Objasnění portů v routeru

MasoxCZ

Re:Objasnění portů v routeru
« Odpověď #15 kdy: 25. 05. 2018, 22:50:38 »
[...]kvůli SOHO segmentu obecně :-)
Nejčerstvější čtení viz https://www.root.cz/clanky/malware-vpnfilter-na-pul-milionu-routeru-linksys-mikrotik-netgear-a-tp-link/ [...]svědomitě aktualizovaný a správně nakonfigurovaný Mikrotik[...]
Asi ti uniklo ze odkaz je i o problemu s Milrotikem ;-) obecne je o povolenem wembin do internetu, o ponechani vychoziho hesla a/nebo ponechani telnetu... tedu spravne nakonfigurovany plati pro kazdy router... btw:jinak SOHO + Lede/OpenWRT je tuplem o necem jinem...

To mi samozřejmě NE_uniklo. Ale ten MTIK, stejně jako Ubiquiti a xx-WRT (tedy samozřejmě i Turris) ty díry nenechávají otevřené ROKY na stovkách tisíc prodaných zařízení. To ale asi uniklo tobě.


nobody(ten pravej)

Re:Objasnění portů v routeru
« Odpověď #16 kdy: 26. 05. 2018, 23:54:35 »
@MasoxCZ to je samej unik ;-) kdyz nekdo necha vychozi jmeno/heslo, necha vychozi telnet a zapne remote z netu tak muze mit jakej chce router a je to pruser, u SOHO routeru kdyz toto neudela a tedy take ho spravne nakonfiguruje tak 99% zranitelnosti padaji, kdyz navic nahrani origo FW pomoci LEDE/OpenWRT tak je za vodou a ma vice moznosti nez nejakej uzavrenej polosilenej RouterOS ;-)

V.

Re:Objasnění portů v routeru
« Odpověď #17 kdy: 27. 05. 2018, 00:10:53 »
Kecy, jakejkoliv nee, jsou výrobci, co se u nich musí přímo povolit, že máš přístup, jinak tam jdeš jen přes konsoli.

MikyM

  • ***
  • 124
    • Zobrazit profil
Re:Objasnění portů v routeru
« Odpověď #18 kdy: 27. 05. 2018, 02:03:32 »
[...]kvůli SOHO segmentu obecně :-)
Nejčerstvější čtení viz https://www.root.cz/clanky/malware-vpnfilter-na-pul-milionu-routeru-linksys-mikrotik-netgear-a-tp-link/ [...]svědomitě aktualizovaný a správně nakonfigurovaný Mikrotik[...]
Asi ti uniklo ze odkaz je i o problemu s Milrotikem ;-) obecne je o povolenem wembin do internetu, o ponechani vychoziho hesla a/nebo ponechani telnetu... tedu spravne nakonfigurovany plati pro kazdy router... btw:jinak SOHO + Lede/OpenWRT je tuplem o necem jinem...

Ta chyba byla opravena v breznu 2017 v ROS 6.8.35 https://forum.mikrotik.com/viewtopic.php?f=21&t=134776
K jejimu zneuziti bylo potreba nechat otevrenou web service volne. Pokud clovek pouzil quickset a nehrabal se v tom tak to mel od zacatku chranene.  Navic MK krabicky pro SOHO maji ve vychozim nastaveni prednastaveno eth1 automaticky jako WAN, tudiz konfiguraci musi uzivatel udelat pripojenim kabelu na eth2 a hned v uvodu na nej vyskoci quickset. Pokud se na to citi a udela si to nastaveni po svem pak bohuzel... Dodavany manual je strucny a jasny vcetne upozorneni na zmenu hesla.

"Any RouterOS version with firewall on the www port from untrusted networks was always safe. The original vunlerability that was fixed in march 2017 was only affecting you, if the www port 80 (webfig) was open to untrusted networks."

......kdyz nekdo necha vychozi jmeno/heslo, necha vychozi telnet a zapne remote z netu tak muze mit jakej chce router a je to pruser, u SOHO routeru kdyz toto neudela a tedy take ho spravne nakonfiguruje tak 99% zranitelnosti padaji....
Jo krome tech, kdy programator "omylem" zapomene na hardcoded pristup apod.

..... kdyz navic nahrani origo FW pomoci LEDE/OpenWRT tak je za vodou a ma vice moznosti nez nejakej uzavrenej polosilenej RouterOS ;-)
Dostane vice moznosti a vice funkci coz mu zaroven dovoli i vice toho zk****t takze uplne stejny problem jako s ROS. Jistou vyhodu bude mit v tom, ze LEDE/OpenWRT vyda zaplatu pravdepodobne drive nez vyrobce pro svuj ofiko firmware. Otazka je, zda vubec bude nekdy zaplatovat, spousta lidi to moc neresi. Dokud krabice jede, nesahaji na to...

Kecy, jakejkoliv nee, jsou výrobci, co se u nich musí přímo povolit, že máš přístup, jinak tam jdeš jen přes konsoli.
Bohuzel tohle nejsou zarizeni pro domaci uzivatele.

