Обнаружена критическая уязвимость в RouterOS

Заключается она в том, что злоумышленник может вытащить информацию о пользователях роутера. Настраивайте фаерволы и ограничивайте адреса, которым можно подключаться к WinBox

https://forum.mikrotik.com/viewtopic.php?f=21&p=656255&t=133533&sid=801b7135c15c4bbe7bb6af65b00b683e

Важное дополнение по уязвимости сервиса Winbox в RouterOS (подробности по ссылке в предыдущем посте):
На текущий момент нет полной уверенности, что вы не уязвимы.
Если ваш порт WinBox открыт для недоверенных сетей, предполагайте, что вы подвержены уязвимости, поэтому:
- по возможности - обновитесь на 6.42.1 (предварительно протестировав),
- по возможности - выключите WinBox (ip service),
- измените пароли пользователей,
- добавьте ограничения портов управления в FireWall,
- проверьте логи на предмет неавторизованных попыток подключения с неизвестных IP адресов (сначала могут быть сообщения о неспешных попытках авторизации, а потом об успешной),
- проверьте FireWall для обоих версий IP протокола IPv4 и IPv6.

Более подробно тема защиты ваших роутеров была рассмотрена на MUM в Екатеринбурге.

-+- Основные рекомендации по настройке и отладке RouterOS - Maris Bulans (MikroTik, Latvia)
https://youtu.be/PGvoT_Mwlvk

-+- Обзор сомнительных технических решений на RouterOS и их разбор - Tim Martiushev (MTik.pro, Russia)
https://mum.mikrotik.com/presentations/RU18/presentation_5300_1521184238.pdf
https://youtu.be/OuGP4PqasbA
------------------------------------
Если вам требуется консультация, обратитесь к нам, мы постараемся помочь вам по мере возможности.
E-mail: info@mtik.pro
Telegram: @mtimvik
VK: https://vk.com/mtikpro
Телефон: +7(342)2-06-03-02

​​​​​​​​Совсем недавно, буквально 17 апреля, RIPE NCC выдал последнюю сеть (из последней не использованной ранее /8).
Ещё остались адреса, которые были возвращены в RIPE NCC (например, при закрытии LIR'а).
Теперь, если вы получаете сеть, то она точно б/у. 😂
----
Жми 👍, если решил, что теперь уже точно пора заняться запуском IPv6 в своей сети.
Жми 👎, если тебе нравится NAT в IPv4 и ты не хочешь использовать публичные адреса.

8 Мая состоится MikroTik User Meeting в Японии, в расписании среди труднопереводимых тем, есть доклад от Sergejs Boginskis из MikroTik:
Что нового в коммутаторах от MikroTik начиная с версии RouterOS 6.41. Приёмы конфигурации и подсказки.
Рекомендую не пропустить этот доклад.
———
А пока вы можете помотреть как происходит подготовка к каждому MUM'у: https://youtu.be/0vdqlSydtNg

​​​​​​Так обрадовались длинным выходным, что совсем забыли рассказать от итогах вечернего тренинга.
С 23 по 29 апреля у нас состоялся первый вечерний тренинг #MTCNA.
Опыт увлекательный и нелегкий.
Все участники успешно сдали экзамен!

Вышел майский информационный бюллетень MikroTik (#newsletter #82).
(первая часть новости)

Новые продукты, представленные на Европейском MUM:
Европейский MikroTik User Meeting прошёл в Берлине 5-6 апреля. На этом мероприятии был представлен RoadMap продуктов MikroTik на этот год.
Вы можете посмотреть слайды презентации и видео с MUM.

Обзор некоторых устройств:

CRS305-1G-4S+IN
• 4x SFP+ порта
• 1x Gigabit Ethernet
• металлический корпус
• 2 разъёма для подключения питания (DC)

PWR-Line AP
• Небольшая точка доступа, подключаемая в розетку
• Организует линк 100Мбит/сек с другим таким же устройством
• Организует беспроводную сеть без дополнительных проводов
• Автоматически соединяется с новыми такими же устройствами
• Ethernet port для принтера, IP-телефона, компьютера или другого устройства

LDF 2
• 2 GHz CPE/bridge
• Устанавливается на стандартную спутниковую тарелку
• Сверхдальние расстояния

CRS309-1G-8S+PC
• 8x SFP+ портов
• 1x Gigabit Ethernet
• Бесшумный корпус

CRS312-4C+8XG
• 8x 10G/5G/2.5G/1G Ethernet портов
• 4x 10G Ethernet / 10G SFP+ комбо портов
• Консольный (Console RJ45) порт и отдельный порт управления (management)
• два блока питания

CRS332-32S+RM
• 32x SFP+ порта
• Консольный (Console RJ45) порт и отдельный порт управления (management)
• два блока питания
• Коммутация пакетов на скорости порта

