOM ZAHOD TENTO TRAFFIC cize tu uz nerozlisujes interfejsy ale nieco ine]



PS: ajtak je spravne mat zakazane vsetko a povolovat podla potreby, cize taketo pravidla pri spravnom pouziti mozgu vobec nepotrebujes

Ja som sa vzdy ucil, ze siete na rovnakej VLANe su switchovane, nie routovane, pochybujem ze doma ma nejaky intervlan routing spraveny kde by spajal takto subnety (lebo isto vieme, ze subnety vieme oddelit aj na tej istej vlane). Ale inak (in)valid point.

ad 1) zbytocne toto nejak klasifikovat, nakolko winy zahadzuju defaultne takychto sharing ak pochadza z ineho subnetu
ad 2) ak winy nie su patchnute, sorry, definuj si na MT co chces a chytis to po lokalke

Toto riesit na urovni gateway mi pride uplne zbytocne, kedze staci jedna masina co neni patchnuta a leti to dole, a je uplne jedno aky rule je definovany

[faugusztin]

Ako pisal Snake, riesenie na ransomware je mat zapnute Windows update a rozumne spravanie sa. Teda nikto v sieti nech nespusta SuperFotkaZDovolenky.jpg.exe co pride v pochybnom maile.

[mp3turbo]

jasne, takisto mozeme povedat ze v domacej sieti kde nepouzivas ziadny sharing mozes mat veselo vypnute a zakazane sluzby SERVER a WORKSTATION plus tisic dalsich veci (a tych par suborov co semtam potrebujes preniest dokazes aj cez usb kluc). Takisto netreba zopar dalsich sluzieb vo Vindouse ktore uz tiez mali remote exploity.

V kazdom pripade je "ochrana" na urovni Mikrotiku/routrov a spomenute veci uplne ina vrstva ochrany.
Layered defense and common sense. Nutnost patchovania ? Pardon, vsetci ktori patchovali v marci su mimo ohrozenia. edit : no, hadam uz vela tych XPciek nestretneme.

A ked sa uz bavime o tom ChcemPlakat co si teraz nezasluzene zasluzil obrovsku pozornost medii, pardon ale kto este dnes pouziva SMB1 ?

[faugusztin]

Tak vacsina infikovanych pocitacov bola Windows 7 s vypnutymi updatmi v pripade WannaCry. Snad az na infekcie v Cine a NHS v UK, tam to bolo vacsinou XP.

Realne ti ale SMB request z WAN nemal prist, a keby aj - NAT to vacsinou vyriesi, kedze na WAN porte by nemalo byt nic, co naslucha SMB packetom.

[16cmfan]

Tak mi ide konecne aj cez NB sa pripojit na VPNku L2TP/IPSEC...

Viem sa pripojit do web rozhrania NAS a podobne (bolo potrebne sa pohrabat v registroch WIN7, defeautlne nema zapnutu podporu NAT-T - ja som myslel ze zle konfigurujem MT ale ked mi to na Androide blbom islo No nic problem vyrieseny...

Funguje aj SMB dokonca ale len za predpokladu, ze mam deaktivovane tieto pravidla (FW funguje tym padom paradne )

Kód: Vybrať všetko

 chain=forward action=drop protocol=tcp src-address=!192.168.0.0/16 dst-port=135-139 
      log=yes log-prefix="" 

17    chain=forward action=drop protocol=udp src-address=!192.168.0.0/16 dst-port=135-139 
      log=yes log-prefix="" 

18    chain=forward action=drop protocol=tcp src-address=!192.168.0.0/16 dst-port=445 
      log=yes log-prefix="" 

19    chain=forward action=drop protocol=udp src-address=!192.168.0.0/16 dst-port=445 
      log=yes log-prefix="" 

No ale nechapem, ak mam definovanu Local address z rozsahu 192.168.0.0 (konkretne 192.168.2.97 mi to pridelilo) a remote je 10.10.10.10.. ze by tam bol niekde pes zakopany ? Mam to chapat tak ze treba vo FW povolit aj tuto adresu ?

[mp3turbo]

ja som neporozumel, napis co potrebujes... odkial kam (zdrojova IP, cielova Ip). Prislusne pravidlo zaradis pred tieto zakazujuce a bude to chodit tak ako ma - budes mat vzdialeny pristup a zaroven aj budes chraneny.

