Ransomware a ina haveť (MikroTik)

Všetko o sieťach, nastaveniach, problémoch ...
Používateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 3591
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Ransomware a ina haveť (MikroTik)

Príspevok od používateľa 16cmfan »

Nejake bezpečnostne tipy ?

Ja som si na MT pridal tieto pravidla...

Kód: Vybrať všetko

 chain=forward action=drop protocol=tcp dst-port=135-139 log=yes log-prefix="" 

18    chain=forward action=drop protocol=udp dst-port=135-139 log=yes log-prefix="" 

19    chain=forward action=drop protocol=tcp dst-port=445 log=yes log-prefix="" 

20    chain=forward action=drop protocol=udp dst-port=445 log=yes log-prefix=""
Co myslite, zbytocnost ?
Mobo Asus PRIME B450 Plus CPU Ryzen 7 5800X3D (Noctua NH-U12S + dual fan Noctua NF-A12) GPU MSI GeForce RTX 3070 Ventus 3X RAM G.Skill Ripjaws V F4-4000C18D-32GVK SSD Silicon Power P34A80 CASE Lancool 205 PSU Corsair RM550x case cooling: exhaust 2x Noctua F12, in-take 2x Lian Li 120mm

NB: Dell E7470 Skylake Core i5 + 8GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
mp3turbo
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 12220
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: ta Blava, ňe ?

Re: Ransomware a ina haveť (MikroTik)

Príspevok od používateľa mp3turbo »

nie je to zbytocnost, avsak... citaj poslednu vetu :)


Je otazka aky Microsoft sharing by ti mohol/mal prist z internetu, ale generalne tvoje pravidla davaju zmysel. Pozor na jednu vec : nemas specifikovany ziadny interface a/alebo akekolvek ine podmienky ktore musia byt splnene na tento drop = VSETOK takyto traffic ktory by chcel prejst cez Mikrotik bude zahodeny.

Vo vnutornej sieti to moze byt cirkus, ze ? Ked mas viacere subnety a su spojene Mikrotikom, Microsoft SMB sharing ti nepojde - teda ani vo vnutornej sieti. Keby si chcel zakazat vstup takehoto trafficu zvonku, pouzil by si napriklad in-interface kvalifikator, cize napr

18 chain=forward action=drop protocol=udp dst-port=135-139 log=yes log-prefix="" in-interface=ether1
[ za podmienky ze ether1 ta pripaja na vonkajsi svet ]

pripadne
18 chain=forward action=drop protocol=udp dst-port=135-139 log=yes log-prefix="" src-address=!192.168.0.0/16
[ cize AK ZDROJOVA ADRESA NIE JE [!] 192.168.x.x TAK POTOM ZAHOD TENTO TRAFFIC cize tu uz nerozlisujes interfejsy ale nieco ine]



PS: ajtak je spravne mat zakazane vsetko a povolovat podla potreby, cize taketo pravidla pri spravnom pouziti mozgu vobec nepotrebujes :)
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
Používateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 3591
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Re: Ransomware a ina haveť (MikroTik)

Príspevok od používateľa 16cmfan »

Diky za tipy pridam to tam - co sa tyka mozgu, umna to problem nie je ale mam tu dalsich clenov rodiny :D
Mobo Asus PRIME B450 Plus CPU Ryzen 7 5800X3D (Noctua NH-U12S + dual fan Noctua NF-A12) GPU MSI GeForce RTX 3070 Ventus 3X RAM G.Skill Ripjaws V F4-4000C18D-32GVK SSD Silicon Power P34A80 CASE Lancool 205 PSU Corsair RM550x case cooling: exhaust 2x Noctua F12, in-take 2x Lian Li 120mm

NB: Dell E7470 Skylake Core i5 + 8GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
Používateľov profilový obrázok
Snake
VIP
VIP
Príspevky: 13677
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta

Re: Ransomware a ina haveť (MikroTik)

Príspevok od používateľa Snake »

mp3turbo napísal:nie je to zbytocnost, avsak... citaj poslednu vetu :)


Je otazka aky Microsoft sharing by ti mohol/mal prist z internetu, ale generalne tvoje pravidla davaju zmysel. Pozor na jednu vec : nemas specifikovany ziadny interface a/alebo akekolvek ine podmienky ktore musia byt splnene na tento drop = VSETOK takyto traffic ktory by chcel prejst cez Mikrotik bude zahodeny.