CRS354-48P-4S+2Q+
• 48x Гигабитных портов с PoE
• 4x SFP+ портов
• 2x QSFP+ портов (40Гбит/сек)
• поддержка стекирования на 40Гбит/сек портах

CRS354-48G-4S+2Q+
• 48x Гигабитных портов
• 4x SFP+ портов
• 2x QSFP+ портов (40Гбит/сек)
• поддержка стекирования на 40Гбит/сек портах

Вышел майский информационный бюллетень MikroTik (#newsletter #82).
(вторая часть новости)

Анонс новых моделей:

Wireless Wire Dish - $298 за комплект из 2х
Агрегированный Линк 2 Гбит/сек без проводов
- 2 Гбит/сек
- Расстояние до 1500 м
- Беспроводная связь на 60 GHz
- Гигабитный Ethernet
- Поддержка 802.3af/at и Passive PoE

Wireless Wire Dish - новаторское решение, предоставляющее скорости и качество проводных решений на дистанциях до 1500 м за хорошую цену!

Этот удивительный комплект автоматически устанавливает зашифрованное (AES) беспроводное соединение на частоте 60 ГГц, которая не затронута переполненным спектром WiFi. Для начала использования вам необходимо направить устройства друг на друга и включить их, они уже преднастроены, чтобы соединиться и предоставить связь до 2 Гбит/сек.

LtAP mini LTE kit - от $89
LtAP mini LTE kit - маленькая пыле-влаго зашищённая беспроводная точка доступа со встроенным модемом для подключения к мобильным 2G, 3G, 4G(LTE) сетям.

Также доступна версия без модема, так что вы можете использовать свой модем.

• точка достуа 2.4 ГГц в прочном корпусе
• слот miniPCIe для LTE модема
• два слота для SIM-карт
• встроенный GPS
• serial (RS232) порт
• отлично пождходит для использования в транспорте

LtAP mini имеет специальный корпус с возможностью крепления к стене, два слота для SIM карт для переключения между мобильными операторами связи, встроеная поддержка GPS, что делает это устройство удобным для использования в движущемся транспорте, например, в машинах, автобусах, поездах.
Доступная для заказа внешняя антенна ACGPSA (не включено).
LTE модем подключается к двум внутренним антеннам с разъёмами u.FL, что позволяет отключить их и использовать другие внешние антенны для лучшего сигнала.

Устройство имеет несколько способов питания:
• 10-57 В PoE через Ethernet порт
• разъём для блока питания (DC)
• microUSB

Используйте встроенный GPS для отслеживания транспорта в реальном времени, в документации уже доступен пример приложения.

Доступны три версии устройства:
• LtAP mini LTE kit (RB912R-2nD-LTm&R11e-LTE) включает LTE модем, поддерживающий международные частоты LTE: 1,2,3,7,8,20,38,40.
• LtAP mini LTE kit-US (RB912R-2nD-LTm&R11e-LTE-US) включает LTE модем, поддерживающий частоты LTE: 2,4,5,12 - для США, Канады и Латинской Америки.
• LtAP mini (RB912R-2nD-LTm) - версия без модема (пустой слот miniPCI-e), вы можете использовать свои модули LTE.

Доступна запись доклада Sergejs Boginskis из MikroTik:
• Что нового в коммутаторах от MikroTik начиная с версии RouterOS 6.41. Приёмы конфигурации и подсказки.
https://www.youtube.com/watch?v=IEE_dszZGLc

Также доступна презентация: https://mum.mikrotik.com/presentations/JP18/presentation_5326_1526295658.pdf

Язык: английский.

​​Где больше всего IPv6 пользователей?

Ответ на этот вопрос вы можете найти в в этой презентации с конференции RIPE76:
https://ripe76.ripe.net/presentations/9-2018-05-17-ipv6-reasons.pdf

​​Большинство устройств от MikroTik имели корпус в белом цвете, а иногда в сером (линейка RB1100).
Была также линейка RB2011, выполненная в чёрном цвете или в красно-чёрной раскраске.

Не так давно появились несколько моделей с чёрным корпусом (hAP mini , wAP BE, hAP ac lite TC, hAP ac²).

Тем не менее, до этого момента ещё не было устройств в классическом корпусе чёрного цвета.
На сайте появилась новая модель с аппаратным ускорением шифрования:
==========
hEX S - $69.
==========
Ниже на картинке вы можете увидеть сравнение с hEX и hAP ac² по основным характеристикам, которые также имеют аппаратное ускорение IPSec.
——————————————
Я уже писал выше, что MikroTik поглядывает на тёмную сторону...

Вышел июньский информационный бюллетень MikroTik (#newsletter #83).

