Ус­трой­ства MikroTik мож­но час­то встре­тить в кор­поратив­ных сетях, одна­ко кон­фиги в боль­шинс­тве слу­чаев оставля­ют желать луч­шего и откры­вают воз­можность для целого ряда атак. В этой статье я рас­смот­рю основные кон­цепции сетевой безопас­ности RouterOS с укло­ном в защиту от спу­фин­га, обра­бот­ку тра­фика и ата­ки на панели управле­ния.

info

Это ни в коем слу­чае не пол­ноцен­ный ману­ал по безопас­ности сетей с MikroTik, и наобо­рот — не все из при­веден­ных при­меров при­менишь на дру­гом обо­рудо­вании.

На­деж­но защитить сеть получит­ся, толь­ко если понимать всю ее кар­тину и уметь интегри­ровать фун­кции безопас­ности так, что­бы они работа­ли кор­рек­тно и не наруша­ли нор­маль­ную работу. В этом и есть слож­ность сетевой безопас­ности. Сети — осно­ва любых сов­ремен­ных орга­низа­ций, и к работе с ними нуж­но под­ходить осто­рож­но.

 

Неиспользуемые интерфейсы

Од­но из глав­ных пра­вил хороше­го тона — вык­лючать неис­поль­зуемые интерфей­сы. Это сни­жает веро­ятность несан­кци­они­рован­ного под­клю­чения. Соб­люсти это пра­вило очень прос­то:

[caster@MikroTikDaymare] /interface/ethernet> set etherX disabled=yes

info

Все при­меры я буду демонс­три­ровать на RouterOS вер­сии 7, пос­ледней на момент написа­ния статьи.

 

Discovery-протоколы

Discovery-про­токо­лы (DP) уяз­вимы к двум offensive-век­торам:

  • Information Gathering — ата­кующий может извлечь чувс­тви­тель­ную информа­цию про­тив обо­рудо­вания, рас­сыла­юще­го DP в свои пор­ты;
  • Neighbor Table Overflow — ата­кующий может выпол­нить перепол­нение таб­лицы соседей в кон­тек­сте про­токо­лов CDP/LLDP, что перег­ружа­ет про­цес­сор устрой­ства, а это при­водит к DoS. Ата­ка осно­вана на соз­дании лож­ных DP-кад­ров и мас­совой рас­сылке с при­целом на порт RouterOS.

Луч­шая прак­тика — огра­ничить работу этих про­токо­лов, то есть оста­вить их толь­ко на тех интерфей­сах, где это необ­ходимо. Тог­да обо­рудо­вание не будет лиш­ний раз рас­простра­нять информа­цию о себе там, где это не нуж­но.

[caster@MikroTikDaymare] > /ip/neighbor/discovery-settings/set discover-interface-list=<your interface list> protocol=cdp,lldp,mndp
 

Безопасность Winbox на L2

Winbox может работать на уров­не L2, то есть сетевой инже­нер может обра­тить­ся к RouterOS, минуя сетевой уро­вень. За это отве­чает имен­но MAC Winbox Server, поз­воля­ющий под­клю­чить­ся к Winbox без IP-адре­сации.

По умол­чанию MAC Winbox Server дос­тупен на всех интерфей­сах, и это нехоро­шо. Для повыше­ния безопас­ности рекомен­дует­ся раз­решить исполь­зовать его толь­ко на опре­делен­ных интерфей­сах.

При­мер: я раз­решаю MAC Winbox Server толь­ко на внут­реннем LAN-лис­те, где находит­ся LAN-мост для работы внут­ри сети.

[caster@MikroTikDaymare] /tool/mac-server> set allowed-interface-list=<interface_list>

Раз­решай MAC Winbox Server там, где тебе нуж­но.

 

DHCP Snooping

DHCP Snooping — это фун­кция безопас­ности, которая пре­дот­вра­щает ата­ку DHCP Spoofing. Ата­ка работа­ет сле­дующим обра­зом: зло­умыш­ленник внут­ри сети под­нима­ет лож­ный DHCP-сер­вер для пос­леду­ющей MITM-ата­ки. По DHCP может переда­вать­ся адрес шлю­за по умол­чанию, и этим адре­сом может быть хост ата­кующе­го.

