24T6 Ograniczanie dostępu do urządzeń Mikrotik

Link do artykułu.

0:00 Wprowadzenie

1:38 Konta Użytkowników

4:13 Interfejsy Wyszukiwania

12:20 Dostęp po warstwie trzeciej

26:20 Zapobieganie Dostępowi ze wszystkich VLANów

30:48 Podsumowanie

Transkrypcja

Cześć. W tym materiale chciałbym pomówić trochę o bezpieczeństwie urządzeń a dokładnie o zapewnieniu bezpieczeństwa w dostępie do nich. Często zapominamy o tym aspekcie jak już poznamy możliwości naszych urządzeń i skonfigurujemy je tak aby bezawaryjnie służyły nam lub naszym klientom. Przy okazji zostawiamy sobie niektóre furtki otwarte na wypadek gdyby nasze działania miały przynieść odwrotny skutek do zamierzonego. Niestety takie postępowanie może prowadzić do wykorzystania nie tyle słabości urządzenia ale naszej słabości w postaci przyznania nieautoryzowanego dostępu. W dobie autoryzacji urządzeń wieloskładnikowej autentykacji i szyfrowania bardziej przejmujemy się bezpieczeństwem informacji o nas samych niż naszych urządzeń. Chcąc czy nie chcąc jest to ze sobą powiązane. Mniejsza o to że ktoś uzyska dostęp do naszych prywatnych urządzeń ale dostęp do tych służbowych może być bardziej dotkliwszy. Dlatego zastanówmy się z jakich możliwości powinniśmy skorzystać aby wykluczyć niektóre wektory ataków na urządzenia Mikrotik. Nie będzie to stricte hardening sprzętu ale myślę, że przynajmniej odstraszy mało zdeterminowanych włamywaczy.

Dzisiaj zaczniemy bez żadnej topologii bo właściwie żadnej topologii tu nie ma i podzielimy nasz materiał na dwie części. W jednej części omówimy dostęp do urządzeń po warstwie drugiej a w drugiej części dostęp po warstwie trzeciej. Natomiast zaczniemy od bardzo prozaicznej rzeczy to znaczy od kont użytkowników. Starsze urządzenia z reguły przychodzą z użytkownikiem typu admin bez hasła, nowsze urządzenia mają już wydrukowane jakieś hasła losowe, dodatkowe zabezpieczenie ale jeżeli mamy stare urządzenie to w pierwszej kolejności powinniśmy zabezpieczyć dostęp do naszych urządzeń dodając użytkowników.

Przechodzimy zatem do zakładki system users, dodajemy nowego użytkownika o nazwie user z hasłem od 1 do 8. Ok i sprawdzamy czy ten użytkownik może się w jakikolwiek sposób dostać do naszych urządzeń. Ja teraz jestem wpięty w vlan 10 bo taki sobie przygotowałem na potrzeby materiału więc spróbujmy dostać się po webie i tu nas zalogował na admina więc też trzeba uważać bo loguje od razu na admina przy pierwszym wejściu ale gdy chcemy skorzystać z konta user to jak najbardziej też nam się to uda.

Aby to zabezpieczyć powinniśmy przejść do zakładki Groups, każdy użytkownik jak widzimy posiada jakąś grupę zabezpieczeń. Zatem przechodzimy do zakładki groups, grupą zabezpieczeń dla użytkownika user jest read i możemy na przykład tutaj wyłączyć mu pewne funkcjonalności. Skoro zobaczyliśmy, że może dostać się przez weba to wyłączmy mu stronę internetową i zobaczmy jak w tym momencie to wygląda. I znowu loguje nas bezpośrednio na admina ale jeżeli spróbujemy się dostać po userze i wpiszemy mu hasło od 1 do 8 to nagle logowanie jest niemożliwe. Więc to pierwsza warstwa ochrony czyli użytkownicy.

Druga warstwa ochrony to wyszukiwania. Każde urządzenie korzysta z takiego protokołu, który się nazywa MLDP żeby rozgłaszać swoją obecność. Żeby do tego dotrzeć klikamy w IP i Neighbors. I tutaj mamy ustawienia wyszukiwania. Interface All czyli na wszystkich interfejsach wyszukuj a w drzewie ustawień mamy jeszcze interfejsy dynamiczne, które dodają się dynamicznie do naszej konfiguracji czyli na przykład VPNy, którym się wydzwaniamy, opcja none czyli na żadnym interfejsie ma nie być rozgłaszania swojej obecności i interfejsy statyczne. Zróbmy sobie interfejsy statyczne na początek i ok i teraz widzimy jak zmieniliśmy na interfejsy statyczne to wskoczyło nam wskoczyło nam drugie urządzenie, które jest podpięte pod naszego Mikrotika ale tak samo my możemy na każdym interfejsie tego naszego Mikrotika A bo tak go sobie nazwiemy żeby nam się nie pomylił.

