Ransomware a ina haveť (MikroTik)

Všetko o sieťach, nastaveniach, problémoch ...
Užívateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 2732
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa 16cmfan » Ut 16. Máj, 2017, 11:42

Nejake bezpečnostne tipy ?

Ja som si na MT pridal tieto pravidla...

Kód: Vybrať všetko

 chain=forward action=drop protocol=tcp dst-port=135-139 log=yes log-prefix="" 

18    chain=forward action=drop protocol=udp dst-port=135-139 log=yes log-prefix="" 

19    chain=forward action=drop protocol=tcp dst-port=445 log=yes log-prefix="" 

20    chain=forward action=drop protocol=udp dst-port=445 log=yes log-prefix=""
Co myslite, zbytocnost ?
PC: Asus M5A97 R 2.0 - FX-6300@3.8GHz - 16G RAM@1866MHz - MSi GTX 960 4G Gaming@1400Mhz
Mobil: Huawei P Smart Z

mp3turbo
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 6531
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: Spišská Nová Vec

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa mp3turbo » Ut 16. Máj, 2017, 12:08

nie je to zbytocnost, avsak... citaj poslednu vetu :)


Je otazka aky Microsoft sharing by ti mohol/mal prist z internetu, ale generalne tvoje pravidla davaju zmysel. Pozor na jednu vec : nemas specifikovany ziadny interface a/alebo akekolvek ine podmienky ktore musia byt splnene na tento drop = VSETOK takyto traffic ktory by chcel prejst cez Mikrotik bude zahodeny.

Vo vnutornej sieti to moze byt cirkus, ze ? Ked mas viacere subnety a su spojene Mikrotikom, Microsoft SMB sharing ti nepojde - teda ani vo vnutornej sieti. Keby si chcel zakazat vstup takehoto trafficu zvonku, pouzil by si napriklad in-interface kvalifikator, cize napr

18 chain=forward action=drop protocol=udp dst-port=135-139 log=yes log-prefix="" in-interface=ether1
[ za podmienky ze ether1 ta pripaja na vonkajsi svet ]

pripadne
18 chain=forward action=drop protocol=udp dst-port=135-139 log=yes log-prefix="" src-address=!192.168.0.0/16
[ cize AK ZDROJOVA ADRESA NIE JE [!] 192.168.x.x TAK POTOM ZAHOD TENTO TRAFFIC cize tu uz nerozlisujes interfejsy ale nieco ine]



PS: ajtak je spravne mat zakazane vsetko a povolovat podla potreby, cize taketo pravidla pri spravnom pouziti mozgu vobec nepotrebujes :)
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.

Užívateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 2732
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa 16cmfan » Ut 16. Máj, 2017, 12:18

Diky za tipy pridam to tam - co sa tyka mozgu, umna to problem nie je ale mam tu dalsich clenov rodiny :D
PC: Asus M5A97 R 2.0 - FX-6300@3.8GHz - 16G RAM@1866MHz - MSi GTX 960 4G Gaming@1400Mhz
Mobil: Huawei P Smart Z

Užívateľov profilový obrázok
Snake
Administrátor
Administrátor
Príspevky: 13723
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta
Kontaktovať užívateľa:

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa Snake » Ne 21. Máj, 2017, 01:50

mp3turbo napísal:nie je to zbytocnost, avsak... citaj poslednu vetu :)


Je otazka aky Microsoft sharing by ti mohol/mal prist z internetu, ale generalne tvoje pravidla davaju zmysel. Pozor na jednu vec : nemas specifikovany ziadny interface a/alebo akekolvek ine podmienky ktore musia byt splnene na tento drop = VSETOK takyto traffic ktory by chcel prejst cez Mikrotik bude zahodeny.