Vo vnutornej sieti to moze byt cirkus, ze ? Ked mas viacere subnety a su spojene Mikrotikom, Microsoft SMB sharing ti nepojde - teda ani vo vnutornej sieti. Keby si chcel zakazat vstup takehoto trafficu zvonku, pouzil by si napriklad in-interface kvalifikator, cize napr

18 chain=forward action=drop protocol=udp dst-port=135-139 log=yes log-prefix="" in-interface=ether1
[ za podmienky ze ether1 ta pripaja na vonkajsi svet ]

pripadne
18 chain=forward action=drop protocol=udp dst-port=135-139 log=yes log-prefix="" src-address=!192.168.0.0/16
[ cize AK ZDROJOVA ADRESA NIE JE [!] 192.168.x.x TAK POTOM ZAHOD TENTO TRAFFIC cize tu uz nerozlisujes interfejsy ale nieco ine]



PS: ajtak je spravne mat zakazane vsetko a povolovat podla potreby, cize taketo pravidla pri spravnom pouziti mozgu vobec nepotrebujes :)
Ja som sa vzdy ucil, ze siete na rovnakej VLANe su switchovane, nie routovane, pochybujem ze doma ma nejaky intervlan routing spraveny kde by spajal takto subnety (lebo isto vieme, ze subnety vieme oddelit aj na tej istej vlane). Ale inak (in)valid point.

ad 1) zbytocne toto nejak klasifikovat, nakolko winy zahadzuju defaultne takychto sharing ak pochadza z ineho subnetu
ad 2) ak winy nie su patchnute, sorry, definuj si na MT co chces a chytis to po lokalke

Toto riesit na urovni gateway mi pride uplne zbytocne, kedze staci jedna masina co neni patchnuta a leti to dole, a je uplne jedno aky rule je definovany





.
faugusztin
Moderátor
Moderátor
Príspevky: 15044
Dátum registrácie: Ut 26. Feb, 2008, 14:00
Bydlisko: Bratislava/Štúrovo

Re: Ransomware a ina haveť (MikroTik)

Príspevok od používateľa faugusztin »

Ako pisal Snake, riesenie na ransomware je mat zapnute Windows update a rozumne spravanie sa. Teda nikto v sieti nech nespusta SuperFotkaZDovolenky.jpg.exe co pride v pochybnom maile.
mp3turbo
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 12220
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: ta Blava, ňe ?

Re: Ransomware a ina haveť (MikroTik)

Príspevok od používateľa mp3turbo »

jasne, takisto mozeme povedat ze v domacej sieti kde nepouzivas ziadny sharing mozes mat veselo vypnute a zakazane sluzby SERVER a WORKSTATION plus tisic dalsich veci (a tych par suborov co semtam potrebujes preniest dokazes aj cez usb kluc). Takisto netreba zopar dalsich sluzieb vo Vindouse ktore uz tiez mali remote exploity.

V kazdom pripade je "ochrana" na urovni Mikrotiku/routrov a spomenute veci uplne ina vrstva ochrany.
Layered defense and common sense. Nutnost patchovania ? Pardon, vsetci ktori patchovali v marci su mimo ohrozenia. edit : no, hadam uz vela tych XPciek nestretneme.

A ked sa uz bavime o tom ChcemPlakat co si teraz nezasluzene zasluzil obrovsku pozornost medii, pardon ale kto este dnes pouziva SMB1 ?
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
faugusztin
Moderátor
Moderátor
Príspevky: 15044
Dátum registrácie: Ut 26. Feb, 2008, 14:00
Bydlisko: Bratislava/Štúrovo

Re: Ransomware a ina haveť (MikroTik)

Príspevok od používateľa faugusztin »

Tak vacsina infikovanych pocitacov bola Windows 7 s vypnutymi updatmi v pripade WannaCry. Snad az na infekcie v Cine a NHS v UK, tam to bolo vacsinou XP.

Realne ti ale SMB request z WAN nemal prist, a keby aj - NAT to vacsinou vyriesi, kedze na WAN porte by nemalo byt nic, co naslucha SMB packetom.
Používateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 3591
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Re: Ransomware a ina haveť (MikroTik)

Príspevok od používateľa 16cmfan »

Tak mi ide konecne aj cez NB sa pripojit na VPNku L2TP/IPSEC...

Viem sa pripojit do web rozhrania NAS a podobne (bolo potrebne sa pohrabat v registroch WIN7, defeautlne nema zapnutu podporu NAT-T - ja som myslel ze zle konfigurujem MT ale ked mi to na Androide blbom islo :rolleyes: No nic problem vyrieseny...

