Moje domácnost se sice ubránila, ale několik klientů mi během posledních 14 dní volalo, že jim poskytovatelé internetu hlásí, že se přes ne hrnou tisíce emailů, nebo sami přišli na anomálie v nastavení jejich Mikrotiků. Než se pustím do tuningu zabezpečení, je třeba říct, že všichni do jednoho měli starý firmware v Mikrotiku a starý Winbox. Faktem je, že spousta lidí (i zákazníků) si rádi dělají vše sami, ale potom se diví, že něco nedopadne úplně nejlíp. Bohužel dnešní digitální doba je taková, že bezpečnost je až na prvním místě a pravidelná aktualizace a péče o systémy a zařízení je nezbytná.

Jak se virus projevuje

V nastavení firewallu lze objevit deaktivovaná pravidla, především ta, která mají „action=Drop“

Dále si lze všimnout, že v souborech je umístěn soubor „mikrotik.php“

V historii je jsou vidět aktivity „socks config changed“, „new script added“ a „new script scheduled“

Ve scheduleru (System / Scheduler) je pravidelně volán skript, který se jmenuje jednoduše „ScriptX_“ kde X je nějaké číslo. Ve skriptech je potom skript, který zajišťuje stažení souboru mikrotik.php

… a další

Jak se viru zbavit

  • Povolte všechna pravidla firewallu, o kterých víte, že mají být povolena
  • V souborech vymažte soubor „mikrotik.php“
  • V System / Scheduler vymažte naplánovanou úlohu pro volání závadného skriptu
  • V System / Scripts vymažte závadný skript
  • V IP / Socks odrthněte zatržítko „Enabled“ – Pokud nemáte Socks z nějakého důvodu zapnuty úmyslně, deaktivujte je (pravděpodobně je zapnul vir)
  • V IP / Socks je tlačítko „Access“ – odeberte řádek, který tam je (95.154.216.128/25)

A jak se ubránit

Vymazáním skriptů a navrácení konfigurace do původního nastavení problém neřeší. Je třeba podniknout ještě další kroky. Pokud vás napadlo, že změníte hesla a bude to vyřešeno, tak to nedělejte. Se změnou hesla ještě počkejte a postupujte podle návodu.

  1. Aktualizujte Winbox na poslední verzi
  2. Následně aktualizujte RouterOS na poslední verzi (System – Packages – Check for Updates)
  3. Po naběhnutí Mikrotiku změňte hesla všech účtů

Dále je třeba trochu poladit zabezpečení. Ti, kteří postupovali podle mého původního návodu mají dobře nakročeno nikoliv však vyhráno.

Do firewallu vložíme pravidlo, které zakáže komunikaci z IP rozsahu záškodníka

/ip firewall filter
add action=drop chain=input comment="Mikrotik Fetch malware" log=yes log-prefix=VIRUS src-address=95.154.216.128/25

Vypneme nezabezpečené služby

/ip service disable telnet,ftp,www,api,api-ssl
/ip service print

změníme výchozí port pro SSH (v tomto případě nastavíme port 2200 namísto portu 22). Díky tomuto nastavení se téměř okamžitě sníží počet bruteforce útoků přes SSH:

 /ip service set ssh port=2200 /ip service print 

Každá /ip servvice služba by měla být samostatně zabezpečena tak, že povolíme konkrétní IP adresu nebo rozsah, ze kterého je možné na danou službu komunikovat. Nastavte správný rozsah podle své sítě. Radím nenechávejte Winbox přístup dostupný z internetu a raději použijte přístup pomocá VPN.

/ip service set winbox address=192.168.88.0/24

Crypto SSH – vyšší úroveň zabezpečení

/ip ssh set strong-crypto=yes

Jedná se o to, že Mikrotik použije silnější šifru pro SSH připojení. Toto nastavení je podporováno většinou nových programů pro terminálový přístup

IP přístup na router

Společnost Mikrotik doporučuje aplikovat několik pravidel, která vedou ke zvýšení zabezpečení zařízení. Nicméně sami upozorňují, že pravidla se mají aplikovat pouze v případě, že víte, co způsobí. Pokusím se tedy popsat zmíněná pravidla:

Nejprve si vytvořte address-list s ip adresami, které mají mít na router přístup


/ip firewall address-list
add address=192.168.88.2-192.168.88.254 list=allowed_to_router
add address=10.10.1.2-10.10.1.254 list=allowed_to_router