Vo vnutornej sieti to moze byt cirkus, ze ? Ked mas viacere subnety a su spojene Mikrotikom, Microsoft SMB sharing ti nepojde - teda ani vo vnutornej sieti. Keby si chcel zakazat vstup takehoto trafficu zvonku, pouzil by si napriklad in-interface kvalifikator, cize napr

18 chain=forward action=drop protocol=udp dst-port=135-139 log=yes log-prefix="" in-interface=ether1
[ za podmienky ze ether1 ta pripaja na vonkajsi svet ]

pripadne
18 chain=forward action=drop protocol=udp dst-port=135-139 log=yes log-prefix="" src-address=!192.168.0.0/16
[ cize AK ZDROJOVA ADRESA NIE JE [!] 192.168.x.x TAK POTOM ZAHOD TENTO TRAFFIC cize tu uz nerozlisujes interfejsy ale nieco ine]



PS: ajtak je spravne mat zakazane vsetko a povolovat podla potreby, cize taketo pravidla pri spravnom pouziti mozgu vobec nepotrebujes :)
Ja som sa vzdy ucil, ze siete na rovnakej VLANe su switchovane, nie routovane, pochybujem ze doma ma nejaky intervlan routing spraveny kde by spajal takto subnety (lebo isto vieme, ze subnety vieme oddelit aj na tej istej vlane). Ale inak (in)valid point.

ad 1) zbytocne toto nejak klasifikovat, nakolko winy zahadzuju defaultne takychto sharing ak pochadza z ineho subnetu
ad 2) ak winy nie su patchnute, sorry, definuj si na MT co chces a chytis to po lokalke

Toto riesit na urovni gateway mi pride uplne zbytocne, kedze staci jedna masina co neni patchnuta a leti to dole, a je uplne jedno aky rule je definovany
#rollerman

faugusztin
Moderátor
Moderátor
Príspevky: 15359
Dátum registrácie: Ut 26. Feb, 2008, 14:00
Bydlisko: Bratislava/Štúrovo

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa faugusztin » Ne 21. Máj, 2017, 12:11

Ako pisal Snake, riesenie na ransomware je mat zapnute Windows update a rozumne spravanie sa. Teda nikto v sieti nech nespusta SuperFotkaZDovolenky.jpg.exe co pride v pochybnom maile.

mp3turbo
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 6531
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: Spišská Nová Vec

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa mp3turbo » Ne 21. Máj, 2017, 14:07

jasne, takisto mozeme povedat ze v domacej sieti kde nepouzivas ziadny sharing mozes mat veselo vypnute a zakazane sluzby SERVER a WORKSTATION plus tisic dalsich veci (a tych par suborov co semtam potrebujes preniest dokazes aj cez usb kluc). Takisto netreba zopar dalsich sluzieb vo Vindouse ktore uz tiez mali remote exploity.

V kazdom pripade je "ochrana" na urovni Mikrotiku/routrov a spomenute veci uplne ina vrstva ochrany.
Layered defense and common sense. Nutnost patchovania ? Pardon, vsetci ktori patchovali v marci su mimo ohrozenia. edit : no, hadam uz vela tych XPciek nestretneme.

A ked sa uz bavime o tom ChcemPlakat co si teraz nezasluzene zasluzil obrovsku pozornost medii, pardon ale kto este dnes pouziva SMB1 ?
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.

faugusztin
Moderátor
Moderátor
Príspevky: 15359
Dátum registrácie: Ut 26. Feb, 2008, 14:00
Bydlisko: Bratislava/Štúrovo

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa faugusztin » Ne 21. Máj, 2017, 14:34

Tak vacsina infikovanych pocitacov bola Windows 7 s vypnutymi updatmi v pripade WannaCry. Snad az na infekcie v Cine a NHS v UK, tam to bolo vacsinou XP.

Realne ti ale SMB request z WAN nemal prist, a keby aj - NAT to vacsinou vyriesi, kedze na WAN porte by nemalo byt nic, co naslucha SMB packetom.

Užívateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 2732
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa 16cmfan » St 24. Máj, 2017, 16:53

Tak mi ide konecne aj cez NB sa pripojit na VPNku L2TP/IPSEC...

Viem sa pripojit do web rozhrania NAS a podobne (bolo potrebne sa pohrabat v registroch WIN7, defeautlne nema zapnutu podporu NAT-T - ja som myslel ze zle konfigurujem MT ale ked mi to na Androide blbom islo :rolleyes: No nic problem vyrieseny...

