[GTER] Mais uma da mikrotik

Thiago Rheinheimer Costa thiago at tryideas.com.br
Mon Oct 8 23:27:17 -03 2018


*Alguem sabe por que o check de ip em access list do mikrotik não funciona
com o conntrack desabilitado?*
Não cheguei a notar que não funciona, vou fazer testes pra validar. Na
lista de features que a documentação lista ser prejudicada ao desativar o
conntrack não está informando isso. Que bom que avisou, caso eu precise
desativar o conntrack já fico de olho nisso.

*Essa sua solução de entrar via ssh podia ser feita diferente, com port
knock *
Sim, certamente. Pensei até em analisar o log se determinado usuário logou
por ssh então libera o serviço winbox também pra evitar o trabalho de ficar
usando /system script run openWinbox. Más há muitas formas de implementar
segurança. Poderia usar o port knocking pra primeiro liberar o ssh para um
ip qualquer, aí uma autenticação segura via ssh com aquele usuário faria
com que o winbox fosse automaticamente habilitado e que quando o usuário
fizesse logoff o serviço fosse desabilitado, e o serviço ssh também
desabilitado. Poderia restringir o port knocking de um conjunto de ips
confiáveis pra garantir ainda mais. No final eu fico paranóico.

Att.
*Thiago Rheinheimer Costa*

<http://www.tryideas.com.br/>

41 4063-7293    Curitiba
44 3112-0603    Maringá
45 3112-0224    Cascavel
45 3055-7688    Toledo
45 3055-7688    Marechal Cândido Rondon

www.tryideas.com.br
www.4aw.com.br
www.mageshop.com.br


Em seg, 8 de out de 2018 às 22:54, Bruno Cabral <bruno at openline.com.br>
escreveu:

> Alguem sabe por que o check de ip em access list do mikrotik não funciona
> com o conntrack desabilitado?
>
> Essa sua solução de entrar via ssh podia ser feita diferente, com port
> knock
> ________________________________
> De: gter <gter-bounces at eng.registro.br> em nome de Thiago Rheinheimer
> Costa <thiago at tryideas.com.br>
> Enviado: segunda-feira, 8 de outubro de 2018 14:49:30
> Para: gter at eng.registro.br
> Assunto: Re: [GTER] Mais uma da mikrotik
>
> Pois é, recentemente fiz uma série de scripts que atualizam meus ips
> administrativos, setam tanto no /ip firewall filter como no /ip service
> winbox e /ip service ssh e no /user os ips autorizados. Também alterei os
> usuários removendo o padrão, e pra liberar acesso para o winbox eu entro
> via  ssh e rodo um script que habilita a regra de firewall que permite o
> acesso e que habilita o serviço, que só utilizo quando refazendo uma série
> de configurações que tem sua visualização facilitada pela interface
> gráfica. O serviço do ssh também alterei a porta padrão, além dessa
> configuração de ips autorizados.
> Os demais serviços tenho todos desativados.
>
> Att.
> *Thiago Rheinheimer Costa*
>
>
> Em seg, 8 de out de 2018 às 14:27, Eduardo Schoedler <listas at esds.com.br>
> escreveu:
>
> > Mikrotik sempre contribuindo para uma internet melhor para todos:
> >
> > https://thehackernews.com/2018/10/router-hacking-exploit.html
> >
> >
> > --
> > Eduardo Schoedler
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list