Защита Mikrotik от внешних угроз

Подписаться 51 тыс.

Просмотров 105 тыс.

50% 1

Помогаем в Telegram: @MikTrain (t.me/miktrain)
====ОПИСАНИЕ ВЕБИНАРА====
Несмотря на то, что Mikrotik - это сильный инструмент для защиты сети, сам Mikrotik требует настройки, чтобы так же не оказаться взломанным.
На вебинаре мы разберем:
- Почему не хватает firewall для защиты mikrotik.
- Почему не хватает защиты в /ip services.
- Как использовать службу neighbor.
- Как использовать tool mac server.
- Общие рекомендации по защите.
- Почему у нас не взломали ни одного роутера.
- Как и когда правильно обновлять.
Знания полученные на вебинаре помогут надежно защитить Ваш Mikrotik от сетевых атак, которые нередко направлены именно на маршрутизаторы.
Консультации и помощь по MikroTik в нашем Telegram-канале: t.me/miktrain.
#Mikrotiik, #RomanKozlov, #Firewall, #IPServices, #Neighbor, #ToolMacServer

Опубликовано:

27 сен 2024

Ссылка:

Скачать:

Готовим ссылку...

Добавить в:

Мой плейлист

Посмотреть позже

Комментарии : 83

@Blagovid 3 года назад

Здравствуйте Роман, очень интересует тематика Микротик, но.. уже не первый раз сталкиваюсь с вашими вебинарами, даже подписан, но в определенные моменты чувствую себя абсолютным нулем, первоклассником на уроке высшей математики. Понимаю что для многих ваших подписчиков моя просьба вызовет насмешки или даже раздражение, но ведь как и в вождении автомобиля, у каждого бывает стадия базового обучения и первый выезд на проезжую часть, раздражающий проезжающих мимо опытных водителей. Есть ли возможность создать плейлист для людей, кто впервые взял в руки Микротик и постепенно осветить всё для начинающих. Все с самых основ. Думаю такой плейлист привлек бы очень много благодарных подписчиков. Спасибо за ответ.

@unionrus5458 4 года назад

Роман, спасибо большое за ваши вебинары. Благодаря вам познакомился с Микротик, внедрил у себя. СПАСИБО!

@viecheslavp4392 11 месяцев назад

Благодарю за вебинар, просто получаю удовольствие от просмотра! Всех благ, успехов! :)

@alexwm547 5 лет назад

начало с 07:30

@mazur_vg 4 года назад

Согласен со многими комментаторами. Благодаря Вам, я познакомился с mikrotik и научился его настраивать. Это лучшая железка! Столько всего интересного! А ваши видео очень информативные. Пересматриваю их по нескольку раз и каждый раз с новыми знаниями нахожу для себя опять что-то новое!!!

@Дмитрий90-и1б 3 года назад

Мощный видос! Спасибо! Рекомендую к просмотру))

@hristopopov4724 5 лет назад

Drop udp 53 in raw section is better ! The portknock to add ip addresses in withlist to use allowed services is better too :)

@artemleonov2207 5 месяцев назад

Спасибо большое, очень много полезной информации, несмотря на отсутствие Микротика в своем окружении.

@ne_fakechestno8685 4 года назад

Роман, спасибо Вам огромное за видеоролики! Очень полезные понятные объяснения! Здесь вы говорили что даже до появления уязвимостей, вы не доверяли винбоксу. Упомянули интерфейс-листы. Что за интерфейс-листы, как это работает, не подскажете? Это же не через веб-интерфейс?

@SWS-LINK 3 года назад

Отличная подача материала. Мине понравилось ---) Микротик чем то напоминает винроут 20 летней давности, но обросший просто потрясающим функционалом. Подпишусь на Вас, много полезного.

@ЛатрПуканов 4 года назад

После правила разрешающего established,related почему-то не срабатывает цепочка ICMP и последующий дроп

@АлександрАкимов-ц1д 5 лет назад

Роман, спасибо за видео. Очень ждал ответа, как распознать зараженный Микротик. Кроме Script list.

@Rom4ik.LUHOVKIN 10 месяцев назад

Я уже увидел, вас… Вы не только обьесняите как все работает но вы проверяете всех кто вас смотрит))))!!!!! Хитро!!!!

