Lifehack for router protection and network

Documente similare
Example Title with Registration Microsoft® and Trademark SQL ServerTM

Laborator - Depanarea configurării și plasării ACL-ului. Topologie 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Publi

Packet Tracer - Configurarea ACL-urilor extinse - Scenariul 1 Topologie Tabela de Adresare R1 Echipament Interfață Adresă IP Masca de subreţea Default

Reţele de calculatoare

Laborator - Configurarea NAT-ului Dinamic și Static Topologie Tabela de Adresare Echipament Interfață Adresă IP Masca de subreţea Default Gateway Obie

Laborator - Configurarea de bază DHCPv4 pe un router Topologie Tabela de Adresare Echipame nt Interfață Adresă IP Masca de subreţea Default Gateway Ob

Modulul 1 M1-2.3 Protocoale şi servicii în reţea În acest capitol ne propunem să abordăm următoarele: Protocoalele şi aplicaţiile folosite în reţelele

Microsoft Word - cap2.2.UNIX-NOS.doc

Microsoft Word - lab-fr_3

Dispozitiv fără fir de tipul All-in-1 ADSL2/2 + gateway pentru domiciliu WL-600g Manual de utilizare Rom2458 / Iulie 2006

RX3041 V2 Manualul utilizatorului

1. Depistarea setarilor de retea necesare Primul pas pentru introducerea in retea a DVR-ului este determinarea setarilor de retea cu care lucreaza ret

Generated by Unregistered Batch DOC TO PDF Converter , please register! Platformă de e-learning și curriculă e-content pentru învățămâ

Laborator - Configurarea Rutelor IPv4 Statice și Implicite Topologie Tabela de Adresare Echipame nt Interfață Adresă IP Masca de subreţea Default Gate

Laborator - Configurarea Setărilor de Bază ale Router-ului cu CCP Topologie Tabela de Adresare Echipament Interfață Adresă IP Masca de subreţea Defaul

Ghidul utilizatorului RT-AC53 Ruter Gigabit Wireless-AC750 de bandă duală

Laborator Depanarea Rutării Inter-VLAN Topologie 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Page 1 of 8

Example Title with Registration Microsoft® and Trademark SQL ServerTM

DSL-N10E Ruter fără fir 11n Manual de utilizare

FIŞA DISCIPLINEI 1. Date despre program 1.1 Instituţia de învăţământ superior Universitatea Babeş-Bolyai Cluj-Napoca 1.2 Facultatea Facultatea de Mate

User Guide - Linksys E8350 AC2400 Dual Band Gigabit Wi-Fi Router

Laborator - Proiectarea și Implementarea Adresării cu VLSM Topologie Obiective Partea 1: Examinați Cerințele Rețelei Partea 2: Proiectați Schema Adres

2

LUMINIŢA SCRIPCARIU

ZE SHP IB_DB A-00_RO.indd /4/14 19:39:30

Example Title with Registration Microsoft® and Trademark SQL ServerTM

Microsoft Word Sony_Ericsson_RO.doc

EW-7416APn v2 & EW-7415PDn Ghid de instalare Macintosh / v2.0 0

Example Title with Registration Microsoft® and Trademark SQL ServerTM

AcadNet Etapa Naţională Secțiunea calculatoare, clasele Citiți cu atenție toate subiectele înainte de a începe rezolvarea. Aveți 15 minut

Laborator - Folosirea Wireshark-ului pentru Examinarea Frameurilor Ethernet Topologie Obiective Partea 1: Examinați Câmpurile Header-ului dintr-un Fra

Ghidul Utilizatorului GW210

GT-100IP InternetPhone [VoIP] Ghidul Utilizatorului (V1.0)

Pentru afacerea dumneavoastră ModernBiz Glossary 2014 Microsoft Corporation. Toate drepturile rezervate.

