[GTER] Mais uma da mikrotik

Tue Oct 9 09:58:49 -03 2018

Pelo que sei, esse recurso do mikrotik é baseado em tcp wrappers, então não
deveria afetar em nada. Porém, todavia e contudo, vindo do pessoal do
mikrotik...

Em ter, 9 de out de 2018 às 09:57, Marcelo Gondim <gondim at bsdinfo.com.br>
escreveu:

> Bom dia,
>
> O conntrack só deveria afetar módulos que usem ele como NAT e regras de
> filtro stateful no Firewall. Quando você desabilita o conntrack o
> sistema vira stateless. O conntrack faz o controle de estado das conexões.
>
> Em 08/10/2018 23:27, Thiago Rheinheimer Costa escreveu:
> > *Alguem sabe por que o check de ip em access list do mikrotik não
> funciona
> > com o conntrack desabilitado?*
> > Não cheguei a notar que não funciona, vou fazer testes pra validar. Na
> > lista de features que a documentação lista ser prejudicada ao desativar o
> > conntrack não está informando isso. Que bom que avisou, caso eu precise
> > desativar o conntrack já fico de olho nisso.
> >
> > *Essa sua solução de entrar via ssh podia ser feita diferente, com port
> > knock *
> > Sim, certamente. Pensei até em analisar o log se determinado usuário
> logou
> > por ssh então libera o serviço winbox também pra evitar o trabalho de
> ficar
> > usando /system script run openWinbox. Más há muitas formas de implementar
> > segurança. Poderia usar o port knocking pra primeiro liberar o ssh para
> um
> > ip qualquer, aí uma autenticação segura via ssh com aquele usuário faria
> > com que o winbox fosse automaticamente habilitado e que quando o usuário
> > fizesse logoff o serviço fosse desabilitado, e o serviço ssh também
> > desabilitado. Poderia restringir o port knocking de um conjunto de ips
> > confiáveis pra garantir ainda mais. No final eu fico paranóico.
> >
> > Att.
> > *Thiago Rheinheimer Costa*
> >
> > <http://www.tryideas.com.br/>
> >
> > 41 4063-7293    Curitiba
> > 44 3112-0603    Maringá
> > 45 3112-0224    Cascavel
> > 45 3055-7688    Toledo
> > 45 3055-7688    Marechal Cândido Rondon
> >
> > www.tryideas.com.br
> > www.4aw.com.br
> > www.mageshop.com.br
> >
> >
> > Em seg, 8 de out de 2018 às 22:54, Bruno Cabral <bruno at openline.com.br>
> > escreveu:
> >
> >> Alguem sabe por que o check de ip em access list do mikrotik não
> funciona
> >> com o conntrack desabilitado?
> >>
> >> Essa sua solução de entrar via ssh podia ser feita diferente, com port
> >> knock
> >> ________________________________
> >> De: gter <gter-bounces at eng.registro.br> em nome de Thiago Rheinheimer
> >> Costa <thiago at tryideas.com.br>
> >> Enviado: segunda-feira, 8 de outubro de 2018 14:49:30
> >> Para: gter at eng.registro.br
> >> Assunto: Re: [GTER] Mais uma da mikrotik
> >>
> >> Pois é, recentemente fiz uma série de scripts que atualizam meus ips
> >> administrativos, setam tanto no /ip firewall filter como no /ip service
> >> winbox e /ip service ssh e no /user os ips autorizados. Também alterei
> os
> >> usuários removendo o padrão, e pra liberar acesso para o winbox eu entro
> >> via  ssh e rodo um script que habilita a regra de firewall que permite o
> >> acesso e que habilita o serviço, que só utilizo quando refazendo uma
> série
> >> de configurações que tem sua visualização facilitada pela interface
> >> gráfica. O serviço do ssh também alterei a porta padrão, além dessa
> >> configuração de ips autorizados.
> >> Os demais serviços tenho todos desativados.
> >>
> >> Att.
> >> *Thiago Rheinheimer Costa*
> >>
> >>
> >> Em seg, 8 de out de 2018 às 14:27, Eduardo Schoedler <
> listas at esds.com.br>
> >> escreveu:
> >>
> >>> Mikrotik sempre contribuindo para uma internet melhor para todos:
> >>>
> >>> https://thehackernews.com/2018/10/router-hacking-exploit.html
> >>>
> >>>
> >>> --
> >>> Eduardo Schoedler
> >>> --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>