@ВладимирХаритонов-в2ж 4 года назад

50:20 DDoS нет от неё защиты непосредственно на Вашем роутере, так как пакет уже прилетел к Вам на интерфейс и роутеру, а точнее его cpu надо его обработать дроп не дроп не важно, ресурсы cpu на это будут потрачены, эта и есть отказ в обслуживании, то есть забить в полку cpu оборудования. От DDoS защищаются с помощью выше стоящего провайдера, но это уже другая история.

@Odin.kirill Год назад

Окей берём 20-ядерный Зион, 128гб ОЗУ и 120ссд, покупаем лицензию роутер ос, накатываем на этот комп её и настраиваем все файрвольные правила 😁😁

@alibaster_odessa 8 месяцев назад

@@Odin.kirillтогда ляжет канал связи и перестанут проходить полезные данные среди лишних пакетов до того как завязнет железка... Или вы к нему подключили несколько раздельных каналов по 10гигабит и забыли об этом упомянуть?)

@karensevantsyan1706 2 года назад

Растолкуйте плиз: 30:05 вы сказали, что IP Cloud виден за NAT. С точностью как и вы настраиваете - настроил свой микротик (со своим конечно DNS name). Но он у меня пишет "Router is behind a NAT". Где не досмотрел?

@baxterhunter 4 года назад

4:09 какой программой и какой скрипт выполняется, что бы смотреть пароль на Микротик? На какие открытые порты он должен смотреть? Роман, спасибо за вэбинары, очень грамотно объясняете.

@properlo 5 лет назад

Большинство не обновляет роутеры потому тестил уязвимость паролей и нарыл за пол дня около 300 роутеров в соседних странах. Пол дня только потому что диапазон поиска очень большой взял. Делай с ними что хош. Потестил свою сеть пока дырок не нашел. Но год назад ситуация была куда плачевнее. Причем чтоб поиметь пару тысяч устройств надо было всего лишь еще пол дня тщательного поиска нужных инструментов.

@АлексейДенисов-ь8д 5 лет назад

Коллеги, добрый день! А где можно получить презентацию?

@valentin-d8t6u 2 месяца назад

Лекция отличная, но прошу простить за 5 копеек, но звук завалите в районе 100гц, сильно бубнит у людей с хорошо передающий низ акустикой. Вы думаю сводили звук в обычные колоночки мелкие, где этой частоты и небыло. Вообще советую у всех лекций просто срезать все что ниже 100 а то и 150

@kcolin 7 месяцев назад

Сделал по вашему примеру, и проблема такая, что первый пинг идет через ICMP. после первого остальные идут по input ACCEPT established,related и не ограничиваются в 1 пакет в секунду.

@kcolin 7 месяцев назад

не важно выше или ниже input ACCEPT established,related. добавил дроп icmp сразу после правила с лимитом. теперь заработало

@foxyashkin 4 года назад

41:15 - Судя по слайду правило нужно 8:0, а делаете 0:8.

@ДенисПетров-р7ш 5 лет назад

Добрый день, а как попасть в чат телеграмм ?

@negmatabdull639 3 года назад

Как перенаправит порты с айпис одного на другой

@Nataliia.Yurovska 5 лет назад

А можно презентацию? :-)

@rostdev8523 4 года назад

в конце видео ссылка

@Ixxtiander 3 года назад

@@rostdev8523 нет там ссылки

@yaroslav103 4 года назад

а что делать если отключил случайно все сервисы ?

@capmatuk 4 года назад

По маку заходить

@ZakroyGlaza Год назад

На семерку .. обновляться страшно чота.... Хотя был успешный опыт с заводской тройки на 4.4..*.. Опасаюсь так скать К тому же.. обновлять надо GW.

@MikrotikTraining Год назад

Мы пока в основном работаем на ros6. Главная проблема - при обновлении можно потерять роутер. Ну и самое безопасное и качественное - обновление через netinstall и последующая настройка через export/руки

@benv1 5 лет назад

10:27 оговорка? Хранят же хеш, а не пароли. 12:26 где посмотреть на сайте в описании, что прошивка уязвимая?

@andrey141-g2e 5 лет назад

1. К сожалению нет, хранили именно пароли в открытом виде. С 6.45 пароли хранятся в зашифрованном виде. 2. Наверняка хз, но как вариант читать ченджлоги для выходящих обновок, там пишут какие уязвимости закрываются.

@side-watcher 5 лет назад

Вряд-ли они в курсе всех уязвимостей чтоб об них писать и закрывать, так что лучший вариант - закрывать любые порты управления от левых адресов, открывая только себе и другим админам.