[16cmfan]

Ano presne ako pises chcem byt chraneny ale zaroven mat cez l2tp/ipsec pristup na sambu. Remote address mam na l2tp 10.10.10.10 a local address je na subnete 192.168.2.0

[mp3turbo]

add chain=forward action=drop protocol=tcp src-address=10.10.10.10/32 dst-address=192.168.2.0/24 dst-port=135-139 log=yes place-before=16
add chain=forward action=drop protocol=udp src-address=10.10.10.10/32 dst-address=192.168.2.0/24 dst-port=135-139 log=yes place-before=16
add chain=forward action=drop protocol=tcp src-address=10.10.10.10/32 dst-address=192.168.2.0/24 dst-port=445 log=yes place-before=16
add chain=forward action=drop protocol=udp src-address=10.10.10.10/32 dst-address=192.168.2.0/24 dst-port=445 log=yes place-before=16

place-before a cislo musi sediet s tvojim sucasnym cislovanim pravidiel = zabezpeci ze tieto nove pravidla sa naprdia rovno pred tie ktore SMB zakazuju. Avsak pozor, musis vediet co tu robis : tymto povolis SMB pristup danej masine 10.10.10.10 na akukolvek internu 192.168.2.x adresu, neviem - teda vlastne urcite viem - ci by nahodou nebolo lepsie povolit len konkretne adresy ktore potrebujes, napriklad 192.168.2.3/32 alebo nieco na tento sposob. Ide totiz o to, ze ked budes mat zavireny pocitac 10.10.10.10 s ktorym sa pripojis na dialku, tak mas pred sebou celu 192.168.2.hocico siet otvorenu.

Ono tu bezpecnost nejde znasilnovat kladivom furt po hlave A ani toto by som nerobil, napriklad ako casto potrebujes mat SMB aktivne na dialku ? Sa rovna... musi byt povolene furt ?

[16cmfan]

vidis, asi mas pravdu - si ho cez winbox (na dialku) povolim smb - nieco pozrem cez smb a opat zakazem pristup...

[mp3turbo]

len aby si mal ten winbox povoleny na dialku

tieto povolovacky mozes spravit aj automaticky : port knocking. Niekde som tu o tom pisal, aj su pekne zdokumentovane na mikrotik fore. Posles paket na port 57772, potom na port 28746, potom na port 11130 a mikrotik ti sam otvori smb na desat minut alebo kolko si nastavis. Ked budes potrebovat viac, posles paket na port 39399 a zostane ti dalsiu hodinu.

[16cmfan]

Ano winbox mam... skoda, ze nemam pevnu IP na O2 internete - ze by som mal vzdialeny pristup di MikroTiku mimo domu len cez mobil siet, jedine si odsledovat ipcky mozno sa opakuje urcita skupina a tak by som dal do src ip tieto - dalsia vrstva ochrany... zatial mam ako prve pravidlo winbox:

chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""

[Warrax]

Zdravim.

Neviete ako je mozne, ze ked mam windows 7 update, a nemal som nainstalovany KB (update) security patch, proti Wanna Cry ransomware?
Ostal som sokovany. Pozrel som list vsetkych updatov, a nebol tam v liste. Taky kriticky update? Dokonca ani tie z okolia 03/2017 - 06/2017, kedy sa to riesilo. Trebalo normalne manualne stiahnut update, odtialto

https://www.catalog.update.microsoft.co ... 474419+x64

a nainstalovat ho.

Stalo sa to aj vam, ze update co zablokuje WannaCry na windows 7, nebol v liste autoupdatov a museli ste ho vtedy riesit manualne?
Preco microsoft tak dolezity security update, nedal medzi auto-updaty?
O tom utoku wannacry som sa dozvedel az z clanku uplne nahodne az teraz, ja som o tom ani nevedel, lebo prave v roku 2017 som nepouzival komp velmi casto, a necital ani spravy nejak prilis casto, takze tuto udalost nepostrehol. Az teraz v jednom clanku som si precital, ako to nejaky 22 rocny chlapik zablokoval, ked registroval domenu. A len tak zo zaujimavosti som isiel na stranku microsoftu, kde boli vymenovane updaty, co to riesili, a skontroloval som, ci ich mam, lebo aj ine ransomware mozu zneuzivat tu bezpecnostnu hole, ktorou sa wanna cry siril.
Nemal som to poriesene, zistil som, a dokonca, medzi auto-updatami, co vysli, neboli nikde tie patche co to riesili, uplne som ostal sokovany. Ze som vlastne tu bezpecnostnu dieru mal otvorenu, celych 2,5 roka odvtedy.