Ransomware a ina haveť (MikroTik)

Všetko o sieťach, nastaveniach, problémoch ...
Užívateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 2708
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa 16cmfan » Ut 16. Máj, 2017, 11:42

Nejake bezpečnostne tipy ?

Ja som si na MT pridal tieto pravidla...

Kód: Vybrať všetko

 chain=forward action=drop protocol=tcp dst-port=135-139 log=yes log-prefix="" 

18    chain=forward action=drop protocol=udp dst-port=135-139 log=yes log-prefix="" 

19    chain=forward action=drop protocol=tcp dst-port=445 log=yes log-prefix="" 

20    chain=forward action=drop protocol=udp dst-port=445 log=yes log-prefix=""
Co myslite, zbytocnost ?
PC: Asus M5A97 R 2.0 - FX-6300@3.8GHz - 16G RAM@1866MHz - MSi GTX 960 4G Gaming@1400Mhz
Mobil: Huawei P Smart Z

mp3turbo
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 6531
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: Spišská Nová Vec

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa mp3turbo » Ut 16. Máj, 2017, 12:08

nie je to zbytocnost, avsak... citaj poslednu vetu :)


Je otazka aky Microsoft sharing by ti mohol/mal prist z internetu, ale generalne tvoje pravidla davaju zmysel. Pozor na jednu vec : nemas specifikovany ziadny interface a/alebo akekolvek ine podmienky ktore musia byt splnene na tento drop = VSETOK takyto traffic ktory by chcel prejst cez Mikrotik bude zahodeny.

Vo vnutornej sieti to moze byt cirkus, ze ? Ked mas viacere subnety a su spojene Mikrotikom, Microsoft SMB sharing ti nepojde - teda ani vo vnutornej sieti. Keby si chcel zakazat vstup takehoto trafficu zvonku, pouzil by si napriklad in-interface kvalifikator, cize napr

18 chain=forward action=drop protocol=udp dst-port=135-139 log=yes log-prefix="" in-interface=ether1
[ za podmienky ze ether1 ta pripaja na vonkajsi svet ]

pripadne
18 chain=forward action=drop protocol=udp dst-port=135-139 log=yes log-prefix="" src-address=!192.168.0.0/16
[ cize AK ZDROJOVA ADRESA NIE JE [!] 192.168.x.x TAK POTOM ZAHOD TENTO TRAFFIC cize tu uz nerozlisujes interfejsy ale nieco ine]



PS: ajtak je spravne mat zakazane vsetko a povolovat podla potreby, cize taketo pravidla pri spravnom pouziti mozgu vobec nepotrebujes :)
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.

Užívateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 2708
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa 16cmfan » Ut 16. Máj, 2017, 12:18

Diky za tipy pridam to tam - co sa tyka mozgu, umna to problem nie je ale mam tu dalsich clenov rodiny :D
PC: Asus M5A97 R 2.0 - FX-6300@3.8GHz - 16G RAM@1866MHz - MSi GTX 960 4G Gaming@1400Mhz
Mobil: Huawei P Smart Z

Užívateľov profilový obrázok
Snake
Administrátor
Administrátor
Príspevky: 13627
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta
Kontaktovať užívateľa:

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa Snake » Ne 21. Máj, 2017, 01:50

mp3turbo napísal:nie je to zbytocnost, avsak... citaj poslednu vetu :)


Je otazka aky Microsoft sharing by ti mohol/mal prist z internetu, ale generalne tvoje pravidla davaju zmysel. Pozor na jednu vec : nemas specifikovany ziadny interface a/alebo akekolvek ine podmienky ktore musia byt splnene na tento drop = VSETOK takyto traffic ktory by chcel prejst cez Mikrotik bude zahodeny.

Vo vnutornej sieti to moze byt cirkus, ze ? Ked mas viacere subnety a su spojene Mikrotikom, Microsoft SMB sharing ti nepojde - teda ani vo vnutornej sieti. Keby si chcel zakazat vstup takehoto trafficu zvonku, pouzil by si napriklad in-interface kvalifikator, cize napr

18 chain=forward action=drop protocol=udp dst-port=135-139 log=yes log-prefix="" in-interface=ether1
[ za podmienky ze ether1 ta pripaja na vonkajsi svet ]

pripadne
18 chain=forward action=drop protocol=udp dst-port=135-139 log=yes log-prefix="" src-address=!192.168.0.0/16
[ cize AK ZDROJOVA ADRESA NIE JE [!] 192.168.x.x TAK POTOM ZAHOD TENTO TRAFFIC cize tu uz nerozlisujes interfejsy ale nieco ine]