@vsyes1984 4 года назад

@@andrey141-g2e реально 6.45??? Она же даже не в лонгтерме!? Сейчас последняя 6.44.6

@andrey141-g2e 4 года назад

@@vsyes1984 Если быть совсем точным, то 6.45.1. Посмотри ченджлог mikrotik.com/download/changelogs

@cheraboriyds 2 года назад

чем плохи настройки огненной стены "по умолчанию" ?

@bouzilla941 2 года назад

На момент создания видео или на данный момент? Сейчас он более менее вроде

@cheraboriyds 2 года назад

@@bouzilla941 да, я про нынешние настройки по умолчанию.

@alexfoxberry3681 5 лет назад

У меня Mac OS, без проблем получится настроить Mikrotik?

@jablochniy7550 5 лет назад

ставишь wine, и через wine открываешь винбокс, ну или через телнет или ссш))

@alexmint9540 5 лет назад

jablochniyvorishka можно же еще через web настроить?

@jablochniy7550 5 лет назад

@@alexmint9540 web очень кривая, можно и через телефон (IOS, Android)

@Pu7icat 9 месяцев назад

точно никто не взламывал микротики? и точно,что только из за не правилтных настроек? CVE-2019-3977 CVE-2018-7445 CVE-2018-14847 можно продолжать и продолжать )))

@sirokuza Год назад

всегда юзал веб морду лисички и alt linux

@Rom4ik.LUHOVKIN 10 месяцев назад

Я ваше видео включил мой аккаунт перезагрузился походу вы смотрите все аккаунты, благодарю вас, буду держать защиту от вас!!!!

@timurahmedov514 5 лет назад

С торентами луче не бороться, а использовать qos , все полезное в приоритете, не полезное в в минимум. Ни чего нового

@prezid9586 4 года назад

А как отсеять все полезное? Особенно после какого-нибудь проксика.

@player-fm6ud 5 лет назад

Лайк перед просмотром)

@makstex 5 лет назад

Я для себя ещё оставляю секретную дверь - пингануть роутер определённым размером пакетов (к примеру 70, 80, пару по 90 байт), после чего мой IP попадает в white-list, которому разрешено всё. Естественно white-list первым правилом разрешается, сразу за ним icmp.

@YDenV 5 лет назад

плиз неучу поясните как сделать пинг как Вы описали. благодарю

@player-fm6ud 5 лет назад

@@YDenV add action=drop chain=input dst-address=192.168.100.1 dst-port=80 in-interface=bridge1 protocol=tcp src-address=192.168.100.0/24 src-address-list=!WIN add action=jump chain=input dst-address=192.168.100.1 in-interface=bridge1 jump-target=KnockKnockKnock protocol=icmp src-address=192.168.100.0/24 add action=add-src-to-address-list address-list=Gate1 address-list-timeout=10s chain=KnockKnockKnock dst-address=192.168.100.1 in-interface=bridge1 log=yes \ packet-size=329 protocol=icmp src-address=192.168.100.0/24 add action=add-src-to-address-list address-list=Gate2 address-list-timeout=10s chain=KnockKnockKnock dst-address=192.168.100.1 in-interface=bridge1 log=yes \ log-prefix=KNOCK packet-size=429 protocol=icmp src-address=192.168.100.0/24 src-address-list=Gate1 add action=add-src-to-address-list address-list=WIN chain=KnockKnockKnock dst-address=192.168.100.1 in-interface=bridge1 log=yes log-prefix=KNOCK2 \ packet-size=529 protocol=icmp src-address=192.168.100.0/24 src-address-list=Gate2 add action=return chain=KnockKnockKnock из первой ссылки гугла;)

@player-fm6ud 5 лет назад

@@YDenV Блокируем все поползновения на веб-морду с нашей подсети кроме тех хостов, кто содержится в списке WIN. Все ICMP из нашей подсети перекидываем на цепочку KnockKnockKnock. Если пришёл ICMP-пакет размером 329 на bridge1, то помечаем хост отправитель в список Gate1 на 10 секунд. Если пришёл ICMP-пакет размером 429 на bridge1 и хост-отправитель содержится в списке Gate1, то помечаем хост отправитель в список Gate2 на 10 секунд. Если пришёл ICMP-пакет размером 529 на bridge1 и хост-отправитель содержится в списке Gate2, то помечаем хост отправитель в список WIN на 10 секунд. Возвращаемся из цепочки KnockKnockKnock (в INPUT)

@YDenV 5 лет назад

@@player-fm6ud сенк

@properlo 5 лет назад

Спасибо за пример

@therealman_tm 4 года назад

Почему он не настроил цепочку forward?