Ok, tego Mikrotika A możemy zobaczyć na każdym interfejsie. Ja jestem teraz podłączone pod interfejs pierwszy więc będę na pewno go widział natomiast możemy tą widzialność naszych urządzeń ograniczyć troszeczkę a to robimy za pomocą list interfejsów i tutaj możemy dodać powiedzmy logiczny interfejs menagement i w ramach tego logicznego interfejsu Managementowego możemy przypisać, że do jego… Że członkiem tego logicznego interfejsu jest na przykład interfejs Ethernet 1 na którym jesteśmy podpięci. Oznacza to, że tylko na tym interfejsie będą wyszukiwać się urządzenia to znaczy my też będziemy mogli wyszukiwać urządzenia tylko na Ethernecie pierwszym. Jeżeli pod każdy inny port jest podpięte jakieś urządzenie Mikrotika to ono również nie zostanie wyszukane.

No i żeby to sprawdzić przechodzimy znowu do zakładki Neighbors. Widzimy jeszcze to urządzenie bo pamięta to ze starej sesji. Zaraz to się powinno wyczyścić a my może zobaczmy, zamknijmy WinBoxa. Zróbmy Refresh czy nasze urządzenie jest widoczne. Tak, jest widoczne. Podłączamy się i znowu patrzymy do neighbors. Jesteśmy widoczni my i jest widoczne nadal urządzenie B ale teraz jeżeli przełączymy się w inny interfejs czyli inny niż eth1 i też ether1 Na przykład ja się przełączam teraz w interfejs numer 3 i zobaczymy czy nasze urządzenie zostanie wyszukane w warstwie drugiej i znowu się wyszukuje. A bo nie zmieniliśmy oczywiście interfejsu na Menagement. Apply. Zmieniamy wyszukiwanie tylko i widzimy wszystko nam znika i tym samym teraz jak będziemy chcieli wejść odświeżamy i niczego nie widzimy. Jedynym minusem tego jest, że to jest tylko pokazywanie czy jakieś urządzenie jest gdzieś dostępne w sąsiedztwie tak zwanym czyli neighbors.

Jeżeli mamy zapisany adres MAC a tutaj zapisaliśmy podczas ostatniej sesji to mimo to, że tu się nie wyświetla nic to i tak się do tego urządzenia dostaniemy bo ono tylko to ustawienie, te ustawienie które zrobiliśmy zapobiega tylko przed pokazywaniem czy też wyświetlaniem urządzeń, które znajdują się w sąsiedztwie naszych połączeń. Więc jak klikniemy sobie conect a mamy to zapamiętane to i tak wejdziemy. Żeby temu zapobiec jest kolejna warstwa ochrony, możemy wejść w tolsy i z takiej opcji, która się nazywa Winbox serwer i tutaj znowu mamy tą listę gdzie z której de facto już będzie ona nam ograniczała nawet połączenie, nie wyświetlanie ale również połączenie. Czyli znowu jak wskażemy listę Menagement, ok, to będąc dalej na interfejsie trzecim nie powinniśmy ani wyświetlić ani się dostać. Nie mamy żadnego urządzenia wyświetlonego. Próbujemy niezmiennie pod ten adres Mac się dostać i jest to już niemożliwe.

Dlatego teraz przełączmy się z powrotem na interfejs pierwszy w urządzeniu, który sobie zaznaczyliśmy jako jeden jedyny z którego możemy się łączyć. Odświeżmy sobie. I widzimy, że jest nasze urządzenie, widzimy Maca. Wciskamy Connect i już jesteśmy. Jedno z zabezpieczeń, kolejnych zabezpieczeń. Jeżeli w ogóle nie chcemy żeby warstwa druga nam działała, żebyśmy wyszukiwali w warstwie drugiej urządzenia, po pierwsze nadać sobie jakiś adres IP dla tego urządzenia, powiedzmy dla… niech to będzie na ether1 192.168.0.1 z maską 24 na Ethernecie 1. Apply. Ok, jeżeli wyłączymy teraz Tools, Mac serwer czyli mówimy sobie nie z menagementowego tylko w ogóle nie chcemy żeby ktoś się po warstwie drugiej łączył. Klikamy Apply. Ok.

Zamykamy sesję, otwieramy nową, nasze urządzenie się wyszukuje. Próbujemy dostać się po warstwie drugiej czyli widzimy, że mieliśmy Mac, próbujemy się dostać i nie ma takiej opcji żebyśmy się dostali. Próbujemy po adresie IP czyli klikamy na IP i nie widzimy Routa do hosta ponieważ tym celu musimy nadać sobie, nadać sobie jakieś IP. Właściwości i jakiś adres obok 168.0.2 z maską 24. Ok. Ok, klikamy i już się dostajemy do urządzenia.