  • Pokud bude router pracovat jen s novými spojenímí, sníží to zátěž zařízení
  • Povolí přístup na router (input) pouze z adres, které jsou uvedeny v address-listu
  • Povolí ICMP (PING)
  • Zahodí veškerou komunikaci, která jde na router (input) – packety, které nejsou určeny pro router (forward) nebudou dotčeny

/ip firewall filter
add action=accept chain=input comment="default configuration" connection-state=established,related
add action=accept chain=input src-address-list=allowed_to_router
add action=accept chain=input protocol=icmp
add action=drop chain=input

RouterOS MAC-access

Dobré, ale nikoliv úplně nutné je vypnutí některých dalších služeb vázaných na přístup pomocí MAC adresy. RouterOS má vestavěné možnosti pro jednodušší správu. Následující nastavení by měla být vypnutá na produkčních rozhraních, nicméně zvažte „security vs. obscurity“ – pokud se jedná o vaši domácí síť, zvažte míru zabezpečení a míru komfortu. Důležité je zabezpečit zařízení tak, aby bylo bezpečné směrem do/z internetu.

MAC-Telnet

/tool mac-server set allowed-interface-list=none
/tool mac-server print

MAC-Winbox

/tool mac-server mac-winbox set allowed-interface-list=none
/tool mac-server mac-winbox print

MAC-Ping

/tool mac-server ping set enabled=no
/tool mac-server ping print

Neighbor Discovery

/ip neighbor discovery-settings set discover-interface-list=none

Bandwidth server

/tool bandwidth-server set enabled=no

Další služby (klientské)

Ať již virem nebo jiným (třeba i nesprávným) nastavením mohou být aktivní některé další služby, které má RouterOS ve výchozím stavu vypnuté. Zapínejte je jen v případě, že víte, jaký to bude mít dopad.

MikroTik caching proxy

/ip proxy set enabled=no

MikroTik socks proxy

/ip socks set enabled=no

MikroTik UPNP service

/ip upnp set enabled=no

MikroTik dynamic name service nebo ip cloud

ip cloud set ddns-enabled=no update-time=no

 

Dlužno dodat, že většina pravidel vychází z oficiální dokumentace a doporučení přímo od Mikrotiku, nicméně málo kdo je najde a ještě méně lidí se rozhodne je aplikovat, otázkou je zda-li z neznalosti nebo lenosti. Ať je důvod jakýkoliv, tak v době inteligentních domácností je bezpečnost velmi citlivým tématem a je třeba mu věnovat maximální pozornost. Pokud problematice nerozumíte, zeptejte se zkušenějších.

Rada na závěr

Poslední dobou se setkávám s dotazy, jak z internetu zpřístupnit Loxone či jiné prvky chytré domácnosti. Rozhodně nepoužívejte mapování portů z veřejné IP adresy na přímo na zařízení (velmi oblíbená metoda instalačních firem). Vždy používejte zabezpečené připojení pomocí VPN (L2TP, IPSEC apod.), hlavně aby bylo spojení šifrované a probíhalo „nějaké“ ověření.


Napadený Mikrotik – tuning zabezpečení
Štítky:                    

3 komentáře u „Napadený Mikrotik – tuning zabezpečení

  • 24.8.2018 (20:37)
    Trvalý odkaz

    Pěknej a docela užitečnej návod s popisem. Dost lidí ale používá právě starší firmware mikrotiku protože u novějších verzí nejde vypnout radar detect. Dost se o tom píše. Takový mikrotik kde nejde vypnout radar detect má takovou zvláštní chybu že se začne sám přelaďovat i když nevysílá na frekvenci radaru. To se stává když se v jeho blízkosti objeví jiný vysílač který vysílá silným signálem na stejné frekvenci. Dost zásadní chyba.

    Reagovat
    • 3.9.2018 (7:52)
      Trvalý odkaz

      Zdravím a díky za reakci. V mém případě používám routerboard jako hraniční prvek (firewall a router). Wi-Fi AP jsou sice také Mikrotik, ale jsou to samostatná zařízení, která jsou přes CAPSMan řízena z hlavního Mikrotiku, takže si v případě, kdy by mi radar detect komplikovat život, mohu dovoli jít u AP na nižší verzi. Zatím má vše na poslední a výpadky jsem nezaznamenal.

      Reagovat
    • 13.9.2018 (9:04)
      Trvalý odkaz

      Myslím, že když se Frequency Mode nastaví na superchanel, přelaďování zmizí.

      Reagovat

Napsat komentář

Vaše emailová adresa nebude zveřejněna.

This site uses Akismet to reduce spam. Learn how your comment data is processed.