PS: ajtak je spravne mat zakazane vsetko a povolovat podla potreby, cize taketo pravidla pri spravnom pouziti mozgu vobec nepotrebujes :)
Ja som sa vzdy ucil, ze siete na rovnakej VLANe su switchovane, nie routovane, pochybujem ze doma ma nejaky intervlan routing spraveny kde by spajal takto subnety (lebo isto vieme, ze subnety vieme oddelit aj na tej istej vlane). Ale inak (in)valid point.

ad 1) zbytocne toto nejak klasifikovat, nakolko winy zahadzuju defaultne takychto sharing ak pochadza z ineho subnetu
ad 2) ak winy nie su patchnute, sorry, definuj si na MT co chces a chytis to po lokalke

Toto riesit na urovni gateway mi pride uplne zbytocne, kedze staci jedna masina co neni patchnuta a leti to dole, a je uplne jedno aky rule je definovany
#rollerman

faugusztin
Moderátor
Moderátor
Príspevky: 15341
Dátum registrácie: Ut 26. Feb, 2008, 14:00
Bydlisko: Bratislava/Štúrovo

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa faugusztin » Ne 21. Máj, 2017, 12:11

Ako pisal Snake, riesenie na ransomware je mat zapnute Windows update a rozumne spravanie sa. Teda nikto v sieti nech nespusta SuperFotkaZDovolenky.jpg.exe co pride v pochybnom maile.

mp3turbo
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 6531
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: Spišská Nová Vec

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa mp3turbo » Ne 21. Máj, 2017, 14:07

jasne, takisto mozeme povedat ze v domacej sieti kde nepouzivas ziadny sharing mozes mat veselo vypnute a zakazane sluzby SERVER a WORKSTATION plus tisic dalsich veci (a tych par suborov co semtam potrebujes preniest dokazes aj cez usb kluc). Takisto netreba zopar dalsich sluzieb vo Vindouse ktore uz tiez mali remote exploity.

V kazdom pripade je "ochrana" na urovni Mikrotiku/routrov a spomenute veci uplne ina vrstva ochrany.
Layered defense and common sense. Nutnost patchovania ? Pardon, vsetci ktori patchovali v marci su mimo ohrozenia. edit : no, hadam uz vela tych XPciek nestretneme.

A ked sa uz bavime o tom ChcemPlakat co si teraz nezasluzene zasluzil obrovsku pozornost medii, pardon ale kto este dnes pouziva SMB1 ?
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.

faugusztin
Moderátor
Moderátor
Príspevky: 15341
Dátum registrácie: Ut 26. Feb, 2008, 14:00
Bydlisko: Bratislava/Štúrovo

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa faugusztin » Ne 21. Máj, 2017, 14:34

Tak vacsina infikovanych pocitacov bola Windows 7 s vypnutymi updatmi v pripade WannaCry. Snad az na infekcie v Cine a NHS v UK, tam to bolo vacsinou XP.

Realne ti ale SMB request z WAN nemal prist, a keby aj - NAT to vacsinou vyriesi, kedze na WAN porte by nemalo byt nic, co naslucha SMB packetom.

Užívateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 2708
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa 16cmfan » St 24. Máj, 2017, 16:53

Tak mi ide konecne aj cez NB sa pripojit na VPNku L2TP/IPSEC...

Viem sa pripojit do web rozhrania NAS a podobne (bolo potrebne sa pohrabat v registroch WIN7, defeautlne nema zapnutu podporu NAT-T - ja som myslel ze zle konfigurujem MT ale ked mi to na Androide blbom islo :rolleyes: No nic problem vyrieseny...

Funguje aj SMB dokonca :cool: ale len za predpokladu, ze mam deaktivovane tieto pravidla (FW funguje tym padom paradne :D)

Kód: Vybrať všetko

 chain=forward action=drop protocol=tcp src-address=!192.168.0.0/16 dst-port=135-139 
      log=yes log-prefix="" 

17    chain=forward action=drop protocol=udp src-address=!192.168.0.0/16 dst-port=135-139 
      log=yes log-prefix="" 

18    chain=forward action=drop protocol=tcp src-address=!192.168.0.0/16 dst-port=445 
      log=yes log-prefix="" 

19    chain=forward action=drop protocol=udp src-address=!192.168.0.0/16 dst-port=445 
      log=yes log-prefix="" 
No ale nechapem, ak mam definovanu Local address z rozsahu 192.168.0.0 (konkretne 192.168.2.97 mi to pridelilo) a remote je 10.10.10.10.. ze by tam bol niekde pes zakopany ? Mam to chapat tak ze treba vo FW povolit aj tuto adresu ?
PC: Asus M5A97 R 2.0 - FX-6300@3.8GHz - 16G RAM@1866MHz - MSi GTX 960 4G Gaming@1400Mhz
Mobil: Huawei P Smart Z

mp3turbo
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 6531
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: Spišská Nová Vec

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa mp3turbo » St 24. Máj, 2017, 19:23

ja som neporozumel, napis co potrebujes... odkial kam (zdrojova IP, cielova Ip). Prislusne pravidlo zaradis pred tieto zakazujuce a bude to chodit tak ako ma - budes mat vzdialeny pristup a zaroven aj budes chraneny.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.

Užívateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 2708
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa 16cmfan » St 24. Máj, 2017, 19:32

Ano presne ako pises chcem byt chraneny ale zaroven mat cez l2tp/ipsec pristup na sambu. Remote address mam na l2tp 10.10.10.10 a local address je na subnete 192.168.2.0
PC: Asus M5A97 R 2.0 - FX-6300@3.8GHz - 16G RAM@1866MHz - MSi GTX 960 4G Gaming@1400Mhz
Mobil: Huawei P Smart Z

mp3turbo
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 6531
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: Spišská Nová Vec

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa mp3turbo » St 24. Máj, 2017, 21:03

add chain=forward action=drop protocol=tcp src-address=10.10.10.10/32 dst-address=192.168.2.0/24 dst-port=135-139 log=yes place-before=16
add chain=forward action=drop protocol=udp src-address=10.10.10.10/32 dst-address=192.168.2.0/24 dst-port=135-139 log=yes place-before=16
add chain=forward action=drop protocol=tcp src-address=10.10.10.10/32 dst-address=192.168.2.0/24 dst-port=445 log=yes place-before=16
add chain=forward action=drop protocol=udp src-address=10.10.10.10/32 dst-address=192.168.2.0/24 dst-port=445 log=yes place-before=16

place-before a cislo musi sediet s tvojim sucasnym cislovanim pravidiel = zabezpeci ze tieto nove pravidla sa naprdia rovno pred tie ktore SMB zakazuju. Avsak pozor, musis vediet co tu robis : tymto povolis SMB pristup danej masine 10.10.10.10 na akukolvek internu 192.168.2.x adresu, neviem - teda vlastne urcite viem - ci by nahodou nebolo lepsie povolit len konkretne adresy ktore potrebujes, napriklad 192.168.2.3/32 alebo nieco na tento sposob. Ide totiz o to, ze ked budes mat zavireny pocitac 10.10.10.10 s ktorym sa pripojis na dialku, tak mas pred sebou celu 192.168.2.hocico siet otvorenu.

Ono tu bezpecnost nejde znasilnovat kladivom furt po hlave :) A ani toto by som nerobil, napriklad ako casto potrebujes mat SMB aktivne na dialku ? Sa rovna... musi byt povolene furt ?
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.

Užívateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 2708
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa 16cmfan » Št 25. Máj, 2017, 10:53

vidis, asi mas pravdu - si ho cez winbox (na dialku) povolim smb - nieco pozrem cez smb a opat zakazem pristup...
PC: Asus M5A97 R 2.0 - FX-6300@3.8GHz - 16G RAM@1866MHz - MSi GTX 960 4G Gaming@1400Mhz
Mobil: Huawei P Smart Z

mp3turbo
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 6531
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: Spišská Nová Vec

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa mp3turbo » Št 25. Máj, 2017, 12:31

len aby si mal ten winbox povoleny na dialku :)

tieto povolovacky mozes spravit aj automaticky : port knocking. Niekde som tu o tom pisal, aj su pekne zdokumentovane na mikrotik fore. Posles paket na port 57772, potom na port 28746, potom na port 11130 a mikrotik ti sam otvori smb na desat minut alebo kolko si nastavis. Ked budes potrebovat viac, posles paket na port 39399 a zostane ti dalsiu hodinu.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.

Užívateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 2708
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa 16cmfan » Št 25. Máj, 2017, 12:42

Ano winbox mam... skoda, ze nemam pevnu IP na O2 internete - ze by som mal vzdialeny pristup di MikroTiku mimo domu len cez mobil siet, jedine si odsledovat ipcky mozno sa opakuje urcita skupina a tak by som dal do src ip tieto - dalsia vrstva ochrany... zatial mam ako prve pravidlo winbox:

chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""
PC: Asus M5A97 R 2.0 - FX-6300@3.8GHz - 16G RAM@1866MHz - MSi GTX 960 4G Gaming@1400Mhz
Mobil: Huawei P Smart Z

Napísať odpoveď

Návrat na "Siete"