1. Видео хорошее и полезное 2. не все так печально с безопасностью устройства из коробки 2.1. тот тип атаки который Вы применили из коробки возможен только на портах отнесенных к группе интерфейсов Lan ( список этих портов перечислен во вкладке Interfaces\interface List) 2.2. атаки с доступом извне (группа интерфейсов WAN) к управлению роутером будут заблокированы правилами фаервола поставляемыми из коробки производителем роутера 2.3 Если внутренняя локальная сеть не является доверенной то нужно так к ней и относится и менять назначенные с завода шаблоны безопасности на иные (желательно разобравшись и потренеровавшись на "кошечках") Возможно выделив порт из бриджа для управления или более сложными методами с выделением Vlan для управления устройством 3. смена порта для SSH/WinBox это хорошо но не достаточно, и даже если поставить ловушку на оригинальном номере порта и блокировать негодника на год без права повтора это не избавит от перебора портов автоматическим ботнетом если по какой-то причине ваш адрес попал в круг интересов ... н заблокируете 10 адресов из много тысячного ботнета ну так с других адресов прилетит скан следующего порта и рано или поздно попадут в порт где SSH (тот самый измененный ) и он ответит шаблонно ... поэтому как минимум нужен в дополнение порт нокинг (port knocking) который добавит ваш IP на короткое время в адрес лист AllowSSH например на 20 сек и откроет участнику этого списка доступ к порту управления SSH (того самого который вы изменили)- ваша задача успеть за эти 20 сек уложиться в открытие доступа к роутеру по SSH а далее можно работать т.к. будет установившееся соединение. Ну а тем, кто не знает что нужно постучаться правильно а просто будет перебирать порты - не открывать ... пусть стучат далее в закрытую дверь - отсутствие ответа от роутера избавит ваш роутер от лишних задач по анализу паролей ваш или нет ... даже если у вас длинный ключ это не избавит роутер от назойливых попыток перебора по словарю - просто не дайте лишним людям добраться до управления . Еще одна причина не давать доступа к защите на базе паролей и их анализа лежит в плоскости НЕ нулевой вероятности наличия уязвимости в коде анализа логин-пароль и ответов - может быть дырка о которой еще не знает производитель но уже знает злоумышленник (как уже было в истоии со старыми прошивками микротика) и тогда если у него будет возможность попытаться - он сломает - задача на первом этапе не дать даже спросить авторизацию у тех, кому не положено спрашивать. Это минимизирует поверхность атаки роутера
привет друг все верно, но в видосе коротко старался показать самые очевидные моменты к которым любой пользователь должен отнестись серьезно. По второму пункту согласен, ломануть могут с внутрянки default firewall list по wan справится, но как рассказывал в примере меня ломанули по pppoe ....потому что алгоритм настройки был следующий ....сбросил в ноль, соответственно файервол был пуст и поднял pppoe соединение и меня на ходу начали ломать ну и сломали потому что пароль то еще не поменял))) ...рассказал именно потому чтобы мою ошибку не повторяли и показал как это может быть. По 3 пункту рассказывать про порт кнокинг есть смысл но в контексте, когда подробно говорим о настройке нормального файервола, можно реализовать как вы написали, можно по предварительному количеству пинга после которого открывается доступ к нужному порту, можно дать человеку н-е количество попыток входа, на каждом шаге добавляя в адрес лист с разными временными метками, после чего в банлист при неудаче или неплохо если точка входа известна и привязана к белой статике, можно нахрен все закрыть по протоколам доступа в цепочке input на wan интерфейсе ...подключаться по тунелю ipsec а через тунель выруливать изнутри на микротик, вариантов много. Но этот видос явно не для вас. То с чем периодически сталкивался: дефолтные логины и пароли, версии прошивки не обновляются вовсе хотя в интернете вы можете сами скачать эксплоит на микроты ниже 6.43 версии, простые пароли, люди не делают самого элементарного и простого .. именно для них эти первые шаги которые нужно обязательно сделать.
@@bpkuban я писал не с целью изгадить работу сделанную вполне добротно а с целью обратить внимание пользователей которые только ХОТЯТ\ДУМАЮТ покупать ли микротик что не все так плохо с безопасностью на нем и что все везде открыто и дыряво .... нет этот комментарий был написан для того чтоб заглянув в описание и в комментарии люди поняли что есть типовые ошибки которые приводят к уязвимости устройства а в целом при правильной настройке устройства от производителя МикротИк вполне добротные качественные и не дорогие для функционала который в них заложен Удачи Вам в работе и творчестве
Привет.хорошое видео заливаем.для общего развития само то.вопрос у меня камера. обычная аналоговая ptz Китай.Вобщем ламанули регик заблокировали камеру .она только показывает в чёрно-белый режиме управлять нельзя в osd меню зайти тоже не получается.поменял регик на hiwatch.думал в нем проблема тоже не помогло.в общем засада полная.что делать камеру в помойку или покупать тестер камер как у тебя на обзоре только чуть по проще.
