|
Zarządzanie usługami IP Service oraz kontrola dostępu do systemu Mikrotik RouterOS |
Użytkownik może zarządzać dostępem do usług IP działających w systemie Mikrotik RouterOS poprzez wyłączanie niewykorzystywanych usług lub też ograniczanie dostępu do nich. Często o tym zapominamy, a jest to naprawdę szeroko otwarta furtka do naszego systemu, a następnie całej sieci. Zastanówmy się czy administrujemy naszym systemem poprzez przeglądarkę WWW. W większości przypadków odpowiemy sobie że sporadycznie lub wcale. Po zainstalowaniu, system Mikrotik RouterOS uruchamia się z domyślnie włączonymi usługami TELNET, FTP, WWW, SSH :
[admin@MikroTik] > ip service print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 telnet 23 0.0.0.0/0
1 ftp 21 0.0.0.0/0
2 www 80 0.0.0.0/0
3 ssh 22 0.0.0.0/0
4 X www-ssl 443 0.0.0.0/0 none Jeśli korzystamy z usługi SSH to wyłączmy TELNET i ograniczmy dostęp do SSH poprzez przypisanie konkretnego adresu IP z którego można będzie wykonać połączenie. Należy także przenieść SSH na wysoki niestandardowy port. Taka zmiana w niczym nam nie zaszkodzi, ale potencjalnemu napastnikowi już tak. Szczególnie mam tu na myśli roboty skanujące sieć Internet w celu odnalezienia otwartych standardowych portów.
Jeśli usługa SSH pracuje na domyślnym porcie 22 a nasz system ma przypisany publiczny adres IP to w logach systemowych możemy często zaobserwować próbę ataku słownikowego.
[admin@MikroTik] > log print
jun/19/2008 02:34:38 system,error,critical login failure for
user workshop from 221.124.0.130 via ssh
jun/19/2008 02:34:42 system,error,critical login failure for
user mailnull from 221.124.0.130 via ssh
jun/19/2008 02:34:46 system,error,critical login failure for
user nfsnobody from 221.124.0.130 via ssh
jun/19/2008 02:34:50 system,error,critical login failure for
user rpcuser from 221.124.0.130 via ssh
jun/19/2008 02:34:55 system,error,critical login failure for
user rpc from 221.124.0.130 via ssh
jun/19/2008 02:34:59 system,error,critical login failure for
user gopher from 221.124.0.130 via ssh
• Zmienimy standardowy port 22 usługi SSH na port 2002 i nadamy prawo do pracy w systemie z adresu 10.0.0.100:
[admin@MikroTik] ip service> set ssh port 2222 address=10.0.0.100
[admin@MikroTik] ip service> print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 X telnet 23 0.0.0.0/0
1 ftp 21 0.0.0.0/0
2 X www 80 0.0.0.0/0
3 ssh 2002 10.0.0.100/32
4 X www-ssl 443 0.0.0.0/0 none
• Wyłączmy teraz usługę WWW i TELNET w naszym systemie:
[admin@MikroTik] > ip service disable www
[admin@MikroTik] > ip service disable telnet
[admin@MikroTik] > ip service print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 X telnet 23 0.0.0.0/0
1 ftp 21 0.0.0.0/0
2 X www 80 0.0.0.0/0
3 ssh 2002 10.0.0.100/32
4 X www-ssl 443 0.0.0.0/0 none
W każdej chwili, jeśli zajdzie taka potrzeba, możemy każdą usługę aktywować wydając przykładowe polecenie - /ip service enable www
Następna sprawa - często bagatelizowana przez administratorów - to możliwość dostępu do systemu Mikrotik RouteOS poprzez MAC adres interfejsu platformy sprzętowej. Do połączenia z systemem poprzez MAC adres możemy użyć aplikacji Neighbor Viewer lub Winbox dla systemu Windows. Połączenie to możemy także zainicjować z samego systemu Mikrotik RouterOS poprzez polecenie /tool mac-telnet
• Poleceniem /tool mac-server możemy kontrolować możliwość dostępu do systemu poprzez MAC telnet.
[admin@MikroTik] > tool mac-server print
Flags: X - disabled
# INTERFACE
0 all
Jak widzimy połączenie MAC Telnet możemy wykonać z każdym fizycznym interfejsem który jest aktywny i dostępny w systemie. Poniższą komendą usuniemy tę możliwość:
[admin@MikroTik] > tool mac-server remove 0
[admin@MikroTik] > tool mac-server print
Flags: X - disabled
# INTERFACE
• Poleceniem /tool mac-server mac-winbox możemy kontrolować możliwość dostępu do systemu poprzez Winbox.
( ... )
Pełna treść tego artykułu zarezerwowana jest dla zarejestrowanych użytkowników AkademiaWiFi.pl
|