Анонс новых моделей:

hEX S - $69

hEX S - это 6-ти портовый проводной гигабитный маршрутизатор для мест, где нет необходимости в беспроводной связи.
В hEX S есть SFP и PoE выход на последнем порту, в отличии от hEX.

Это доступное, маленькое и простое в использовании устройство, но в то же время имеющее очень мощный двухъядерный процессор на 880 МГц и 256 Мбайт оперативной памяти, способное на любые конфигурации, поддерживаемые в RouterOS.

• Двухъядерный процессор 880 МГц
• 256 Мбайт оперативной памяти
• 1.25 Гбит/сек SFP слот
• 5 Гигабитных Ethernet портов
• USB 2.0
• Слот для microSD
• Аппаратное шифрование IPSec (~470 Мбит/сек)
• Возможность установки сервера Dude
• RouterOS License level 4
• Питание от БП 12-57 В или PoE (802.3at/af)
• Блок питания 24В 1.2А в комплекте

SXT LTE kit - $129

SXT LTE kit - устройство для отдалённых районов в зоне покрытия мобильной связи. Однако из-за профессионального дизайна LTE-чипа и антенны с высоким коэффициентом усиления, может предоставлять связь в зданиях даже там, где не могут сотовые телефоны.

В сравнении с моделью первого поколения RBSXTLTE3-7, SXT LTE kit имеет более мощный процессор, поддержку не только LTE, но и 2G/3G.
Устройство имеет 2 Ethernet порта (второй порт с PoE выходом), так что теперь возможно подавать питание на другое устройство.
Поставляется с блоком питания на 24 В, но поддерживает питание в диапазоне 18-57 В и питание по PoE (802.3af/at).

Устройство поставляется с высококачественным модемом категории 4, обеспечивающим скорость в 150 Мбит/сек для входящего трафика и 50 Мбит/сек для исходящего. Также имеет 2 Micro SIM слота с возможность переключения между ними.

Используется модуль R11e-LTE, поддерживающий международные LTE полосы частот 1, 2, 3, 7, 8, 20, 38 и 40.
Для США, Канады и Латинской Америки используется модуль R11e-LTE-US, поддерживающий LTE полосы частот 2, 4, 5, 12.

RB450Gx4 - $99
RB450Gx4 - это маршрутизатор с 5-ю Гигабитными Ethernet портами, последовательным (RS232) портом, 512 NAND памятью и слотом для microSD карт. Поддерживающий питание от БП 10-57В или PoE (802.3af/at или Passive) и предоставляет питание (PoE) с порта #5.

Поставляется без корпуса, форм фактор идентичен предыдущим моделям RB850 и RB450, что позволяет использовать те же корпуса или сделать собственные.

Устройство работает на четырёхъядерном ARM процессоре с 1 Гбайтом оперативной памяти и поддерживает аппаратное ускорение шифрования IPSec.
Устройство работает под управлением RouterOS - операционная система, которая превратит эту мощную систему в очень современный маршрутизатор или межсетевой экран (FireWall).

Давно не писал...
За это время у меня накопилось много новых историй, как не нужно делать, часть старых схем я уже рассказывал во время доклада на MUM в Екатеринбурге : https://youtu.be/OuGP4PqasbA
Стоит ли выкладывать их сюда?
Нужно ли
👍 - больше неоптимальных схем с использованием RouterBoard и объяснением, как надо было сделать,
👎 - или не надо обсуждать плохие схемы, это может обидеть тех, кто их придумал.

Так сложилось, что один из примеров плохих схем с использованием оборудования RouterBoard, был из крупного оператора, который часто обращается ко мне за консультациями.
Оборудования на RouterOS у этого оператора огромное количество.
Кажется, наконец-то пришло время всё прибрать и сделать хорошо, и, вот, в ближайшее время появится вакансия на Главного специалиста по грамотной настройке RouterOS.
Поэтому, предварительно публикую список требований.
====================
Требуется:
• знать TCP/IP
• понимать принципы работы различных туннелей (IPIP/GRE/PPTP/L2TP/BCP)
• понимать и уметь настроить FireWall (+NAT)
• (опционально) знать о протоколах TR-069 и подобных
• желательно быть линуксойдом (это исключительно от меня добавлено)
• наличие сертификатов (можно просроченных) MTCNA и MTCRE или готовность сдать оба экзамена
• умение аргументированно объяснять, почему не стоит запускать массово услугу PPPoE на L2, организованном с помощью EoIP, который строится на адресах в туннеле PPTP с серого IP на 3G-интерфейсе, который строится через Интернет до центральной точки.
====================
Компания предлагает официальное трудоустройство.
Коллектив в компании чудесный, очень много крутых специалистов, которым можно позадавать любые вопросы и много чего узнать.

