Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Jenda 13. 11. 2018, 12:16:12
-
Mám nový router Mikrotik a prosím o radu. Kde v menu najdu položku zapnutí vzdálené správy routeru? Děkuji.
-
https://skoleni.i4wifi.cz/
-
Mám nový router Mikrotik a prosím o radu. Kde v menu najdu položku zapnutí vzdálené správy routeru? Děkuji.
Ve výchozím stavu je na Mikrotiku povoleno vše. Naopak je třeba vše uzavřít, v žádném případě neotvírat administraci do WAN a pokud potřebujete vzdálenou administraci tak pouze přes VPN. Pokud nevíte jak tak pro samostudium www.mikrotik.com sekce dokumentce a pro školení poslal odkaz už někdo nademnou.
-
Ve výchozím stavu je na Mikrotiku povoleno vše.
Což je skvělý default pro routery, to museli soudruzi dlouho myslet, než to vymysleli. ::) ;D
-
Ve výchozím stavu je na Mikrotiku povoleno vše.
Což je skvělý default pro routery, to museli soudruzi dlouho myslet, než to vymysleli. ::) ;D
Na WAN portu je to zařízlé firewallem.
-
Ve výchozím stavu je na Mikrotiku povoleno vše.
Což je skvělý default pro routery, to museli soudruzi dlouho myslet, než to vymysleli. ::) ;D
Pravda. Jen na jejich obranu je třeba říct že to nebyly SOHO krabičky a nyní když už některé jsou tak tam mají výchozí skript a průvodce který přístup z venčí uzavře a nastaví základní firewall.
-
povoleni Winboxu na WANu:
/ip firewall filter add action=accept chain=input disabled=no dst-port=8291 protocol=tcp
a posun to pravidlo v poradi az nahoru. Obdobne kdybys to chtel udelat s portem 80, ale ten doporucuju v IP/ Services nejdriv zmenit na jinej, aby to nikoho nedrazdilo.
-
Zásadně nedoporučuju otevírat ať už 80,443,8291 nebo 8728,8729 (+telnet snad ani zevnitř) všem, vždy si specifikujte IP adresu případně Address List povolených adres.
Dalším bezpečnostním prvkem bude zákázání MAC Server na WAN rozhraní, ať se v tom případně nešťourá zvědavý ISP.
Těch zranitelností se objevuje poslední dobou tolik, že jediná spolehlivá ochrana je firewall.
-
Díky zkusím ve winboxu.
-
Ve výchozím stavu je na Mikrotiku povoleno vše.
Což je skvělý default pro routery, to museli soudruzi dlouho myslet, než to vymysleli. ::) ;D
Ale ne, tak žhavé to není. Povoleno pouze ze strany LAN. Mikrotik je trochu rozkročený od domácího zákazníka po menší profesionální firmy. V tomto případě domácí zákazník žádá "zapojení do zásuvky a internet funguje" což krabička také splňuje. Odborník má pak nadstandardně možností nastavení.
-
Mám na WAN zakázanou administraci ssh, winbox i http . Když to potřebuju upravit zvenku, připojím si VPNku
-
Ja mam povolene z vonka http, ale vo firewalle je to osetrene
add action=accept chain=input comment=webfig dst-port=4xxxx protocol=tcp src-address-list=mobile_access
pouzivam vyssi port a v adress-liste mam rozsah adries mob. operatora, ktoreho pouzivam.
-
já používám port-knocking, než ho pustím na nestandardní porty. Máme tu dost skenů,
-
Ten port knocking máte uskutečněný jak?
-
V Mikrotiku se to dela pomoci pridavani adresy do address lists.
Viz https://wiki.mikrotik.com/wiki/Port_Knocking