Zasoby wiedzy
Zasoby wiedzy
[admin@MikroTik] > ip service print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 telnet 23 0.0.0.0/0
1 ftp 21 0.0.0.0/0
2 www 80 0.0.0.0/0
3 ssh 22 0.0.0.0/0
4 X www-ssl 443 0.0.0.0/0 none
Jeśli korzystamy z usługi SSH to wyłączmy TELNET i ograniczmy dostęp do SSH poprzez przypisanie konkretnego adresu IP z którego można będzie wykonać połączenie. Należy także przenieść SSH na wysoki niestandardowy port. Taka zmiana w niczym nam nie zaszkodzi, ale potencjalnemu napastnikowi już tak. Szczególnie mam tu na myśli roboty skanujące sieć Internet w celu odnalezienia otwartych standardowych portów.Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 telnet 23 0.0.0.0/0
1 ftp 21 0.0.0.0/0
2 www 80 0.0.0.0/0
3 ssh 22 0.0.0.0/0
4 X www-ssl 443 0.0.0.0/0 none
Jeśli usługa SSH pracuje na domyślnym porcie 22 a nasz system ma przypisany publiczny adres IP to w logach systemowych możemy często zaobserwować próbę ataku słownikowego.
[admin@MikroTik] > log print
jun/19/2008 02:34:38 system,error,critical login failure for
user workshop from 221.124.0.130 via ssh
jun/19/2008 02:34:42 system,error,critical login failure for
user mailnull from 221.124.0.130 via ssh
jun/19/2008 02:34:46 system,error,critical login failure for
user nfsnobody from 221.124.0.130 via ssh
jun/19/2008 02:34:50 system,error,critical login failure for
user rpcuser from 221.124.0.130 via ssh
jun/19/2008 02:34:55 system,error,critical login failure for
user rpc from 221.124.0.130 via ssh
jun/19/2008 02:34:59 system,error,critical login failure for
user gopher from 221.124.0.130 via ssh
• Zmienimy standardowy port 22 usługi SSH na port 2002 i nadamy prawo do pracy w systemie z adresu 10.0.0.100:jun/19/2008 02:34:38 system,error,critical login failure for
user workshop from 221.124.0.130 via ssh
jun/19/2008 02:34:42 system,error,critical login failure for
user mailnull from 221.124.0.130 via ssh
jun/19/2008 02:34:46 system,error,critical login failure for
user nfsnobody from 221.124.0.130 via ssh
jun/19/2008 02:34:50 system,error,critical login failure for
user rpcuser from 221.124.0.130 via ssh
jun/19/2008 02:34:55 system,error,critical login failure for
user rpc from 221.124.0.130 via ssh
jun/19/2008 02:34:59 system,error,critical login failure for
user gopher from 221.124.0.130 via ssh
[admin@MikroTik] ip service> set ssh port 2222 address=10.0.0.100
[admin@MikroTik] ip service> print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 X telnet 23 0.0.0.0/0
1 ftp 21 0.0.0.0/0
2 X www 80 0.0.0.0/0
3 ssh 2002 10.0.0.100/32
4 X www-ssl 443 0.0.0.0/0 none
• Wyłączmy teraz usługę WWW i TELNET w naszym systemie:[admin@MikroTik] ip service> print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 X telnet 23 0.0.0.0/0
1 ftp 21 0.0.0.0/0
2 X www 80 0.0.0.0/0
3 ssh 2002 10.0.0.100/32
4 X www-ssl 443 0.0.0.0/0 none
[admin@MikroTik] > ip service disable www
[admin@MikroTik] > ip service disable telnet
[admin@MikroTik] > ip service print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 X telnet 23 0.0.0.0/0
1 ftp 21 0.0.0.0/0
2 X www 80 0.0.0.0/0
3 ssh 2002 10.0.0.100/32
4 X www-ssl 443 0.0.0.0/0 none
W każdej chwili, jeśli zajdzie taka potrzeba, możemy każdą usługę aktywować wydając przykładowe polecenie - /ip service enable www[admin@MikroTik] > ip service disable telnet
[admin@MikroTik] > ip service print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 X telnet 23 0.0.0.0/0
1 ftp 21 0.0.0.0/0
2 X www 80 0.0.0.0/0
3 ssh 2002 10.0.0.100/32
4 X www-ssl 443 0.0.0.0/0 none
Następna sprawa - często bagatelizowana przez administratorów - to możliwość dostępu do systemu Mikrotik RouteOS poprzez MAC adres interfejsu platformy sprzętowej. Do połączenia z systemem poprzez MAC adres możemy użyć aplikacji Neighbor Viewer lub Winbox dla systemu Windows. Połączenie to możemy także zainicjować z samego systemu Mikrotik RouterOS poprzez polecenie /tool mac-telnet
• Poleceniem /tool mac-server możemy kontrolować możliwość dostępu do systemu poprzez MAC telnet.
[admin@MikroTik] > tool mac-server print
Flags: X - disabled
# INTERFACE
0 all
Jak widzimy połączenie MAC Telnet możemy wykonać z każdym fizycznym interfejsem który jest aktywny i dostępny w systemie. Poniższą komendą usuniemy tę możliwość:Flags: X - disabled
# INTERFACE
0 all
[admin@MikroTik] > tool mac-server remove 0
[admin@MikroTik] > tool mac-server print
Flags: X - disabled
# INTERFACE
• Poleceniem /tool mac-server mac-winbox możemy kontrolować możliwość dostępu do systemu poprzez Winbox.[admin@MikroTik] > tool mac-server print
Flags: X - disabled
# INTERFACE
{hidefrom=registered}( ... )
Pełna treść tego artykułu zarezerwowana jest dla zarejestrowanych użytkowników AkademiaWiFi.pl
{mosloadposition advert1} {/hidefrom}{viewonly=registered}
[admin@MikroTik] > tool mac-server mac-winbox print
Flags: X - disabled
# INTERFACE
0 all
Poniższe polecenia ustawią w systemie Mikrotik RouterOS możliwość dostępu do systemu tylko poprzez interfejs ether1 :Flags: X - disabled
# INTERFACE
0 all
[admin@MikroTik] > tool mac-server mac-winbox disable 0
[admin@MikroTik] > tool mac-server mac-winbox print
Flags: X - disabled
# INTERFACE
0 X all
[admin@MikroTik] > tool mac-server mac-winbox add interface=ether1 disabled=no
[admin@MikroTik] > tool mac-server mac-winbox print
Flags: X - disabled
# INTERFACE
0 X all
1 ether1
{/viewonly} [admin@MikroTik] > tool mac-server mac-winbox print
Flags: X - disabled
# INTERFACE
0 X all
[admin@MikroTik] > tool mac-server mac-winbox add interface=ether1 disabled=no
[admin@MikroTik] > tool mac-server mac-winbox print
Flags: X - disabled
# INTERFACE
0 X all
1 ether1
