Russian Users MikroTik | Форум пользователей MikroTik

Добрый день. Наш коммутатор был атакован и успешно взломан. Но начну по порядку.
Есть офис (О1) и второй офис (О2) между ними VPN канал по протоколу SSTP. Mikrotik стоит в О2.
Подверглись взлому два раза. После первого взлома, обновили до последней прошивки, закрыли все сервисы кроме winbox, закрыли порт 53. Но коммутатор был опять взломан. Причем первый раз, когда взломали, пинг до коммутатора (по белому ip) шел успешно, теперь же он вообще недоступен. На учетный записи придумали сверхсложные пароли, но я так понимаю это нам не помогло.

Подскажите как обезопасить себя правильно? какое правило прописать, что бы только из О1 можно было подключаться по VPN к О2? Что нужно закрыть а что разрешить? пожалуйста...
ps: на микротике белый ip.
pss: знаю, инфы мало предоставил, постараюсь в ходе обсуждения подробнее все объяснить.

nevidimka писал(а): ↑25 окт 2018, 08:34 После первого взлома, обновили до последней прошивки,

Просто обновили? Нужно шить через netinstall. Наверняка зловред оставил для себя лазейки.

nevidimka писал(а): ↑25 окт 2018, 08:34 Причем первый раз, когда взломали, пинг до коммутатора (по белому ip) шел успешно, теперь же он вообще недоступен

видно не успел зловред закрыть коммутатор из вне

nevidimka писал(а): ↑25 окт 2018, 08:34 На учетный записи придумали сверхсложные пароли, но я так понимаю это нам не помогло

Если не шились netinstaller-ом, то оставленная лазейка сообщила зловредам об этих новых паролях

nevidimka писал(а): ↑25 окт 2018, 08:34 Подскажите как обезопасить себя правильно? какое правило прописать, что бы только из О1 можно было подключаться по VPN к О2? Что нужно закрыть а что разрешить?

Ну я бы сделал, например, так.
На МТ2 со статикой:
1) Настроить правила брутфорса на внешний инетрфейс для порта sstp
2) Настроить PortKnocking на открытие порта sstp
На МТ1 без статики:
1) Настроить проверку доступности конца туннеля, например, каждые 15 мин. Если пинга нет, то запускаем скрипт выполнения PortKnocking до МТ2. Соответственно, порт открывается, соединение устанавливается, туннель поднимается.

Да, просто обновили. Вчера узнали, что второй раз был не взлом, а простое зависание оборудование. Все бы ничего, да вот спустя больше суток , зависание повторилось. Чем это может быть вызвано? Можно ла как то задать Микротику задачу, что бы он каждую ночь в 12:00 сам перезагружался?

нашел в интернете похожую проблему, там предлагают написать скрипт в шедулере и запустить whatchdog.
Сделал так, но не уверен , что правильно: UPD:в графе "INTERVAL" написал 24:00:00 ( я так понимаю это каждый день)

ну ребут это понятно (хотя за 5 лет впервые слышу, чтоб МТ зависал)
А whatchdog зачем? Ну пинговать что то. И..? Что дальше? Например, нет пинга, что дальше?

Дальше в Стороже не нужно задавать никакого адреса. Но он должен быть включен. Тогда перезагрузка будет осуществляться как раз не при пропадании пинга какого-либо устройства, а при зависании РоутерОС. Еще можно попробовать пинговать сам Микротик, но это хуже. Почитайте подробнее про работу Watchdog.

Зависание Микротика - очень редкое явление. Может быть вызвано либо ошибками прошивки (в этом случае Netinstall должен помочь), либо очень большой нагрузкой на железо. Сливаем логи, читаем их и по ним решаем, что там случалось.
Перезагрузка ежедневно - по-моему увиливание от решения проблемы, чреватое большими осложнениями. Нужно диагностировать проблему и избавляться от нее.

В общем роутер перезагружается сам , каждый день в 23:00. Пока что (тьфу тьфу тьфу) зависаний нет.
По поводу логов, там совершенно нечего смотреть. Инфа , что роутер включился, получил ip и что есть соединение по впн или вход в winbox. Во вкладе "Resources" вроде тоже все хорошо.

nevidimka писал(а): ↑29 окт 2018, 13:17 В общем роутер перезагружается сам , каждый день в 23:00.

с чего бы "нормально работающему" (с ваших слов!) так делать?

Kato писал(а): ↑29 окт 2018, 13:54

nevidimka писал(а): ↑29 окт 2018, 13:17 В общем роутер перезагружается сам , каждый день в 23:00.

с чего бы "нормально работающему" (с ваших слов!) так делать?

ну я имел ввиду задание в шедулере, которое прописал выше.

ps: а если я в "Routerboard" нажму "upgrade", настройки сбросятся?

nevidimka писал(а): ↑29 окт 2018, 14:01 ps: а если я в "Routerboard" нажму "upgrade", настройки сбросятся?

Нет. Это обновит "bios" платы RouterBoard