CZFree.Net Home Page Diskuzní Fóra CZFree.Net Archív Často Kladených Otázek Registrace Nových Členů Archív Odkazů Seznam Členů Fóra CZFree.Net Czech Node Map hosted @CZFree.net CZFree.Net WIKI
CZFree Network Portal vzkazy | ovládání | pokročilé hledání   
 

Odpovědět k Tématu 
CZFree.Net forum: Wireless community network CZFree.Net > Fórum > Software > Mikrotik routeros - firewall - bezpečnostní díra (?)
Autor
Téma  < Předchozí Téma   Další Téma >
mpcz
Newbie

Registrován: 28.08.2003
Příspěvků: 87

Mikrotik routeros - firewall - bezpečnostní díra (?) Příspěvek č. 1 

Povšiml jsem si, že při nakonfigurování mikrotiku jako běžný router LAN->WAN + maškaráda nefunguje NAT zcela dle zažitých představ a už vůbec ne podle toho, co je uvedeno v manuálu (3.7). Při provozu z LAN do WAN je vše OK, ale klient připojený na WAN se dopingá na všechny stroje v LAN a klidně si i otevře na těchto PC služby.
Skoro se mi to nechce ani věřit, ale je to tak. Další modelový případ: několik firem, které jsou umístěny na různých adaptérech ETH LAN z důvodu zabezpečení, se vidí navzájem a klidně si můžou studovat data konkurence (pokud samozřejmě nemají dostatečně zabezpečené své PC) !!!
V každém případě jde o bezpečnostní hazard, který se asi musí řešit odděleně, v manuálu však o tomto nebezpečí není ani zmínka, spíše naopak, je zde jednoznačné ujištění, že tento NAT je jednosměrný.
Očekával bych však implicitně blokaci a pak teprve povolování požadovaných funkcí.
Může tohle někdo potvrdit nebo vyvrátit a event. dát srozumitelné a ověřené řešení, když už se tím manuál od Sergeje nehodlá nějak solidně zabývat?
Děkuji.
mpcz
02/05/2008

Old Post 02.05.2008 v 15:09
mpcz je offline   Click Here to See the Profile for mpcz   Find more posts by mpcz   Click here to Send mpcz a Private Message   Click Here to Email mpcz     Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
6host
Senior Member

Registrován: 13.03.2006
Příspěvků: 889

Příspěvek č. 2 

a dyt si to tam muzes nastavit presne podle svejch predstav to neni zadny HW AP tady si nastavis co potrebujes pokdu je to v mocii mikrotika

Old Post 02.05.2008 v 21:35
6host je offline   Click Here to See the Profile for 6host   Find more posts by 6host   Click here to Send 6host a Private Message       Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
mpcz
Newbie

Registrován: 28.08.2003
Příspěvků: 87

Re: Mikrotik routeros - firewall - bezpečnostní díra (?) Příspěvek č. 3 

No ano, je to router + firewall, ale jak jsem již řekl, manuál říká jasně něco o implicitní jednosměrnosti po zapnutí NATU, což tedy není pravda a naopak nic pořádného o nastavení, jak té vzniklé dvousměrnosti zabránit. Takže prosím spíše o konkrétní řešení. Tohle musel řešit každý, kdo nechce mít velkou díru do sítě, takže by se objevit mohlo. Navíc, někdy tu máme i NAT mezi ETH adaptéry privátní sitě, což situaci dále komplikuje.
Děkuji.
03/05/2008
mpcz

Old Post 03.05.2008 v 09:36
mpcz je offline   Click Here to See the Profile for mpcz   Find more posts by mpcz   Click here to Send mpcz a Private Message   Click Here to Email mpcz     Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
petr_bear
Senior Member

Registrován: 07.12.2003
Příspěvků: 674

Re: Mikrotik routeros - firewall - bezpečnostní díra (?) Příspěvek č. 4 

Old Post 03.05.2008 v 11:35
petr_bear je offline   Click Here to See the Profile for petr_bear   Find more posts by petr_bear   Click here to Send petr_bear a Private Message     Visit petr_bear's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Lentil.CZ
Junior Member