W tym momencie możemy przejść do drugiej części naszego materiału, to znaczy dostęp po warstwie trzeciej. W tym celu musimy przygotować sobie właściwe sieci a mianowicie dodajmy sobie kolejny adres. Powiedzmy 192.168.9.1 z maską 24 na ethernecie trzecim, ok i teraz mamy coś takiego co się nazywa serwisami czyli wchodzimy w IP, Serwices i tu mamy wszystkie dostępne serwisy po jakich możemy się dostać do urządzenia czyli w pierwszej kolejności wyłączamy te, których nie będziemy używać, tak. SSH można ewentualnie zostawić. Oczywiście telnet wyłączamy i powiedzmy wyłączamy sobie www zostawiamy tylko Winboxa po porcie 2891 czyli pozostałe usługi nie działają, działa nam tylko Winbox i w ramach tego serwisu Winboxa możemy
powiedzieć, że on jest dostępny tylko w danej sieci, tak. Czyli znowu wprowadzamy sobie adres IP 192.168.0.1, 24 i z tej sieci będziemy mogli
wchodzić.

W ramach testu wyłączmy sobie to urządzenie, przepnijmy się w interface trzeci. Zmieńmy sobie adres karty sieciowej. Nie widzimy go bo zapewne nadal mamy interface Managementowy podpięty jako jedyny widoczny i wracamy do… na Ethernet pierwszy. Dostajemy się po… a po Macu się już nie dostaniemy, spróbujmy po IP. Nie mamy Routa bo zmieniliśmy właśnie sieć to zmieńmy ją z powrotem na sieć 0. Zmieńmy… Zmieńmy ustawienia… Discovery… Zróbmy sobie static. Ok i spróbujmy spróbujmy teraz. Kończymy sesję, zmieniamy interfejs Zmieniamy na dziewiątki i sprawdzamy jeszcze raz czy nasze urządzenie się pokaże i też się nie pokaże bo jedyna słuszna sieć na której to powinno działać jest w… Nawet jeżeli tu zmienimy to on odrzuci połączenie.

Zatem wracamy na interfejs 1. Zmieniamy ustawienia karty sieciowej na zero. Nasze urządzenie już jest widoczne i teraz możemy zasymulować niedostępność po zablokowaniu Firewalla. Czyli wracamy sobie do serwisu, tutaj to pozbywamy się tego wpisu. Ok. I teraz możemy zrobić regułę w Firewallu jako następną metodę zabezpieczenia. Czyli sobie wrzucamy sobie na łańcuch Input bo dostajemy się do urządzenia, po protokole TCP IP Destination Pool 8291 czyli taki na którym działa Winbox. Interfejs którym będziemy się dostawać to powiedzmy będzie trójka i Action – drop. Ok, ok. Przełączamy się z powrotem na trójkę. Zmieniamy ustawienia karty. Dziewiątka, ok, zamknij. Wracamy do Winboxa. Wciskamy Refresh.

Nic tu nie ma, staramy się w sieci 91 uzyskać połączenie i niestety też się nie udaje. Connection time out. Czyli mieliśmy trasę do… mieliśmy trasę do urządzenia natomiast ta reguła Firewalla aktywnie nas blokuje żeby w ogóle zapukać w stronę WinBoxa. Zatem wracamy z ustawieniami sieci. Przełączamy się na poprawny interfejs. Robimy refresh, jest nasze urządzenie. Podłączamy się. Kasujemy regułę i zabieramy się za ostatnią możliwość blokady dostępu do urządzenia, tak zwany VLAN Managementowy. W tym celu polecam wyczyścić urządzenie do ustawień fabrycznych, bez domyślnej konfiguracji bo zrobiliśmy tyle zmian, że coś może nam przeszkodzić.

Zatem robimy reset konfiguracji. Jeżeli nasze urządzenie wróciło do żywych możemy zabrać się za konfigurację VLANu menagementowego. W tym celu musimy założyć VLANy czyli tworzymy interfejsy VLANowe. Powiedzmy, że jedna będzie vlan9 Stwórzmy sobie bridge najpierw… Bridge Port Bridge, tylko Bridge 1. Apply. Ok. Stwórzmy sobie VLAN i dodajmy go do Bridge. Stwórzmy sobie VLAN 10. Z tagiem 10, też do Bridge. Nadajmy tym VLANom adresy. 192.168.9.1 z maską 24 dla VLANu 9. 192.168.10.1 z maską 24 dla VLANu 10. Mamy VLANy, mamy adresację, mamy bridge i teraz powodujmy żeby ten Bridge…