Carrier Pidgeon Protocol

1

PT-9800PCN_NUG_ROM.book

D6300 WiFi ADSL Modem Router Installation Guide Cover

CONFIGURARE SHOREWALL Autor:Marius Strâcnă Data: Versiunea: 1.1 Ce este Shorewall? Shorewall este un instrument free software firewall pent

ÎS CENTRUL DE TELECOMUNICAȚII SPECIALE CENTRUL DE CERTIFICARE A CHEILOR PUBLICE POLITICA de utilizare a certificatelor SSL Iunie 2013 Chişinău 2013

Ghidul utilizatorului de reţea Server de imprimare multifuncţional pentru conexiune Ethernet multiprotocol prin cablu şi server de imprimare multifunc

COLEGIUL TEHNIC „VICTOR UNGUREANU” CAMPIA TURZII

Echipamente de tip Glitel Identificarea Model-ului și Hardware version al echipamentului: Deschidem web browserul (Internet Explorer, Opera, Mozila, G

FIŞA DISCIPLINEI 1. Date despre program 1.1 Instituţia de învăţământ superior Universitatea Babeş-Bolyai Cluj-Napoca 1.2 Facultatea Facultatea de Mate

Reţele de calculatoare

Camera cu IP NC541 - manual de utilizare

Colegiul Economic Administrativ - Iasi

PowerPoint Presentation

Ghidul utilizatorului AC1750 Ruter Gigabit Wireless de bandă duală

Ghidul utilizatorului RT-AC51U Router wireless AC750 cu bandă dublă

Carrier Pidgeon Protocol

QUICK START GUIDE

Laborator5- ASR

Laborator Configurarea OSPFv3 Single-Area de bază (Versiunea Instructorului) Nota Instructorului: Textul de culoare roșie sau evidențierile cu gri ind

Testul l.1 Numele si prenumele Durata evaluării Timp de lucru: 30 minute Exerciţiul 1 Enunţ: Pentru fiecare item bifaţi răspunsurile corecte. 1.1 Ce v

Manual-utilizare-PNI-IP31-IP32.cdr

Manual de utilizare Set volan și pedale MG7402

MF65M Ghid de utilizare rapidă ZTE CORPORATION Hi-techRoad South Nr. 55, ShenZhen, R.P.China Cod poștal:

WorkCentre M123/M128, WorkCentre Pro 123/128, CopyCentre C123/128 Ghid de Configurare Rapidă pentru Reţea

Utilizare Internet

INTREBARI FRECVENTE SI MANUAL DE UTILIZARE hub.sendsms.ro

Biomedical Wi-Fi data transmissons

VoIP Voice Over IP

Utilizare Internet

MINISTERUL AFACERILOR INTERNE DEPARTAMENTUL PENTRU SITUAŢII DE URGENŢĂ INSPECTORATUL GENERAL PENTRU SITUAŢII DE URGENŢĂ INSPECTORATUL PENTRU SITUAŢII

Manual de utilizare Room Booking System

2 BAZE TEORETICE ALE REȚELELOR DE CALCULATOARE CAPITOLUL 2 BAZE TEORETICE ALE REŢELELOR DE CALCULATOARE 2.1. Necesitatea standardizării (referenţierii

Lucrarea nr. 2 Aplicaţii de tip client Mihai IVANOVICI 6 martie 2006 Scopul acestei lucrări este de a vă familiariza cu modulul Python socket şi cu mo

PowerPoint Presentation

ANEXA nr

Rețele de Calculatoare

Sisteme de operare


Carrier Pidgeon Protocol

SEM 12 - Crearea conținutului Web (HTML, CSS, WordPress)

Comparație versiuni AOMEI Backupper 1 Care versiune este cea mai potrivită pentru dvs.? AOMEI Backupper este disponibil în prezent în patru ediții dif

2

DCS-2330L_A1_QIG_v1.00(EU).indd

Română N150 Echipament ruter de bază English Français Deutsch Nederl ands Español Italiano Português POLSKI ČEsK Y SLOVENSK Y MAGYAR Manual de utiliza

Atributii:

Microsoft PowerPoint - ARI_R_c9-10_IP_part2 [Compatibility Mode]

Ghid utilizatorului WiFi_ro

Comanda si supravegherea centralelor termice de putere

Ch

BDV-EF1100

MINISTERUL DE INTERNE


EVOLUȚIA AMENINȚĂRILOR ÎN SPAȚIUL CIBERNETIC ROMÂNESC ÎN ANUL 2018

Decizie_Piata_1_Spice_Telecom_nr_35_2018_consolidata pdf

TRIBUNALUL GORJ Departamentul Economic Financiar și Administrativ Nr: 629 Data: SOLICITARE DE OFERTĂ Tribunalul Gorj, cu sediul în Tg-Jiu,