Registrován: 18.03.2006
Příspěvků: 208

Re: Re: Mikrotik routeros - firewall - bezpečnostní díra (?) Příspěvek č. 5 

Old Post 03.05.2008 v 17:23
Lentil.CZ je offline   Click Here to See the Profile for Lentil.CZ   Find more posts by Lentil.CZ   Click here to Send Lentil.CZ a Private Message   Click Here to Email Lentil.CZ     Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
rsaf
Senior Member
zastupce cloudu 10.152


Registrován: 16.01.2003
Příspěvků: 866

Příspěvek č. 6 

NAT (maskarada) neni firewall. Jedine co nat dela je to, ze podle nejakych pravidel vybrany packet vezme a prepise mu zdrojovou adresu (a zpet prichazejicim odpovedim zmeni zase cilovou) - nic vic, nic min.

Na zabezpeceni je treba pouzit nejake filtrovani:
- povolit smerem dovnitr pouze navazana spojeni
- pokud mame na ruznych eth. porech mikrotika ruzne firmy, nastavit pravidla ktera zarazi provoz mezi temito eth

Stejne se to bude chovat na Linuxu (mikrotik je taky linux)...

Mikrotik neni ten druh firewallu kde das WAN a LAN adresu a vyberes sercurity LOW, MEDIUM, HIGH ;-)

__________________

Lide v CZFree se dělí na tři skupiny: 1) deu; netdave 2) ti co znají jejich čísla 3) ti ostatní

Old Post 04.05.2008 v 11:15
rsaf je offline   Click Here to See the Profile for rsaf   Find more posts by rsaf   Click here to Send rsaf a Private Message   Click Here to Email rsaf     Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
mpcz
Newbie

Registrován: 28.08.2003
Příspěvků: 87

Příspěvek č. 7 

Manuál Mikrotiku, sekce NAT:
All outgoing connections from the network 192.168.0.0/24 will have source address 10.5.8.109 of the router and source port above 1024.
No access from the Internet will be possible to the Local addresses.

Asi jsem si špatně vyložil sdělení v manuálu...
mpcz
04/05/2008

Old Post 04.05.2008 v 15:48
mpcz je offline   Click Here to See the Profile for mpcz   Find more posts by mpcz   Click here to Send mpcz a Private Message   Click Here to Email mpcz     Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
6host
Senior Member

Registrován: 13.03.2006
Příspěvků: 889

Příspěvek č. 8 

Old Post 04.05.2008 v 19:23
6host je offline   Click Here to See the Profile for 6host   Find more posts by 6host   Click here to Send 6host a Private Message       Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Lentil.CZ
Junior Member

Registrován: 18.03.2006
Příspěvků: 208

Příspěvek č. 9 

Old Post 04.05.2008 v 20:23
Lentil.CZ je offline   Click Here to See the Profile for Lentil.CZ   Find more posts by Lentil.CZ   Click here to Send Lentil.CZ a Private Message   Click Here to Email Lentil.CZ     Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Veškerý čas je GMT. Aktuální čas: 01:12.  Předcházející Téma   Další Téma
Odpovědět k Tématu
 
Zformátovat pro Tisk | Stáhnout Téma do Palma | Poslat Téma E-mailem | Odebírat tuto Diskuzi

Search this Thread:

 

CZFree.NET | Copyright ©MMII - MMXIV CZFree.NET | Kontaktujte Nás
Powered by: vBulletin - Copyright ©MM - MMII Jelsoft Enterprises Limited.
Founder: Deu / original scripting by: carlos (All High Seeds) / Node Monitor by: 8an
Additional Portal & Node Monitor Development by: oto, Zajsoft, Danny, Netdave
Hosted by: NFX.cz / FreeTel.cz