[GTER] Hora de atualizar RouterOS

Raphael Pontara pontara at outlook.com
Fri Aug 3 00:03:30 -03 2018 

Vou aproveitar para falar um pouquinho com cada um ;)


Conforme dito pelo Rubens, já não estamos seguros com as tais correções "quentinhas".


O link com os 'códigos' mencionados pelo Victor e também pelo Rubens, se bem utilizados, podem ajudar o administrador a identificar quando obtiver exito  nas restrições de acesso.



Ao Lucas, Andrio, Sávio e demais membros da lista.
O uso de versões atualizadas é uma boa prática, principalmente quando falamos em sabores de versões exaustivamente testadas como uma 'BugFix', por exemplo.
No entanto,  o uso de versões mais novas está longe de nos proteger de uma falha exposta e muito menos das falhas latentes.

A aplicação de políticas de acesso através de firewall, restrição de interface ou, melhor dizendo, a implantação de camadas de segurança no acesso a um equipamento sensível, deve ser tão habitual quanto acordar e se levantar da cama.

Nós que trabalhamos numa área altamente 'volátil', devemos nos antecipar a falhas futuras, prevermos que pode acontecer, antecipar-mos uma falha.
Enfim, tudo isso é feito aplicando camadas de segurança.


Em um imóvel - por exemplo -  põe-se um portão para evitar a entrada de estranhos. Mas um 'mais abusado' abrirá o trinco.

Daí colocamos um cadeado. O 'mais esperto' o pula.

Pomos então uma cerca elétrica. O 'mais esperto e abusado' descobre que colocando um tapete de carro sobre os fios faz com que o efeito do choque não o atinja.


Bem, está feita a analogia sobre como devemos envolver o nosso 'diamante' com camadas de segurança.


O Michel compartilhou que detectou investidas partindo de dentro da rede...

Oras, temos que lembrar que em muitos dos casos, nossas redes 'internas' são públicas e por este motivo também deve entrar na lista de restrições.



Fernando, o RouterOS permite o uso do Winbox através do RoMON, sem que o serviço WINBOX esteja ativo.

Neste caso, não é necessário aplicar nenhum recurso que custe a perda do fastpath.


Como usar?


Se tiver um equipamento rodando RouterOS - fora da rede - que permita receber conexões VPN, basta usar a VPN para acessar TODOS os equipamentos.



Realmente, Fernando. O uso de um firewall eficiente é - em muitos casos - o recurso mais eficaz contra tais investidas. No entanto, conforme o Fernando citou, perde-se features importantes e é necessário avaliar  muito bem o emprego desta 'técnica'.


Douglas, creio que o uso do RoMON (conforme mencionei acima) possa atender - por enquanto - os nossos anseios por uma interface de gerência.





Atenciosamente,
Raphael Pontara - MontNet
+55(27)99252-5555


________________________________
De: gter <gter-bounces at eng.registro.br> em nome de Douglas Fischer <fischerdouglas at gmail.com>
Enviado: quinta-feira, 2 de agosto de 2018 19:21
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] Hora de atualizar RouterOS

Pelamor das véia Virgem...

Trocar porta para não padrão não resolve nada!
Adiciona um grau de complexidade ínfimo na tentativa de brute force.
Tão ínfimo que hoje em dia, com as atuais ferramentas uma varredura
completa de todas as portas ou só uma porta vai variar muito pouco o tempo
total de varredura.


Trocar porta padrão, hoje em dia, só tem 3 resultados:
1- Parecer que é seguro para que não tem conhecimento e maldade no coração.

2- Tornar a vida de quem opera no dia a dia mais complicada...
"Qual era mesmo a porta que eu tinha configurado?"

3- Trazer uma falsa sensação de estar seguro, e por consequência um
relaxamento e acomodação. Oque é altamente inseguro.

Tô no celular, mas lá em 2010-11 teve uma palestra polêmica na black-hat
sobre isso...




Em qui, 2 de ago de 2018 14:02, Rubens Kuhl <rubensk at gmail.com> escreveu:

> Hello,
>
> It has come to our attention that a rogue botnet is currently using a
> vulnerability in the RouterOS Winbox service, that was patched in RouterOS
> v6.42.1 in April 23, 2018.
>
> Since all RouterOS devices offer free upgrades with just two clicks, we
> urge you to upgrade your devices with the "Check for updates" button, if
> you haven't done so already.
>
> Steps to be taken:
>
> - Upgrade RouterOS to the latest release
> - Change your password after upgrading
> - Restore your configuration and inspect it for unknown settings
> - Implement a good firewall according to the article here:
>
> https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
Manual:Securing Your Router - MikroTik Wiki<https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router>
wiki.mikrotik.com
Access to a router Access username. Change default username admin to different name, custom name helps to protect access to your rotuer, if anybody got direct access to your router.



>
> All versions from 6.29 (release date: 2015/28/05) to 6.42 (release date
> 2018/04/20) are vulnerable. Is your device affected? If you have open
> Winbox access to untrusted networks and are running one of the affected
> versions: yes, you could be affected. Follow advice above. If Winbox is not
> available to internet, you might be safe, but upgrade still recommended.
>
> More information about the issue can be found here:
> https://blog.mikrotik.com
>
> Best regards,
> MikroTik
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list