Если вас заинтересовало предложение - пишите мне, мы пообщаемся и, если вы убедите меня, что подходите, я рекомендую вас. (Или ищите вакансию на специализированных ресурсах).

Кажется, я черезчур долго писал пост про то, как делать не надо.
В итоге, решил сделать второй полноценный доклад, решил пока не выкладывать истории сюда, так как точно не уверен, что именно будет в докладе.

​​Приглашаю всех на MikroTik User Meeting 2018 в России.
Самый крупный #MUM в России, уже традиционно осенью в Москве
27-28 сентбря в Москве в конференц зале гостиницы Рэдиссон Славянская

На мероприятии вы сможете:
* посмотреть на оборудование MikroTik
* получить футболку и материалы
* пообщаться с сотрудниками MIkroTik (MikroTik STAFF)
* Пообщаться с тренерами
* Пообщаться с единомышленниками
* Прослушать доклады
* Поучаствовать в лотерее

Не забудьте зарегистрироваться!

Вышли обновление RouterOS
ветка bugfix: 6.40.9
ветка current: 6.42.7
В новых версиях закрыты уязвимости: CVE-2018-1156, CVE-2018-1157, CVE-2018-1158, CVE-2018-1159.

Ещё можно обновлять свои "боевые" роутеры без изменения большей части конфигурации, так как новая версия bugfix ещё не использует новую реализацию bridge (изменения с RouterOS 6.41).

Из изменений:
*) filesystem - исправлена проблема с памятью NAND. при которой память переходила в режим read-only;
Скрытое послание узкому кругу читателей из большого ISP: Возможно, это именно та, проблема, с которой вы столкнулись.
*) tile - исправлена проблема, при которой Ethernet интерфейсы перестают "отвечать";
*) defconf - исправлена конфигурация по-умолчанию для wAP LTE kit;
*) snmp - добавлен OID для количества удалённый CAP (точек доступа) для CAPsMAN;
*) supout - добавлена секция "partitions" в файл для саапорта;
*) winbox - добавлены отсутствующие ранее поля "dscp" и "clamp-tcp-mss" в настройки IPv6 туннелей;

Полный changelog для ветки bugfix:
https://mikrotik.com/download/changelogs/bugfix-release-tree

Полный changelog для ветки current:
https://mikrotik.com/download/changelogs/current-release-tree

Более 7500 маршрутизаторов MikroTik вовлечены в атаку с перехватом трафика
Исследователи из лаборатории 360 Netlab выявили вредоносную активность, в результате которой злоумышленники получили контроль за необновлёнными маршрутизаторами MikroTik. Атака была совершена через эксплуатацию уязвимости CVE-2018-14847.

Друзья, если вы проверили свои маршрутизаторы и закрыли на них все дырки для "взлома", предлагаю вам поделится информацией со знакомыми.
Если вы знаете, что у кого-то есть открытый для всех маршрутизатор - предупредите их об опасности.
Предложите им помощь или дайте наши контакты:
E-mail: info@mtik.pro
Telegram: @mtimvik
VK: https://vk.com/mtikpro
Телефон: +7(342)2-06-03-02
——————————————
Рекомендации описанные нами ещё в апреле, всё так же актуальны

​​Появились новые модели RouterBoard, продолжающие линейки RB2011 и RB3011:
* RB4011iGS+RM — 199$
* RB4011iGS+5HacQ2HnD-IN — 249$

Модели обзавелись:
❤️ новыми коммутационными чипами (switch chip);
❤️ новыми процессорами;
❤️ поддержкой 802.3af/at PoE.

Но лишились:
💔 LCD-экранов;
💔 USB.

Вышел сентябрьский информационный бюллетень MikroTik (#newsletter #84).

Анонс новых моделей:

Серия RB4011:
Серия RB 4001 использует мощный чип Cortex A15 (как в RB1100AHx4).
• 4-х ядерный CPU с частотой 1,4 ГГц
• поддержка аппаратного ускорения IPSec
• 1 GB RAM

RB4011iGS+5HacQ2HnD-IN - $249
Модель c WiFi работает в 2-х диапазонах:
• 5 ГГц: 4 антенны обеспечивают передачу данных на скорости до 1733 Мбит/сек.
• 2,4 ГГц: 2 антенны для legacy устройств
Устройство оборудовано большими внешними антеннами для "всенаправленного покрытия" на 360 градусов.

В дополнении к десяти гигабитным Ethernet портам также имеется SFP+ порт, предоставляющий подключение на скорости до 10 Гбит/сек через SFP+ модуль.

RB4011iGS+RM - $199
В сравнении с WiFi моделью имеет тот же функционал, кроме WiFi, но включает крепление для установки в стойку.