Привет! Буду рад, если кто-нибудь ответит. А можно ли поймать/вычислить злоумышленника, пытающегося ломануть роутер? Если да, то как, а если нет, то почему?
привет делай норм защиту на маршрутизаторе и ловушки с бан листами......нет смысла ловить почему? Злоумышленник подключается через цепочку проксисерверов или vpn тунелей...то есть это выглядит примерно так...тип из кореи подключился через vpn в нидерландах а потом еще через тунель гондураса или использует свой подложный vds сервер хер знает где....такой поднять за крипту два пальца обосфальт.........чтобы его найти нужно через интерпол обращаться в эти страны к провайдерам чтобы узнать реальный ip ..........
Привет Дружище, такой вопрос от полного чайника... работаю в офисе при министерстве, в моём отделе стоит этот самый микротик, который министерские ребята настроили на запрет доступа к интернету...во всем отделе есть доступ только к почте министерской и программе 1С. Как можно это обойти? (если что впн не помогает))
друг если говорим только о микротике в нем файервол настроен так что твоя подсеть имеет доступ к определенным сегментам подсетей объекта, 99% что и цепочка input для микротика с твоей подсети закрыта чтобы ты не мешал жить микротику, к слову все что ты будешь пытаться делать тем более со своего статического адреса ...будет видно тем более если это министерство ........а если микротик является продолжением большей сети и стоит именно в вашем отделе можно попробовать подключиться до него через свич или точку доступа с настроенным скрытым именем чтобы не палиться.....но хз оно того не стоит
смотря что ты понимаешь под словом ограничения интернета, если чето из разряда ограничения мобильных операторов на 4g модемы есть свои плюшки с манипуляцией ttl, если запрещенные ресурсы в нашей стране то тунель на нем поднять или на устройстве с которого выходишь в инет...
друг, не юзал openwrt, но в перспективе надо этот косяк исправить, но то что это линуксовая сборка оптимизированная под встроенные устройства говорит о многом, ты можешь воспользоваться всеми линуксовыми плюшками, построить на нем тот же файервол на подобии микротика, собственно микротик это тоже линукс, для прикола заюзай утилитку iptables на линуксе, а потом напиши файервол на микротике ))
Все зависит от поставленных перед тобой задачах. Решение может быть в виде простейшей топологии звезда в которой у тебя к коммутатору подключаются оконечные сетевые клиенты и к этому же коммутатору подкидывается маршрутизатор. Опять же коммутатор может быть неуправляемый и управляемый. Это самое простое решение. И вверх по лесенке топология может быть сложной с коммутаторами уровня доступа, распределения и ядра системы......
@@bpkuban Спасибо за ответ, у меня 2 вида управляемые Dlink Des 1210-28/me и не управляемые Tp- link TL-Sg 1024 d (Это типа хаба думаю). Так вот у меня примерно в обед весь класс остаётся без интернета и затем появляется интернет и все норм. Подключился пограничному роутеру он так же в обед выдал "обрывистый" интернет. Теперь думаю к провайдеру звонить, чтобы проверили модем. Хотя он работает получается, но временами инет "обрывается". Спасибо что написали ответ! Удачи в Вашей работе! 👍
@@resres6596 тут нужно понимать проблемы в интернете или внутренней сети. Если во внутренней сети там куча вариантов есть начиная от конфликта ip адресов до простенького рода атак, особенно если это класс, на компах политика безопасности не настроенна и ученики балуются. Второй вариант думаю больше к вашей проблеме подходит: не все впорядке у провайдера, как это проверить: когда нету интернета заходите на маршрутизатор, в большинстве маршрутизаторов есть в средствах диагностики утилитка пинг, попробуйте пропинговать удаленный ресурс в интернете, например 8.8.8.8 ...или yandex.ru чтобы еще dns проверить если пинг не пройдет смело обращайтесь к провайдеру
@@bpkuban Пограничный роутер у меня обычный Хуавей который ставить провайдер. Получается когда нету интернета я подключаюсь к Лан (их у меня 4 и 1 ван) порту роутера и пингую Гугл (8.8 8.8). Так я исключю проблему внутренней сети. Я верно Вас понял? 🤔
