• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
    • přihlásit
    registrace
    ztracené heslo?
    SHORTYMikrotik, Alix a jina mala reseni... Arduino, RaspberryPi, Mikrotik, Alix a jina mala reseni...

    OS

    imedialinux.com
    Voyage Linux
    RouterOS/

    Platformy

    PC Engines
    Mikrotik

    Prislusenstvi

    ...

    Reseni

    router, prehravac, ap, monitorovatko, filestorage
    rozbalit záhlaví
    ATAN
    ATAN --- ---
    1 odpověď
    TEAPACK: k cemu je tam bridge2? bylo by jednodussi, kdybys jsem dal vystup '/export hide-sensitive'.
    GHORMOON
    GHORMOON --- ---
    1 odpověď+1
    TEAPACK: ven -> do internetu? co mas ve firewallu a natu? tam nejspis neco bude chybet :)
    TEAPACK
    TEAPACK --- ---
    2 odpovědi
    Ahoj, už druhej den přehlížím něco v nastavením mikrotiku (RouterOS v6)... Potřebuju oddělit wifi od ethernetu, takže jsem si:
    1) přidal druhý pool s požadovaným rozsahem
    2) Adresses s taktéž
    3) vytvořil jsem druhý bridge a nastavil u iface vlan bridge2
    4) vytvořil druhý DHCP server a nastavil mu bridge2

    Zařízení se připojí, dostanou IP, ale ven se nedostanou :-/ Pokud to jde udělat jedodušeji, rozhodně se bránit nebudu, ale musím nakombinovat ethernet s DHCP pro jednu část s IP 192.168.3.0/24, další eth bez DHCP (fixní IP v rozsahu 192.168.1.0/26), ale aby na sebe zařízení viděly a wifi, která by měla vidět jen do internetu...
    ROENICK
    ROENICK --- ---
    +2
    Postřehy z bezpečnosti: úroda u MikroTiků - Root.cz
    https://www.root.cz/clanky/postrehy-z-bezpecnosti-uroda-u-mikrotiku/
    DANYSEK
    DANYSEK --- ---
    ROENICK: Spousta "profi" firewallu ti tu hlavicku dropne (aby mohla provadet L7 inspekci), kdyz si nepohrajes s nastavenim. Takze me to neprekvapuje :-)
    Google & spol to asi tlaci proto, ze se ve svym distribuovanym DNS, ktery navic odpovida ruzne podle toho, odkud se ho zrovna ptas srat s DNSSECem nechce... na druhou stranu to muze skoncit podobne, jako s HPKP - ktery Google taky protlacil do RFC... a v novym Chrome to dnes uz nepodporujou.
    ROENICK
    ROENICK --- ---
    1 odpověď+1
    DANYSEK: jo o tom vsem tam vcera mluvil Hala. Nevim proc napr Google tlaci ten MTA-STS

    STARTTLS hlacicku prej dokonce vyhazovali nekteri ISP
    DANYSEK
    DANYSEK --- ---
    1 odpověď+1
    ROENICK: vsak vime... DANE je zavisly na DNSSECu, do kteryho se ne vsichni hrnou a tak se vymyslela opicarna MTA-STS, kdy si mail server bude nejakou politiku lovit na webserveru (kdy ne/existenci one politiky zjistis opet z toho nezabezpecenyho DNS, kvuli kterymu ta opicarna je). Aneb dalsi skrabani se levou rukou za pravym uchem z pera tech, co na DNSSEC dlabou... dalsi paskvil, cinici navic dorucovani mailu zavisle nejen na DNS, ale jeste i na webu :-) A stejne to neresi onen uvodni problem - stejne jako muze MITM vymaskovat STARTTLS hlavicku u SMTP spojeni je mozne vyblokovat (podvrhnout) ten potrebny uvodni DNS dotaz, pripadne i ten vlastni download politiky. Proste nedomyslena opicarna :-)
    ROENICK
    ROENICK --- ---
    1 odpověď+2
    DANYSEK: dnes na linuxdays o tom mluvili, chce to implementovat DANE a sifrovat, z CZ.NIC snad bude nakej tlak
    DANYSEK
    DANYSEK --- ---
    1 odpověď+1
    ROENICK: me se strasne libi to aktualni "hypersilenstvi" kolem https, ale to ze maily kdekdo transportuje nesifrovane (a sifrovani nepodporuje) nikdo absolutne nepitva... :) Aneb je "uzasny", ze i webik pejskaru pobezi sifrovane, ale ze notifikace treba z datovky (a hromady dalsich mist, i ruzny eshopy, atd... ale treba i tady nyx) litaj nesifrovane je naprosto cajk a nikdo se tim nezabejva...
    ROENICK
    ROENICK --- ---
    1 odpověď
    DANYSEK: to byla jen poznamka, podstata tweetu je jinde. A pricin proc ti nekdo upravi http provoz muze byt spousta
    DANYSEK
    DANYSEK --- ---
    1 odpověď
    ROENICK: resi dusledky, nikoliv priciny...
    ROENICK
    ROENICK --- ---
    1 odpověď
    DANYSEK: on narazi na to, ze ti pak do http webu nekdo cestou vlepi cryptominer..coz se do https dava blbe. Nemusi to bejt router, ISP vkladali reklamy apod...
    DANYSEK
    DANYSEK --- ---
    1 odpověď
    ROENICK: seznam hezkej, ale Spackova zkratka je o hovne. Problem je nezabezpecenej management routeru otevreny do sveta, nikoliv absence HTTPS vsudemozne...
    ROENICK
    ROENICK --- ---
    1 odpověď