@4y6puk1 4 года назад

какими командами попасть в production mode в антенне LTE6 ?

@afromouse9811 9 месяцев назад

Поставил недавно микротик. По 3-4 долбежбки в день) Первым делом учетку admin рубанул. Спасибо за видео. Буду править еще у себя.

@АлександрСоболев-щ2н 4 года назад

Здравствуйте подскажите пожалуйста у меня микротик 941 после грозы перестал раздавать интернет

@dkartashoff 4 года назад

Включенный MNDP покажет соседей в сети провайдера. Окей. А провайдер должен изолировать соседей?

@1083511 10 месяцев назад

Взломы по всему миру а ценик не снижают

@cubaichik 3 года назад

Дырявый микрот с ботнетами

@ВладимирХаритонов-в2ж 4 года назад

42.44 "правило джамп будет проверять только icmp пакеты" круто. Это правило будет проверять все пакеты (ты icmp ты не icmp) и только icmp заворачивать в свою цепочку. Не вводите людей в заблуждение, тем более Вы ведете курсы за деньги.

@Jora1x 3 года назад

Вложенная цепочка должна проигнорить проверку, а так без джампа, вся цепочка будет проверять.

@icipher6730 4 года назад

Всё хорошо, но не могу не докопаться до ерундовой мелочи.) Аббревиатура API не как "апи" произносится, а как eh-pee-eye.

@arsen-video 3 года назад

Три четверти универа говорит "апи". Таких как ты - где-то четверть...

@АндрейФил-я7ъ Год назад

8:50 - 9:45 Несколько раз перемотал и переслушал но так и не понял что имеет приоритет - Available from: в IP Service List или разрешающее вход правило в Firewall Filter?

@MikrotikTraining Год назад

Сначала firewall, потом ip services. Firewall более производительный и работает на 3 и 4 уровне osi. Ip service - это настройка службы - работает на 7м уровне и менее безопасна. Так же теоретически в настройках ip service могут быть zero day.

@АндрейФил-я7ъ Год назад

@@MikrotikTraining Спасибо Роман. Да я конечно не знаком с уровнями OSI что уж там кривить душой) и наверное по этому иногда пытаюсь сравнивать "мягкое с теплым", но по экспериментировав с Available from: в IP Service и Address list "Admin" в Firewall, я пришел к мнению что в моем обывательском понимании приоритет все же имеет Available from в IP Service. Если я в IP Service ставлю разрешение на вход только с одного локального адреса, то не важно какие адреса у меня разрешены на вход в Firewall по адрес листу Admin - я все равно смогу зайти только с того что указал в Available from в IP Service! Ну а если в Available from в IP Service оставить поле пустым, то я могу зайти по любому из адресов в Адрес-листе Админ по правилу в Фаерволе, В связи с этим Ваш ответ "Сначала firewall, потом ip services" вводит меня в тупик. Как так то?

@starikoff72 4 года назад

создаем аддресс-лист, заталкиваем туда нужные интерфейсы, обозначаем этот лист для дискавери и маквинбокс/мактелнет. Вуаля, закрылись по L2.

@starikoff72 4 года назад

Сорян, не досмотрел) Просто это я делаю одним из первых действий

@MrShamshudinov 11 месяцев назад

Здравствуйте, а можно поподробнее?

@starikoff72 11 месяцев назад

@@MrShamshudinov /interface/list/ add name=MACServer member/add list=MACServer interface=bridge /tool/mac-server set allowed-interface-list=MACServer mac-winbox/set allowed-interface-list=MACServer

@dekanol022 3 года назад

какая красивая лапша, жаль настройки только сложные и ,,, поэтапные,,, длинные и тупые,,

@zl0y 4 года назад

я сейчас на 4:41 и я понимаю что выступающий включил понты и начинается "писькомер"! Вот смотрите какие у меня скрипты, сейчас будем ломать самый слабый роутер, да я да я! И думаю а по факту интересно как и что можно протюнить чтобы было более безопасно тем более когда у тебя белый ip!

@Jora1x 3 года назад

А когда досмотрел дальше, вывод поменял?