RO11526 Ediție revizuită V2 Mai 2016 Manual electronic

Laborator2 - ASR

Ghid de asistenţă Difuzor din sticlă LSPX-S2 În continuare, veți găsi explicații privind utilizarea difuzorului din sticlă. Selectați un subiect din p

NESECRET 1/4

Microsoft Word - MI_05_009_Prescriere_1.doc

Strategia de dezvoltare a infrastructurii digit a Universității de Stat din Tiraspol APROBAT La ședința Senatului UST 2017 Context 1. Sistemul educați

În atenţia operatorilor economici interesaţi, SOLICITARE DE OFERTE Autoritatea Naţională pentru Administrare şi Reglementare în Comunicaţii (ANCOM), c

Microsoft Word - ReteleCalculatoare-IA-FisaDisciplina-2019.doc

Transcriere:

Lifehack for router protection and network Presenter Vyacheslav Sambursky Mikrotik Certified Trainer

About me Technical University of Moldova, 2003 Academy of Economics Science, Master Degree, 2006 IT Engineer from 2003 Mikrotik Academy Trainer, 2012 Mikrotik Trainer, 2014 Venice, European MUM. MUM Presentation Chișinău - 2013 București 2014 București 2018

De ce MikroTik Routerboard? De ce NU? Caracteristici generale ale routerelor Mikrotik Fiabilitate Opțiuni extinse Flexibilitate Gamă variată de soluții Preț accesibil (comparativ cu giganții din clasa ) Hardware upgrade ușor Alte

Amenințări ale securității Interne cauzate de clienții rețelei administrate de departamentul IT Externe cauzate de hackeri și alte surse

PASSWORD Pe echipamente se setează Parolă ( PASSWORD ) Local Centralizat (Radius)

PASSWORD Local settings. Creați useri cu dreptul de accesare de pe anumite adrese IP În caz că IP oferit de ISP este dinamic (PPPoE, LTE...) folosiți VPN Utilizatorii se adaugă în meniul /system users

PASSWORD

Recomandări: Default user să fie schimbat. Creați un user nou cu drepturi Full, utilizați acest user pentru administrare.

PASSWORD RADIUS MANAGEMENT Se setează RADIUS Client [admin@mikrotik] > radius add address=192.169.100.100 secret=password service=login Setăm verificarea parolei pe serverul radius [admin@mikrotik] > user aaa set use-radius=yes accounting=yes defaultgroup=full

PASSWORD

Routerul este protejat? DA NU

BRUTE FORCE

ATAC DE TIP BRUTE FORCE Cele mai dese tipuri de atacuri asupra parolelor: BRUTE FORCE - un atac prin forță brută sau o căutare exhaustivă de cheie reprezintă un atac criptoanalitic, ce poate fi folosit teoretic pentru orice tip de date codificate (cu excepția datelor criptate într-un mod teoretic sigur). Acestă metodă constă în verificarea sistematică a tuturor cheilor posibile, până când este găsită cheia corectă.

UPGRADE MAJOR CHANGES IN v6.45.1: ----------------------!) dot1x - added support for IEEE 802.1X Port-Based Network Access Control;!) ike2 - added support for EAP authentication methods (eap-tls, eapttls, eap-peap, eap-mschapv2) as initiator;!) security - fixed vulnerabilities CVE-2019-13954, CVE-2019-13955;!) security - fixed vulnerabilities CVE-2019-11477, CVE-2019-11478, CVE-2019-11479;!) security - fixed vulnerability CVE-2019-13074;!) user - removed insecure password storage;