DHCP Snooping работа­ет по прин­ципу доверен­ных и недове­рен­ных пор­тов. На недове­рен­ных пор­тах будут отсле­живать­ся все DHCP-сооб­щения. Цель в том, что­бы про­верить, сге­нери­рова­ны ли они DHCP-сер­вером. Ведь если в поль­зователь­ском сег­менте мы будем видеть сооб­щения вро­де DHCPLEASEQUERY, DHCPOFFER и DHCPACK, то это однознач­но ано­малия и в поль­зователь­ской сети находит­ся DHCP-сер­вер. На доверен­ных же пор­тах все DHCP-сооб­щения будут счи­тать­ся легитим­ными. Обыч­но доверен­ные пор­ты нас­тра­ивают­ся на соеди­нени­ях меж­ду ком­мутато­рами и мар­шру­тиза­тора­ми, а недове­рен­ные кон­фигури­руют­ся на пор­тах, куда под­клю­чают­ся конеч­ные стан­ции (нап­ример, компь­ютер, прин­тер, точ­ки дос­тупа, VoIP).

info

Под­робнее о защите от спу­фин­га ты най­дешь в моей статье «Save Me. Защища­ем сети от спу­финг‑атак».

В RouterOS DHCP Snooping вклю­чает­ся имен­но на bridge, где все пор­ты устрой­ства уже будут счи­тать­ся недове­рен­ными. Но что­бы перек­лючить нуж­ный порт, тебе понадо­бит­ся перехо­дить в нас­трой­ки самого интерфей­са. DHCP Snooping тре­бует вдум­чивой нас­трой­ки, в ходе которой нуж­но будет отталки­вать­ся от осо­бен­ностей инфраструк­туры.

info

В DHCP Snooping может исполь­зовать­ся Option 82. Это воз­можность про­токо­ла DHCP, которая при­меня­ется для опо­веще­ния сер­вера DHCP о том, с какого пор­та пос­тупил DHCP-зап­рос. Так­же переда­ется информа­ция об исполь­зовании DHCP Relay. Некото­рые спе­цифи­чес­кие сце­нарии тре­буют Option 82, так что при необ­ходимос­ти вклю­чай ее. На сай­те MikroTik есть стра­ница о нас­трой­ке Snooping, где учтен сце­нарий с исполь­зовани­ем «Опции 82».

Вклю­чаем DHCP Snooping на bridge:

[caster@MikroTikDaymare] > /interface/bridge/set dhcp-snooping=yes <your bridge name>

Наз­нача­ем доверен­ный порт в кон­тек­сте DHCP Snooping:

[caster@MikroTikDaymare] /interface/bridge/port> set trusted=yes interface=<interface> bridge=<your bridge name> numbers=<interface number on bridge>

На этом кон­фигура­ция DHCP Snooping завер­шена, на недове­рен­ных пор­тах будут отсе­кать­ся слу­жеб­ные DHCP-сооб­щения, которые обыч­но исполь­зуют­ся имен­но DHCP-сер­вером. Пос­коль­ку при ата­ке зло­умыш­ленник дол­жен навязать свой адрес в качес­тве шлю­за сооб­щени­ем DHCPOFFER, эти нас­трой­ки помога­ют пол­ностью пре­дот­вра­тить ее. Одна­ко будь осто­рожен с нас­трой­ками, что­бы не выз­вать неп­редна­мерен­ный DoS.

 

Настройка файрвола

Firewall в RouterOS — это под­систе­ма, которая отве­чает за обра­бот­ку и филь­тра­цию всех пакетов. К нас­трой­ке фай­рво­ла, на мой взгляд, дол­жно быть осо­бое отно­шение, потому что от нее зависит и про­изво­дитель­ность устрой­ства, и уро­вень безопас­ности.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    2 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии