Upozornění na botneta napadajícího ROS <6.38.4

basty

Počítám že hlavně firmám. Kolik?

pgb

tak asi dle podmínek, jak dlouhý, jaký objem dat ...... to jsou otázky na cenotvorbu naprosto abstraktní :)

thomas_more

Taky u většiny osazenstva pokud mají výpadek na řekněme deset sekund, možná někdo zabrblá, že se mu seklo yůůtube, ale jinak se stane h*vno. U enterprise/carrier sítí znamená desetisekundový výpadek značné škody. První smluvní pokuta už kohokoliv naučí, co je to to "Corporate IT". Pak se testování verzí a všemu ostatnímu divit přestane.

Vidim to dost podobne. Problem je v tom, ze vyse zminovani maji takovou nejakou svoji pravdu a nechteji prijmout fakt, ze to muze nekdo delat jinak a to at z toho duvodu ze chce a nebo protoze proste treba musi. Hlavne ze si muzou prisadit a udelat z nekoho, kdo pozada o polopatickou radu (protoze to treba jen uplne nechape) idiota. Nejako mi to prijde proti smyslu tohohle fora. Ale budiz, kazdej to mame nastaveny jinak. A kdyz jsi nacal ty smluvni pokuty .... jednou se mi povedlo shodit asi na 12 minut BSC T-Mobilu v Karlovych Varech. Fakticky se mi povedlo vyhodit na par vterin oba power feedy u jedny rady racku a nez to cely najelo, trvalo prave asi tech 12 minut. Nastesti to ve finale nebyla tak uplne moje vina, coz jsem docela kvitoval, protoze skoda vycislena operatorem za ten 12 minutovej vypadek byla presne 244 tisic. Toliko k tem carrier sitim. :-) Vis jak ... nekdo to tady ma v podpisu. Vysoce odbornych omylu se dopousteji pouze specialiste. :-)

jasně, a proto "dělat jinak" znamená nechat na enterprise sítích bezpečnostní díru která může odstavit celej router když někdo bude chtít. Super. Sorry ale idiota ze sebe děláš ty těmi to nelogickými protichůdnými závěry.

Jo a ještě bych se rád zeptal... co dělá v enterprise řešení mikrotik? mikrotik je enterprise věci? O čem se to tu bavíme? Zdá se že vo hovně. Já ti to připomenu. Bavíme se o bezpečnostní díře v systému RouterOS a o lidech kteří RouterOS využívají především na wireless ISP a o zařízeních kolem 1 tisíce korun. Jestli někdo nemá pár tisíc na testování nových verzí v kanceláři na stole než to dá do ostrýho provozu tak jak se to běžně dělá v enterprise věcech tak sorry ale to neni moje věc. Navíc na to všichni zde měly 1 ROK.

Dost mě sere tenhle dvojí metr. Když se bug oběvil u UBNT, nikdo ani nepípnul a prostě pougpradoval zařízení. Když tohle teď potkalo mikrotika, tak nikdo nehnul ani prstem a všichni se na to doslova vysraly.

Inu ... potrefena husa, ze? Ocividne jsi nepochopil smysl toho, co jsem prapuvodne napsal. Ale to se tak nejak dalo cekat. :-) Nikdo tady nedehonestuje Mikrotik. Tim min ja, kdyz ho sam v ne uplne maly mire pouzivam v mistech, ktery pro me nejsou klicovy. Pater je komplet MPLS Hua/Cisco, ale i Mikrotik u nas ma svoje misto. Nicmene presne sedis do ty primery o svoji pravde. Konstruktivni diskuse se vede jinak. Ne tak, ze se navazis do jinych jen proto, ze neco vidi jinak a nebo maji na vec jinej nazor. To je vse, o cem tady byla rec Hapi. Nic vic, nic min ...

robotvor

kvůli čemu?

Chcípl jim switch na POPu

To bylo na Hodonínsku, že? Taky nás to nás*šlo.

Ano

gemb

hapi: prestan sa tu rozkrikovat....to, ze ty si len zastanca MK a ine riesenie nez MK s novym FW nepoznas neni moj problem. Mikrotikov som namontoval tisicky a ubnt pomaly tiez tak mi tu prestan tlacit svoje rozumy. V kazdej diskusii to tak je, pride hapi a MK si da zlatu korunku na hlavu Ja to hovorim, ze pri oboch je treba si odstriehnut pouzitelny FW a pouzivat ten. Neni sa treba za kazdu cenu hnat za novym FW. To, ze sa pri MK zasekne wlan je fakt ktory sa tiahne roky, bug so single chain a TX v G rezime je tu tiez roky. Ubnt a slavna gps sync je tu tiez roky az teraz cosik kdesik sa o to zaujimaju. UBNT virus ktory tu bol tak 2 roky dozadu tiez nebolo nic moc. Niekomu sa zosypala cela siet, niekomu nic... Su to len hracky, tak to tak neprezivaj ;)

zero

Tvl to je spam zase :

Hele, ja napisu nasi zkusenost:

V notasu mam par scriptu, kteryma nastavim klientskej MK jednim kliknutim /a to vc. IP->Services->Aviable from/. Jednim klikem! Nemusis se zdrzovat zadnym jinym nastavenim. Vybalim zarizeni z krabice, pripojim, nastavim SSID, IP, Identity Name a spustim script. Hotovo, odjizdim.

A co se tyka corporate/enterprise.

Myslim, ze lidi /ajtaci/, co si prosli nejakym corporatem maji trosku jinak postaveny chapani security obecne. IPspik nedela audity, nenecha si delat na siti 4x rocne penetracni testy, nemusi vyplnovat troubleshooting reporty a nesahnou mu na prachy, kdyz neco posere apod. A za me to zpetne vnimam tak, ze corporat mi dal v tomhle trosku kritictejsi pristup ve vnimani security obecne a v jiste mire jsem rad, ze se mi ji podarilo protlacit (stalo to nejaky kacky a hlavne minimalne 5let zivota) do naseho ISP businessu. Znate to, 10let se nic nestane a pak najednou..

Dle me se kazdej z nas snazi najit rovnovahu mezi simle/hardcore cfg vs. funkcnost/bezpecnost. To, ze je neco nakonfigurovany zrovna takhle prece automaticky neznamena, ze je to spatne. Je tam x promenych, ktery se musi zohlednit. A narovinu rikam, ze na spoustu corporate reseni obcas pouzijeme MK.

A zlatý pravidlo nakonec: Kdyz to funguje, nesaham na to..

sry za OT

Jo a Hapi, psal se Ti na Skype, tak az vychladnes, prosim o odpoved

crazyape

mikrotik Nv2 nikdy neopravil ani neopravi a ziadne nove ROS tomu nepomozu. Odjakziva co existuje nv2 tu mame bug zo zamrznutim wlan kedy pomoze len vyhodit klientov, ti sa nalinkuju spat a uz to ide. Nejake zazracne zlepsienie nv2 ani neriesim. Uz v davnych dobach som si x krat overil, ze treba pouzivat len overenu verziu. Napr. spravili sme spoj na MK. v6.20 a nedalo to ani 20Mbit, nahral sa spatne 6,12 a islo to 35Mbit ALE TREBA UPGRADE na novu nova je predsa najlepsia. bullshit. Clovek musi dlho testovat ros aby to nahral bez obav, ze sa nieco posere. Ubnt pri novych fw taktiez. Nahras a skape ti zariadenie Nie dik...radsej pockam par mesiacov nech si to motorkovia na ubnt vyskusaju a potom si to nahram ja

Nevim o cem se to tady bavime nicmene mame celou sit NV2 N a nekde AC a NIKDE se mi to nestalo a to 90% sajtů je na baterkach a sektory maji uptime od update fw do update fw. Taky nevim co je spatneho na NV2 krom toho ze v 802.11 mi daji spoje cca o 15% vic na TCP spojeni. Hledal bych spis problem nekde jinde. (Vadne zarizeni, typ provozu, spatne napajeni, kombinace zarizeni vs sektor, ruzne fw atp. ) Vim ze se to tady lidem deje a deje se to i znamym co maji mnohem mensi sit nez my. U nas tento problem NIKDY nenastal ... zajimave.

gemb

Nevim o cem se to tady bavime nicmene mame celou sit NV2 N a nekde AC a NIKDE se mi to nestalo a to 90% sajtů je na baterkach a sektory maji uptime od update fw do update fw. Taky nevim co je spatneho na NV2 krom toho ze v 802.11 mi daji spoje cca o 15% vic na TCP spojeni. Hledal bych spis problem nekde jinde. (Vadne zarizeni, typ provozu, spatne napajeni, kombinace zarizeni vs sektor, ruzne fw atp. ) Vim ze se to tady lidem deje a deje se to i znamym co maji mnohem mensi sit nez my. U nas tento problem NIKDY nenastal ... zajimave.

Problem so zaseknutim nv2 sme riesili na nahodnych miestach. Problem napajania, sektoru atd hned vylucujem nakolko to boli rozne kombinacie ale stalo sa to na vsetkych. Zaseklo sa to jak v meste s velkym rusenim, tak na dedine kde bol volny kanal atd. Na baterkach defacto vsetko, ziadne kolisanie siete atd by to nespravilo. Uptime 400+ dni. Ludia taktiez pisu, ze sa im to zaseklo aj na 802.11 co sa nam nikdy nestalo a to existovali rozne kombinacie klientov ( jeden sektor a ubnt +mk dokopy) Pri UBNT sa mi nastalo, ze by zaseklo wlan na AP ale stalo sa, ze odkopavalo zariadenia XM napr. Pomohla az vymena sektoru. Zaver je stale rovnaky, su to vsetko len hracky MK aj UBNT ktore nejako funguju Stejne v mnohych pripadoch neexistuje ine riesenie. Ak existuje tak vacsinou drahe ci zlozite. Kazdy ponadavame na tieto hracky ale stejne ich budeme este roky pouzivat ;)

hapi

hapi: prestan sa tu rozkrikovat....to, ze ty si len zastanca MK a ine riesenie nez MK s novym FW nepoznas neni moj problem. Mikrotikov som namontoval tisicky a ubnt pomaly tiez tak mi tu prestan tlacit svoje rozumy. V kazdej diskusii to tak je, pride hapi a MK si da zlatu korunku na hlavu Ja to hovorim, ze pri oboch je treba si odstriehnut pouzitelny FW a pouzivat ten. Neni sa treba za kazdu cenu hnat za novym FW. To, ze sa pri MK zasekne wlan je fakt ktory sa tiahne roky, bug so single chain a TX v G rezime je tu tiez roky. Ubnt a slavna gps sync je tu tiez roky az teraz cosik kdesik sa o to zaujimaju. UBNT virus ktory tu bol tak 2 roky dozadu tiez nebolo nic moc. Niekomu sa zosypala cela siet, niekomu nic... Su to len hracky, tak to tak neprezivaj ;)

jooo? asi si nečet moje kritický posty o mikrotiku že? já nikomu nenadržuju, jenom interpretuju fakta. Samozřejmě s tvým přístupem se budou bezdráty na mikrotiku sekat pořád když sis vyhlídnul "ideální" firmware. Mě se to třeba minimálně přes rok nestalo, asi to bude těmi novými verzemi které to opravujou :-D Ale víš jak, když ty okamžitě vyloučíš problém v napájení, problém v kabelu nebo problém v konkrétním kuse boardu, tak s takovym ignorantem se nedá dělat nic. Tady se nabízí čistá otázka jakto že tobě se to stalo všude a mě jenom na jednom sektoru. hmmm tady něco smrdí a bude to na tvojí židli. A opět, u ubnt si vyměnil sektor, u mikrotiku ne. Tohle asi nikdy nepochopíš.

pintero

Hapi a jeho pravda :::

myghael

... okamžitě vyloučíš problém v napájení, problém v kabelu nebo problém v konkrétním kuse boardu, ...

Toto už je "naozaj" off-topic, ale poučte mě mistře hapi, problém v napájení? WTF? Na situ snad mám zálohované a monitorované napájení, tudíž výpadky či významné kolísání napětí snad nehrozí, ne? Problém v kabelu, co to je? Snad mám všude kvalitní stíněné kabely s kvalitními konektory, samozřejmě nepoškozené. Problém v konkrétním kuse boardu? A to je zase co? Pokud dělá RB bordel pořád, vyměním a nereptám, pokud s jednou verzí ROS ano a se starší ne, tak snad pátrám, proč tomu tak je, to je přece součást standardní procedury testování nové verze před nasazením do produkčního prostředí, není-li to ovšem RB433AH nebo jiný starší kousek, který při problému měním za nové železo automaticky?

Omlouvám se všem za offtopic, hapiho prosím o SZ, pokud odpovědí na tohle nechce plevelit tohle vlákno.

okoun

co mohu říci obecně a co se nám povedlo teď je to že nějaké takové útoky už nás ohrožují hodně minimálně a jen pár zařízení na síti, protože díky řešení MPLS je oddělená "backbone" síť od té klientské, takže všem, který myslí ISP vážně vřele doporučuji.

máme po republice pár VPNek ktřeba u starnetu a jinýc tzn "velkých profi ISP" a fakt nechápu jak taková síť může chodit, například nahodím telnet a vidím jejich prvky, mohu na ně útočit kdybych chtěl, scanování ipček, mac. backbone prvky mají veřejné adresy bez firewallů a podobné čertovinky.

coolerman1

Toto tu je cele stale 1. APRIL ? :):

crazyape

Hapi a jeho pravda :::

A pak jsem tu já kdo tvrdí, ze taky žádný problém se "zasekavanim" nemá. Cca 200 vysílání vše nv2. Asi budem mít s hapim oba svou pravdu...

tomasegert

Může sem prosím někdo napsat, jak bezpečně poznám, že je můj mikrotik zavirovaný?

Do netu mám firewall a na vnitřní síti jsem zakázal services api a telnet a web jsem hodil na vysoký port.

Nicméně ještě před tím než jsem zakázal services jsem v logu viděl jak na něj jiný mikrotik z vnitřní sítě útočí.

Nyní se chová korektně a torch mi na portu 23 nic neukazuje.

Je to CCR a při vyžší verzi ROS 6.33 se koušou porty (FSC error on link)

Takže si můžu vybrat buď 2 x do měsíce zásek na jistotu, a nebo možná zavirovanej...

Dík

dalibortoman

Může sem prosím někdo napsat, jak bezpečně poznám, že je můj mikrotik zavirovaný?

Dík

mas to v tomhle vlakne popsany nekolikrat. Ja to psal o par stranek dozadu.

iTomB

Hapi, ja treba resim problem s odpojovani na 802.11n WPA2 ... Ten problem je popsanej i na ofico foru a oprava nikde. Problem registruju tak rok a kus a to FW snad od 6.10 a ani nove to neopravuji ...

gemb

Hapi a jeho pravda :::

A pak jsem tu já kdo tvrdí, ze taky žádný problém se "zasekavanim" nemá. Cca 200 vysílání vše nv2. Asi budem mít s hapim oba svou pravdu...

Bude to nahodne, nezavisle od HW. Tazko zistit co to sposobuje. Ludia pisu, ze sa im to zasekava aj na 802.11 co sa nam nikdy nestalo. Na nv2 sa to stalo tak 5x rocne. Vychadzam zo statistiky asi o 400 sektoroch MK. Okrem toho, sposobuje to v prvom rade niektory s pripojenych klientov. Klient prestane prenasat data, potom nasleduju dalsi a dalsi az sa zasekne wlan na AP. Jediny trik je spravit si skript na pinganie mac. Ak niekto prestane pingas tak ho kicknes. S tymto skriptom je pre nas jedine funckne riesenie.

coolerman1

Hapi a jeho pravda :::

A pak jsem tu já kdo tvrdí, ze taky žádný problém se "zasekavanim" nemá. Cca 200 vysílání vše nv2. Asi budem mít s hapim oba svou pravdu...

Pravdu vravis , ale stale to nieje riesenie. Mne sa to 3 roky s sxt nestalo a zrazu zasek nemenil som fw nemenil som kanal .proste zacalo odpajat klientov.este sice nemam najnovsi ros , ale aj to pride. Je dost zaujimave , ze problemy vzdy prichadzaju vsetkym v jednom case , uz mi to pride ako chyby v chipsetoch

dalibortoman

btw: vsiml jsem si, ze napadeny MT krome portu 23, 8291, 7475 skenuje i na 2000 (bandwidth test). Nevim jestli je to jen dalsi vektor pro hadani hesel nebo je v meraku nejaka dira?

« Předchozí stránka Další stránka »