W ramach tego Bridge działały porty drugi i trzeci. Tu jeszcze nic nie jest podpięte. Natomiast teraz możemy teraz możemy przypisać do tych portów od razu PVIDy. Do portu tego PVID9, do portu tego PVID 10. Ok, zróbmy sobie również dla tych portów… Zróbmy sobie również DHCP serwer, skorzystajmy z konfiguratora. Wskażmy VLAN9. Tak, tak, tak i powiedzmy 4 czwórki i drugi DHCP dla VLANu 10. Ok, tutaj pominęliśmy… Nie, też przypisało nam czwórki automatycznie. Ok. Teraz musimy dodać do Bridge VLANy, które mają się na nim znajdować czyli do Bridge dodajemy VLAN 9, który będzie tagowany na Bridge żeby dostać się do CPU urządzenia. Nie tagowany na porcie drugim chociaż w zasadzie nie musimy tego robić bo mamy PVID i dla VLANu 10 też będzie tagowany na Bridge. Ok.

W tym momencie dostęp do urządzenia będzie zarówno z VLANu 9 jak i z VLANu 10 ponieważ zostały one zatagowane na Bridge. Dzięki czemu VLAN 9 i 10 będą miały dostęp do CPU naszego urządzenia. Więc teraz na Bridge możemy włączyć VLAN filtering z podstawowymi opcjami. I teraz przetestujemy czy rzeczywiście VLAN 9 i 10 działają dlatego zakończymy tutaj sesję. Przełączymy się do… do interfejsu gdzie powinien być VLAN 9 i rzeczywiście mamy bramę, dostajemy się zarówno z VLANu 9, przełączamy się do VLANu 10 i robimy to samo, sprawdzamy czy VLANie 10 coś tam się pokazuje. i jest VLAN 10, to samo urządzenie i jesteśmy w środku.

Aby zapobiec takiemu dostępowi ze wszystkich VLANów możemy go troszeczkę ograniczyć wchodząc na Bridge Na VLANy i usuwając z 10 VLANu opcję żeby był zatagowany na Bridge. Robimy Apply, ok zaraz powinny stąd zniknąć. Ale przyspieszymy nie to tempo. Urządzenia nie widać w VLANie 10, przełączmy się VLAN9. Refresh i widzimy że VLANie 9 również się coś znalazło i jesteśmy w środku. Tu mamy jeszcze rezerwacje stare więc sobie je usuńmy. Jest to połowa sukcesu jeżeli chodzi o VLAN menagementowy De facto powinniśmy robić to w ten sposób, że przechodzimy na Bridge.

W opcji Bridge VLAN ustawiamy sobie PVID 9. Sprawdzamy jakie VLANy do nas wpadają i pozwalamy tylko na ruch tagowany w stronę Mikrotika. W tym momencie jak się jak się odłączę czy też jak zaakceptuję to, to już nie powinniśmy się w ogóle dostać dlatego wcześniej wcześniej dodamy sobie żeby również ruch tagowany w VLANie9 wychodził na ethernet2. Ok i teraz jak włączę vlan filtering z 9 PVID i z tylko tagowanymi ramkami to już nie dostanę się po PVID 9. Nie będzie wogóle ogóle albo dłużej będzie odpowiadał na zapytanie o urządzenia, które zostały znalezione w sieci ale mam nadzieję, że uda mi się to trochę wskrzesić jeżeli na karcie sieciowej ustawimy, że nasza karta sieciowa działa w VLANie 9. I co prawda urządzenie nam się nie wyświetla ale możemy… możemy dostać się bezpośrednio wpisując adres IP urządzenia i jesteśmy już w środku. i tylko urządzenia, które znajdują się w VLANie 9, które komunikują się w VLANie 9 będą miały dostęp do do naszych urządzeń Mikrotik.

Zatem omówiliśmy wszystkie możliwości zabezpieczenia dostępu a tak naprawdę zastosowanie wielu pewnie kombinacji które przedstawiliśmy. Tylko po ich zastosowaniu te nasze urządzenia będą… będą najbardziej bezpieczne I właśnie w taki sposób możemy ograniczyć dostęp do urządzeń Mikrotik. Od tych podstawowych jak na przykład hasła i rolę użytkowników do zaawansowanych jak Firewall i dostęp menagementowy. Musimy mieć również na uwadze ograniczenia dostępu fizycznego do urządzeń ponieważ to dodatkowa forma ochrony. Jeżeli nie będzie ona na odpowiednim poziomie, uzyskanie fizycznego dostępu to już ponad połowa sukcesu dla ewentualnego intruza. W takim przypadku będzie liczyła się jedynie moc naszego charakteru i zabezpieczeń jakie wdrożyliśmy. Cześć.