    @spazef0rze

    Shodan umí vytvářet i hezké reporty. Tady jsou např. aktuálně napadené routery Mikrotik, které do stránek vkládají skript na těžení kryptoměny:
    https://t.co/ciJPmgOr3w (mimochodem: i proto by HTTPS mělo být všude, i na statických stránkách) #LinuxDays
    NYXEL
    NYXEL --- ---
    Jn, to jsou spis takovy "roztomilosti" :D
    ATAN
    ATAN --- ---
    +2
    Neni to nic hrozneho:

    CVE-2018-1156: An authenticated user can trigger a stack buffer overflow.
    CVE-2018-1157: File upload memory exhaustion. An authenticated user can cause the www binary to consume all memory.
    CVE-2018-1158: Recursive JSON parsing stack exhaustion, which could allow an authenticated user to cause crash of the www service.
    CVE-2018-1159: www memory corruption, if connections are initiated and not properly cleaned up then a heap corruption occurs in www.
    FATBOZZ
    FATBOZZ --- ---
    +2
    ATAN: Doplnil bych i zbytek :)

    What's new in 6.42.7 (2018-Aug-17 09:48):

    MAJOR CHANGES IN v6.42.7:
    ----------------------
    !) security - fixed vulnerabilities CVE-2018-1156, CVE-2018-1157, CVE-2018-1158, CVE-2018-1159;
    ----------------------

    *) bridge - improved bridge port state changing process;
    *) crs326/crs328 - fixed untagged packet forwarding through tagged ports when pvid=1;
    *) crs3xx - added command that forces fan detection on fan-equipped devices;
    *) crs3xx - fixed port disable on CRS326 and CRS328 devices;
    *) crs3xx - fixed tagged packet forwarding without VLAN filtering (introduced in 6.42.6);
    *) crs3xx - fixed VLAN filtering when there is no tagged interface specified;
    *) dhcpv4-relay - fixed false invalid flag presence;
    *) dhcpv6-client - allow to set "default-route-distance";
    *) dhcpv6 - improved reliability on IPv6 DHCP services;
    *) dhcpv6-server - properly update interface for dynamic DHCPv6 servers;
    *) ethernet - improved large packet handling on ARM devices with wireless;
    *) ethernet - removed obsolete slave flag from "/interface vlan" menu;
    *) ipsec - fixed "sa-src-address" deduction from "src-address" in tunnel mode;
    *) ipsec - improved invalid policy handling when a valid policy is uninstalled;
    *) ldp - properly load LDP configuration;
    *) led - fixed default LED configuration for RBLHGG-5acD-XL devices;
    *) lte - added signal readings under "/interface lte scan" for 3G and GSM modes;
    *) lte - fixed memory leak on USB disconnect;
    *) lte - fixed SMS send feature when not in LTE network;
    *) package - do not allow to install out of bundle package if it already exists within bundle;
    *) ppp - fixed interface enabling after a while if none of them where active;
    *) sfp - hide "sfp-wavelength" parameter for RJ45 transceivers;
    *) tr069-client - fixed unresponsive tr069 service when blackhole route is present;
    *) upgrade - fixed RouterOS upgrade process from RouterOS v5;
    *) userman - fixed compatibility with PayPal TLS 1.2;
    *) vrrp - fixed VRRP packet processing on VirtualBox and VMWare hypervisors;
    *) w60g - added distance measurement feature;
    *) w60g - fixed random disconnects;
    *) w60g - general stability and performance improvements;
    *) w60g - improved MCS rate detection process;
    *) w60g - improved MTU change handling;
    *) w60g - properly close connection with station on disconnect;
    *) w60g - stop doing distance measurements after first successful measurement;
    *) winbox - added "secondary-channel" setting to wireless interface if 80 MHz mode is selected;
    *) winbox - fixed "sfp-connector-type" value presence under "Interface/Ethernet";
    *) winbox - fixed warning presence for "IP/IPsec/Peers" menu;
    *) winbox - properly display all flags for bridge host entries;
    *) winbox - show "System/RouterBOARD/Mode Button" on devices that has such feature;
    *) wireless - added option to disable PMKID for WPA2;
    *) wireless - fixed memory leak when performing wireless scan on ARM;
    *) wireless - fixed packet processing after removing wireless interface from CAP settings;
    *) wireless - updated "united-states" regulatory domain information;
    NYXEL
    NYXEL --- ---
    Uz mam vsude 8)
    Delal jsem to o vikendu ;))
    ATAN
    ATAN --- ---
    1 odpověď+2
    Nezapominame aktualizovat na 6.42.7. CVE-2018-1156, CVE-2018-1157, CVE-2018-1158, CVE-2018-1159
    OTZ
    OTZ --- ---
    ROENICK: jo, snazi se tam nacpat bud pres telnet nebo ssh..

    DANYSEK: uz ne. nicmene "ja" to nemam, delam tu jenom technika, na adminu a vymejsleni pravidel jsou tu jini. tofuzel, nez se neco takovyho zprocesuje (vzdalenej upgrade z verzi cca od 6.35 i starsich + rekonfigurace x stovek RBcek, nejlip na bezdratech, kde se leckdy vyskytne nejaky prekvapeni :)), tak to trva tydny a mesice.. (taky me to sere, melo se to resit hned, aspon nouzove, ale..). ale zase je to zgruntu, tak snad uz to bude dobry. aspon jsme se pres prazdniny nenudili :D
    DANYSEK
    DANYSEK --- ---
    1 odpověď+2
    OTZ: A to fakt mas otevrenej management do celyho sveta? Proc, proboha...? :)
    ROENICK
    ROENICK --- ---
    1 odpověď+5
    OTZ: telnet? orly? :)
    Kliknutím sem můžete změnit nastavení reklam