Funguje aj SMB dokonca :cool: ale len za predpokladu, ze mam deaktivovane tieto pravidla (FW funguje tym padom paradne :D)

Kód: Vybrať všetko

 chain=forward action=drop protocol=tcp src-address=!192.168.0.0/16 dst-port=135-139 
      log=yes log-prefix="" 

17    chain=forward action=drop protocol=udp src-address=!192.168.0.0/16 dst-port=135-139 
      log=yes log-prefix="" 

18    chain=forward action=drop protocol=tcp src-address=!192.168.0.0/16 dst-port=445 
      log=yes log-prefix="" 

19    chain=forward action=drop protocol=udp src-address=!192.168.0.0/16 dst-port=445 
      log=yes log-prefix="" 
No ale nechapem, ak mam definovanu Local address z rozsahu 192.168.0.0 (konkretne 192.168.2.97 mi to pridelilo) a remote je 10.10.10.10.. ze by tam bol niekde pes zakopany ? Mam to chapat tak ze treba vo FW povolit aj tuto adresu ?
PC: Asus M5A97 R 2.0 - FX-6300@3.8GHz - 16G RAM@1866MHz - MSi GTX 960 4G Gaming@1400Mhz
Mobil: Huawei P Smart Z

mp3turbo
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 6531
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: Spišská Nová Vec

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa mp3turbo » St 24. Máj, 2017, 19:23

ja som neporozumel, napis co potrebujes... odkial kam (zdrojova IP, cielova Ip). Prislusne pravidlo zaradis pred tieto zakazujuce a bude to chodit tak ako ma - budes mat vzdialeny pristup a zaroven aj budes chraneny.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.

Užívateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 2732
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa 16cmfan » St 24. Máj, 2017, 19:32

Ano presne ako pises chcem byt chraneny ale zaroven mat cez l2tp/ipsec pristup na sambu. Remote address mam na l2tp 10.10.10.10 a local address je na subnete 192.168.2.0
PC: Asus M5A97 R 2.0 - FX-6300@3.8GHz - 16G RAM@1866MHz - MSi GTX 960 4G Gaming@1400Mhz
Mobil: Huawei P Smart Z

mp3turbo
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 6531
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: Spišská Nová Vec

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa mp3turbo » St 24. Máj, 2017, 21:03

add chain=forward action=drop protocol=tcp src-address=10.10.10.10/32 dst-address=192.168.2.0/24 dst-port=135-139 log=yes place-before=16
add chain=forward action=drop protocol=udp src-address=10.10.10.10/32 dst-address=192.168.2.0/24 dst-port=135-139 log=yes place-before=16
add chain=forward action=drop protocol=tcp src-address=10.10.10.10/32 dst-address=192.168.2.0/24 dst-port=445 log=yes place-before=16
add chain=forward action=drop protocol=udp src-address=10.10.10.10/32 dst-address=192.168.2.0/24 dst-port=445 log=yes place-before=16

place-before a cislo musi sediet s tvojim sucasnym cislovanim pravidiel = zabezpeci ze tieto nove pravidla sa naprdia rovno pred tie ktore SMB zakazuju. Avsak pozor, musis vediet co tu robis : tymto povolis SMB pristup danej masine 10.10.10.10 na akukolvek internu 192.168.2.x adresu, neviem - teda vlastne urcite viem - ci by nahodou nebolo lepsie povolit len konkretne adresy ktore potrebujes, napriklad 192.168.2.3/32 alebo nieco na tento sposob. Ide totiz o to, ze ked budes mat zavireny pocitac 10.10.10.10 s ktorym sa pripojis na dialku, tak mas pred sebou celu 192.168.2.hocico siet otvorenu.

Ono tu bezpecnost nejde znasilnovat kladivom furt po hlave :) A ani toto by som nerobil, napriklad ako casto potrebujes mat SMB aktivne na dialku ? Sa rovna... musi byt povolene furt ?
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.

Užívateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 2732
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa 16cmfan » Št 25. Máj, 2017, 10:53

vidis, asi mas pravdu - si ho cez winbox (na dialku) povolim smb - nieco pozrem cez smb a opat zakazem pristup...
PC: Asus M5A97 R 2.0 - FX-6300@3.8GHz - 16G RAM@1866MHz - MSi GTX 960 4G Gaming@1400Mhz
Mobil: Huawei P Smart Z

mp3turbo
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 6531
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: Spišská Nová Vec

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa mp3turbo » Št 25. Máj, 2017, 12:31

len aby si mal ten winbox povoleny na dialku :)

tieto povolovacky mozes spravit aj automaticky : port knocking. Niekde som tu o tom pisal, aj su pekne zdokumentovane na mikrotik fore. Posles paket na port 57772, potom na port 28746, potom na port 11130 a mikrotik ti sam otvori smb na desat minut alebo kolko si nastavis. Ked budes potrebovat viac, posles paket na port 39399 a zostane ti dalsiu hodinu.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.

Užívateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 2732
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa 16cmfan » Št 25. Máj, 2017, 12:42

Ano winbox mam... skoda, ze nemam pevnu IP na O2 internete - ze by som mal vzdialeny pristup di MikroTiku mimo domu len cez mobil siet, jedine si odsledovat ipcky mozno sa opakuje urcita skupina a tak by som dal do src ip tieto - dalsia vrstva ochrany... zatial mam ako prve pravidlo winbox:

chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""
PC: Asus M5A97 R 2.0 - FX-6300@3.8GHz - 16G RAM@1866MHz - MSi GTX 960 4G Gaming@1400Mhz
Mobil: Huawei P Smart Z

Warrax
Používateľ
Používateľ
Príspevky: 815
Dátum registrácie: So 25. Feb, 2006, 02:00
Bydlisko: Bratislava - Dúbravka

Re: Ransomware a ina haveť (MikroTik)

Príspevok od užívateľa Warrax » St 25. Sep, 2019, 14:46

Zdravim.

Neviete ako je mozne, ze ked mam windows 7 update, a nemal som nainstalovany KB (update) security patch, proti Wanna Cry ransomware?
Ostal som sokovany. Pozrel som list vsetkych updatov, a nebol tam v liste. Taky kriticky update? Dokonca ani tie z okolia 03/2017 - 06/2017, kedy sa to riesilo. Trebalo normalne manualne stiahnut update, odtialto

https://www.catalog.update.microsoft.co ... 474419+x64

a nainstalovat ho.

Stalo sa to aj vam, ze update co zablokuje WannaCry na windows 7, nebol v liste autoupdatov a museli ste ho vtedy riesit manualne?
Preco microsoft tak dolezity security update, nedal medzi auto-updaty?
O tom utoku wannacry som sa dozvedel az z clanku uplne nahodne az teraz, ja som o tom ani nevedel, lebo prave v roku 2017 som nepouzival komp velmi casto, a necital ani spravy nejak prilis casto, takze tuto udalost nepostrehol. Az teraz v jednom clanku som si precital, ako to nejaky 22 rocny chlapik zablokoval, ked registroval domenu. A len tak zo zaujimavosti som isiel na stranku microsoftu, kde boli vymenovane updaty, co to riesili, a skontroloval som, ci ich mam, lebo aj ine ransomware mozu zneuzivat tu bezpecnostnu hole, ktorou sa wanna cry siril.
Nemal som to poriesene, zistil som, a dokonca, medzi auto-updatami, co vysli, neboli nikde tie patche co to riesili, uplne som ostal sokovany. Ze som vlastne tu bezpecnostnu dieru mal otvorenu, celych 2,5 roka odvtedy.
CPU: C2Q Q6600 (@3,0Ghz), Thermalright True Black, Enermax Magma MB: Asus P5Q Deluxe RAM: A-Data EE 2x2GB DDR2 PC8500 VGA: Asus 8800 GTS 512 MB +accelero S1 rev.2 HDD: WD Velociraptor 250 GB WD2500HHTZ + stisovaci box SQD 2.5 HDD2: WD10EARS 1TB (R.I.P.)+ Acutake Darkdisc2 PSU: Seasonic S-12 500W Case: Lian-Li PC8N Black Sound: audio-gd NFB11.32 Repro: M-Audio BX5a Deluxe Headph: Sennheiser HD600, Superlux HD681b Mouse: A4tech Bloody V7N Mousepad: Corepad Keira

Napísať odpoveď

Návrat na "Siete"