CVE-2019-13074 - a vulnerability in the FTP daemon on MikroTik routers through 6.44.3 could allow remote attackers to exhaust all available memory, causing the device to reboot because of uncontrolled resource management. CVE-2019-13954, CVE-2019-13955 - Mikrotik RouterOS before 6.44.5 (long-term release tree) is vulnerable to memory exhaustion. By sending a crafted HTTP request, an authenticated remote attacker can crash the HTTP server and in some circumstances reboot the system. Malicious code cannot be injected. CVE-2019-11477,CVE-2019-11478,CVE-2019-11479 - CP_SKB_CB(skb)->tcp_gso_segs value was subject to an integer overflow in the Linux kernel when handling TCP Selective Acknowledgments (SACKs). A remote attacker could use this to cause a denial of service. Sursa: https://nvd.nist.gov/vuln/detail/cve-2019-xxxxx

MIKROTIK SERVICES API API-SSL FTP SSH TELNET WINBOX WWW WWW-SSL

METODE DE PROTECȚIE STOP SERVICE API API-SSL FTP SSH TELNET WINBOX WWW WWW-SSL

Metoda 1 Blocarea accesării multiplă a aceluaiși serviciu ip firewall filter add action=add-src-to-address-list address-list=blacklist address-list-timeout=5d chain=forward connection-state=new disabled=yes dst-address=8.9.10.11 dstport=22 protocol=tcp src-address=!8.9.10.0/24 src-address-list=ssh_stage3 add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=forward connection-state=new disabled=yes dst-address= 8.9.10.11 dstport=22 protocol=tcp src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 address-listtimeout=1m chain=forward connection-state=new disabled=yes dstaddress=8.9.10.11 dst-port=22 protocol=tcp src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 address-listtimeout=1m chain=forward connection-state=new disabled=yes dstaddress=8.9.10.11 dst-port=22 protocol=tcp

Metoda 2 Port Knoking /ip firewall filter add action=drop chain=input dst-port=8291 protocol=tcp src-address-list=!winboxaccept add action=add-src-to-address-list address-list=winbox-accept address-list-timeout=1d chain=input dst-port=5555 protocol= tcp src-address-list=winbox-2 add action=add-src-to-address-list address-list=winbox-2 address-list-timeout=1m chain=input dst-port=4444 protocol=tcp src-address-list=winbox-1 add action=add-src-to-address-list address-list=winbox-1 address-list-timeout=1m chain=input dst-port=1234 protocol=tcp

RISCURI LAYER 2 CDP/MNDP Flooding

Creează invizibilitate: RISCURI LAYER 2 /ip neighbors

IP NEIGHBOURS

/IP NEIGHBOURS

MAC Server / MAC TELNET și MAC - WINBOX

UPnP UPnP set de protocoale care permite router-ului, de a seta comenzi pentru configurarea automată a anumitor servicii sub necesitățile unei aplicații. La activarea UPnP, nu se ai poate integral de administrat routerul confom necesitățiilor. Dezactivați UPnP. /ip upnp

Wireless Security Utilizați doar protocoale sigure: WPA2+AES Nu distribuiți parola oaspeților (Creați profil (SSID) pentru oaspeți.)

Interziceți trafic Layer2 între clienții conectați la același AP. Interziceți MNDP/CDP pe interfața wlan3 (guest) Activați Reply-Only pe intrefața wlan3. Tabela ARP se va completa din DHCP VIRTUAL AP

DHCP MANAGEMENT Folosiți managementul adreselor IP Interziceți setarea adreselor IP manual

DHCP MANAGEMENT

ARP REPLY-ONLY Răspunde doar cererilor ce vin de la perechile de IP/MAC listate în tabela ARP

IZOLAREA REȚELEI WIRELESS GUEST Metoda 1 Firewall. Neajunsuri consumă resursele routerului. Metoda 2 Routing.

DNS REBINDING Utilizarea serviciilor aditionale pentru cererilor DNS. Setări necesare pentru redirecționarea traficului. filtrarea traficului în baza /ip dns set servers=server.flashstart.com allow-remote-request=yes /ip firewall nat add chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53

DNS REBINDING

DNS BINDING Dacă este strict necesară folosirea Allow remote request

DNS BINDING > ip firewall filter add chain=input protocol=udp dst-port=53 in-interface-list=wan action=drop

Primul centru de instruire Mikrotik în România. Fondat în 2014. Sediu: Brașov, str. Orizontului 6, tel: +40 364 086 906. email: office@academia-mikrotik.ro

2024 © DocPlayer.ro Politica de confidențialitate | Reguli de utilizare | Feedback-ul