Re:Objasnění portů v routeru
« Odpověď #19 kdy: 27. 05. 2018, 11:25:52 »
Lacina:
Řešit výkonnost tohoto routeru u člověka, který ani neví, jak jej nastavit, a doporučovat mu výkonnější modely, nedává smysl. Na domácí žvýkání je 2011 dostačující.

Vzhledem k otmu že cena toho CRS109 se pohybuje okolo 3tis, tak je mnohem výhodnější vzít to, u jen z toho důvodu že když bude chctít připojit více než 5 portů, tak ta RB2011 má ty Switch chipy propojené přes CPU, takže se markatně sníží propustnost jak mezi nimi tak celého routru. Dělší problémy které to mžůe způsobit u takového zapojení je "kombinace" 1Gbit a 100Mbit switch chipů, pak se stávalo že když přicházela komunikace z toho 1Gbit do 100Mbit tak začal při větším zatížení CPUčka dropovat pakety.
Prostě celkově tohle zařízení principiálně není jak již bylo zmíněno výše pro začátečníky a když si ho kupuju tak musím vědět proč a jaká má omezení...

A co se týká malwaru a pod, tak tím trpí prakticky všechny routry, mikrotik nevyjímaje a že se s nima roztrhl poslední dobou pytel...


choze

Re:Objasnění portů v routeru
« Odpověď #20 kdy: 27. 05. 2018, 22:21:57 »
Zapojit MK a PC stanadarním LAN a pomocí programu WinBox (ze stránek mikroitk.com se přihlásit /admin bez hesla a spustit iniciační skript.
Mám taky MT ale nikdy jsem žádný instalační script nenašel, můžeš to upřesnit co je to za script a kde se pouští?

MikyM

  • ***
  • 124
    • Zobrazit profil
Re:Objasnění portů v routeru
« Odpověď #21 kdy: 28. 05. 2018, 00:37:19 »
....spustit iniciační skript.
Mám taky MT ale nikdy jsem žádný instalační script nenašel, můžeš to upřesnit co je to za script a kde se pouští?
Pokud koupis novy MT nebo jej vyresetujes do tovarniho nastaveni pak dle typu zarizeni ma svuj default script od vyrobce a podle nej provede zakladni nastaveni.Nemusis to tedy delat manualne nebot se to spousti automaticky (pokud  teda neudelas reset s volbou no-defaults).
Quickset je uz potom jen wizard kde vyberes mod a vyplnis kolonky. https://wiki.mikrotik.com/wiki/Manual:Quickset

Default script si pro sve konkretni MT muzes nechat vyjet pres terminal prikazem  /system default-configuration print vice info na  https://wiki.mikrotik.com/wiki/Manual:Default_Configurations

Dodatecne scripty resici napriklad automaticke zabanovani IP ze ktere byl x krat proveden neuspesny pokus o prihlaseni treba na SSH najdes na webu Mikrotiku https://wiki.mikrotik.com/wiki/Scripts a jejich diskusnim foru.

*Nekteri ISP, kteri davaji zakaznikovi svuj MT si pomoci netinstall nahravaji vlastni init script, kterym nahradi vyrobcem dodavany.

SB

Re:Objasnění portů v routeru
« Odpověď #22 kdy: 28. 05. 2018, 09:46:53 »
V posledni dobe se tady objevuje nejak moc rada 2011 v ruznych variacich. Tezko rict proc to nekdo kupuje za soucasnou cenu, kdyz vyrobce uz nabizi levnejsi krabicky s vetsim vykonem a funkcema...

Počet dír. Dnes už tak výhodný není, ale před pár lety nic podobného za ty peníze nebylo.

TP-Link ano pokud se tam da nahrat neco jako OpenWRT apod...

Ne každý se chce srát s OpenWrt. Mně osobně nevyhovuje.

SB

Re:Objasnění portů v routeru
« Odpověď #23 kdy: 28. 05. 2018, 10:12:30 »
Vzhledem k otmu že cena toho CRS109 se pohybuje okolo 3tis, tak je mnohem výhodnější vzít to, u jen z toho důvodu že když bude chctít připojit více než 5 portů, tak ta RB2011 má ty Switch chipy propojené přes CPU, takže se markatně sníží propustnost jak mezi nimi tak celého routru.

Vzhledem k tomu, že čipy přepínačů mají pouze omezené možnosti filtrování a směrování, musí většina provozu stejně přes CPU. Mimoto pořád nevíme, na co to tazatel chce, takže nemá smysl protřepávat, zda se mu vyplatí router za 2 nebo 3 tisíce. (Mimochodem proč se CRS jmenuje Switch, když to má opět v sobě ROS a routuje?)

Dělší problémy které to mžůe způsobit u takového zapojení je "kombinace" 1Gbit a 100Mbit switch chipů, pak se stávalo že když přicházela komunikace z toho 1Gbit do 100Mbit tak začal při větším zatížení CPUčka dropovat pakety.

Na tohle bych uvítal odkaz.