Funguje aj SMB dokonca :cool: ale len za predpokladu, ze mam deaktivovane tieto pravidla (FW funguje tym padom paradne :D)

Kód: Vybrať všetko

 chain=forward action=drop protocol=tcp src-address=!192.168.0.0/16 dst-port=135-139 
      log=yes log-prefix="" 

17    chain=forward action=drop protocol=udp src-address=!192.168.0.0/16 dst-port=135-139 
      log=yes log-prefix="" 

18    chain=forward action=drop protocol=tcp src-address=!192.168.0.0/16 dst-port=445 
      log=yes log-prefix="" 

19    chain=forward action=drop protocol=udp src-address=!192.168.0.0/16 dst-port=445 
      log=yes log-prefix="" 
No ale nechapem, ak mam definovanu Local address z rozsahu 192.168.0.0 (konkretne 192.168.2.97 mi to pridelilo) a remote je 10.10.10.10.. ze by tam bol niekde pes zakopany ? Mam to chapat tak ze treba vo FW povolit aj tuto adresu ?
Mobo Asus PRIME B450 Plus CPU Ryzen 7 5800X3D (Noctua NH-U12S + dual fan Noctua NF-A12) GPU MSI GeForce RTX 3070 Ventus 3X RAM G.Skill Ripjaws V F4-4000C18D-32GVK SSD Silicon Power P34A80 CASE Lancool 205 PSU Corsair RM550x case cooling: exhaust 2x Noctua F12, in-take 2x Lian Li 120mm

NB: Dell E7470 Skylake Core i5 + 8GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
mp3turbo
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 12220
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: ta Blava, ňe ?

Re: Ransomware a ina haveť (MikroTik)

Príspevok od používateľa mp3turbo »

ja som neporozumel, napis co potrebujes... odkial kam (zdrojova IP, cielova Ip). Prislusne pravidlo zaradis pred tieto zakazujuce a bude to chodit tak ako ma - budes mat vzdialeny pristup a zaroven aj budes chraneny.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
Používateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 3591
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Re: Ransomware a ina haveť (MikroTik)

Príspevok od používateľa 16cmfan »

Ano presne ako pises chcem byt chraneny ale zaroven mat cez l2tp/ipsec pristup na sambu. Remote address mam na l2tp 10.10.10.10 a local address je na subnete 192.168.2.0
Mobo Asus PRIME B450 Plus CPU Ryzen 7 5800X3D (Noctua NH-U12S + dual fan Noctua NF-A12) GPU MSI GeForce RTX 3070 Ventus 3X RAM G.Skill Ripjaws V F4-4000C18D-32GVK SSD Silicon Power P34A80 CASE Lancool 205 PSU Corsair RM550x case cooling: exhaust 2x Noctua F12, in-take 2x Lian Li 120mm

NB: Dell E7470 Skylake Core i5 + 8GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
mp3turbo
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 12220
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: ta Blava, ňe ?

Re: Ransomware a ina haveť (MikroTik)

Príspevok od používateľa mp3turbo »

add chain=forward action=drop protocol=tcp src-address=10.10.10.10/32 dst-address=192.168.2.0/24 dst-port=135-139 log=yes place-before=16
add chain=forward action=drop protocol=udp src-address=10.10.10.10/32 dst-address=192.168.2.0/24 dst-port=135-139 log=yes place-before=16
add chain=forward action=drop protocol=tcp src-address=10.10.10.10/32 dst-address=192.168.2.0/24 dst-port=445 log=yes place-before=16
add chain=forward action=drop protocol=udp src-address=10.10.10.10/32 dst-address=192.168.2.0/24 dst-port=445 log=yes place-before=16

place-before a cislo musi sediet s tvojim sucasnym cislovanim pravidiel = zabezpeci ze tieto nove pravidla sa naprdia rovno pred tie ktore SMB zakazuju. Avsak pozor, musis vediet co tu robis : tymto povolis SMB pristup danej masine 10.10.10.10 na akukolvek internu 192.168.2.x adresu, neviem - teda vlastne urcite viem - ci by nahodou nebolo lepsie povolit len konkretne adresy ktore potrebujes, napriklad 192.168.2.3/32 alebo nieco na tento sposob. Ide totiz o to, ze ked budes mat zavireny pocitac 10.10.10.10 s ktorym sa pripojis na dialku, tak mas pred sebou celu 192.168.2.hocico siet otvorenu.

Ono tu bezpecnost nejde znasilnovat kladivom furt po hlave :) A ani toto by som nerobil, napriklad ako casto potrebujes mat SMB aktivne na dialku ? Sa rovna... musi byt povolene furt ?
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
Používateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 3591
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Re: Ransomware a ina haveť (MikroTik)

Príspevok od používateľa 16cmfan »

vidis, asi mas pravdu - si ho cez winbox (na dialku) povolim smb - nieco pozrem cez smb a opat zakazem pristup...
Mobo Asus PRIME B450 Plus CPU Ryzen 7 5800X3D (Noctua NH-U12S + dual fan Noctua NF-A12) GPU MSI GeForce RTX 3070 Ventus 3X RAM G.Skill Ripjaws V F4-4000C18D-32GVK SSD Silicon Power P34A80 CASE Lancool 205 PSU Corsair RM550x case cooling: exhaust 2x Noctua F12, in-take 2x Lian Li 120mm

NB: Dell E7470 Skylake Core i5 + 8GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
mp3turbo
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 12220
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: ta Blava, ňe ?

Re: Ransomware a ina haveť (MikroTik)

Príspevok od používateľa mp3turbo »

len aby si mal ten winbox povoleny na dialku :)

tieto povolovacky mozes spravit aj automaticky : port knocking. Niekde som tu o tom pisal, aj su pekne zdokumentovane na mikrotik fore. Posles paket na port 57772, potom na port 28746, potom na port 11130 a mikrotik ti sam otvori smb na desat minut alebo kolko si nastavis. Ked budes potrebovat viac, posles paket na port 39399 a zostane ti dalsiu hodinu.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
Používateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 3591
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Re: Ransomware a ina haveť (MikroTik)

Príspevok od používateľa 16cmfan »

Ano winbox mam... skoda, ze nemam pevnu IP na O2 internete - ze by som mal vzdialeny pristup di MikroTiku mimo domu len cez mobil siet, jedine si odsledovat ipcky mozno sa opakuje urcita skupina a tak by som dal do src ip tieto - dalsia vrstva ochrany... zatial mam ako prve pravidlo winbox:

chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""
Mobo Asus PRIME B450 Plus CPU Ryzen 7 5800X3D (Noctua NH-U12S + dual fan Noctua NF-A12) GPU MSI GeForce RTX 3070 Ventus 3X RAM G.Skill Ripjaws V F4-4000C18D-32GVK SSD Silicon Power P34A80 CASE Lancool 205 PSU Corsair RM550x case cooling: exhaust 2x Noctua F12, in-take 2x Lian Li 120mm

NB: Dell E7470 Skylake Core i5 + 8GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
Warrax
Používateľ
Používateľ
Príspevky: 642
Dátum registrácie: So 25. Feb, 2006, 02:00
Bydlisko: Bratislava - Dúbravka

Re: Ransomware a ina haveť (MikroTik)

Príspevok od používateľa Warrax »

Zdravim.

Neviete ako je mozne, ze ked mam windows 7 update, a nemal som nainstalovany KB (update) security patch, proti Wanna Cry ransomware?
Ostal som sokovany. Pozrel som list vsetkych updatov, a nebol tam v liste. Taky kriticky update? Dokonca ani tie z okolia 03/2017 - 06/2017, kedy sa to riesilo. Trebalo normalne manualne stiahnut update, odtialto

https://www.catalog.update.microsoft.co ... 474419+x64

a nainstalovat ho.

Stalo sa to aj vam, ze update co zablokuje WannaCry na windows 7, nebol v liste autoupdatov a museli ste ho vtedy riesit manualne?
Preco microsoft tak dolezity security update, nedal medzi auto-updaty?
O tom utoku wannacry som sa dozvedel az z clanku uplne nahodne az teraz, ja som o tom ani nevedel, lebo prave v roku 2017 som nepouzival komp velmi casto, a necital ani spravy nejak prilis casto, takze tuto udalost nepostrehol. Az teraz v jednom clanku som si precital, ako to nejaky 22 rocny chlapik zablokoval, ked registroval domenu. A len tak zo zaujimavosti som isiel na stranku microsoftu, kde boli vymenovane updaty, co to riesili, a skontroloval som, ci ich mam, lebo aj ine ransomware mozu zneuzivat tu bezpecnostnu hole, ktorou sa wanna cry siril.
Nemal som to poriesene, zistil som, a dokonca, medzi auto-updatami, co vysli, neboli nikde tie patche co to riesili, uplne som ostal sokovany. Ze som vlastne tu bezpecnostnu dieru mal otvorenu, celych 2,5 roka odvtedy.

Návrat na "Siete"