@MikrotikRu
Игорь18.09.2018
11:34:53
11:34:53
как через них могут отлюбить ??
я имел ввиду, что лучше оставлять только то что используется, а что не используется отрубать, потому что в тех протоклах которые не являются сильно распространенными могут быть дыры
Kirya18.09.2018
11:35:31
11:35:31
я имел ввиду, что лучше оставлять только то что используется, а что не используется отрубать, потому что в тех протоклах которые не являются сильно распространенными могут быть дыры
какие дыры в них могут быть ? дыры могут быть в приложении, которые этим протоколом пользуютсяИгорь18.09.2018
11:35:32
11:35:32
и т.к. вся эта ерунда спокойно ходит куда хочет, то и получается что этот вектор ни кем не учитывается
док18.09.2018
11:36:28
11:36:28
не , ну теоретически, всегда есть место невыявленной ошибке/0-day . но кого нас? в нормально-закрытом сетевом экране только разрешено. в нормально-открытом чтоб "нас" не отлюбли мы "нас" и закрыли , остальные сами по себе, на то он и нормально-открытый
GoogleKirya18.09.2018
11:36:32
11:36:32
и вообще сначало все запрещаете, и открываете то что нужно, попробуйте
Sergiy18.09.2018
11:37:34
11:37:34
и вообще сначало все запрещаете, и открываете то что нужно, попробуйте
не гони с человека.
Ты как сам заходить собрался если сначала запрещаешь? ?Kirya18.09.2018
11:38:41
11:38:41
Игорь18.09.2018
11:38:43
11:38:43
и вообще сначало все запрещаете, и открываете то что нужно, попробуйте
я вас огорчу, протоколы никто не ограничивает)))Sergiy18.09.2018
11:38:57
11:38:57
поставишь 1000 баксов на это?
Kirya18.09.2018
11:40:13
11:40:13
Sergiy18.09.2018
11:41:31
11:41:31
может кому-то надо, это в RAW два правила, после них останется только tcp и udp остальные, любые протоколы умрут
chain=prerouting action=jump jump-target=not_tcp_and_udp log=no log-prefix="" protocol=!tcp
chain=not_tcp_and_udp action=drop log=no log-prefix="" protocol=!udp
если нужно добавить что бы не рубило еще какой-то протокол (т.е. было 3 протокола), то делаем по аналогии, например icmp то будет так:
chain=prerouting action=jump jump-target=not_tcp_and_udp log=no log-prefix="" protocol=!tcp
chain=not_tcp_and_udp action=jump jump-target=not_tcp_and_udp2 log=no log-prefix="" protocol=!udp
chain=not_tcp_and_udp2 action=drop log=no log-prefix="" protocol=!icmp
БИЛЯТЬ, Игорь, ты почитай свои правила. Я не так что бы уверен но на 90% думаю что первое правило отправит УДП в твойю цепочку, а второе отправит ТСР в твою цепочку ?Игорь18.09.2018
11:41:51
11:41:51
разрешаем только tcp и udp остальное дроп
Google
Konstantin18.09.2018
11:43:21
11:43:21
И "ца" не "тся/ться"
Sergiy18.09.2018
11:43:34
11:43:34
УДП подпадет под правило НЕ ТСР,
А ТСР подпадет под правило НЕ УДП
Игорь18.09.2018
11:43:52
11:43:52
что не так?)
Aleksei18.09.2018
11:44:11
11:44:11
Sergiy18.09.2018
11:44:12
11:44:12
а, тогда сори, не дочитал правила
Konstantin18.09.2018
11:45:43
11:45:43
Вот почему
Игорь18.09.2018
11:46:12
11:46:12
какие дыры в них могут быть ? дыры могут быть в приложении, которые этим протоколом пользуются
ну во первых можно пустить инет трафик поверх протокола, во вторых да, это атаки и на сам микрот и на все что за нимGoogleSergiy18.09.2018
11:46:23
11:46:23
ну во первых можно пустить инет трафик поверх протокола, во вторых да, это атаки и на сам микрот и на все что за ним
чем это отличается от дроп олл?Kirya18.09.2018
11:47:03
11:47:03
ну во первых можно пустить инет трафик поверх протокола, во вторых да, это атаки и на сам микрот и на все что за ним
дроп алл делаешь, потом открываешь что нужно, только сразу дроп алл не включай ??док18.09.2018
11:47:13
11:47:13
Игорь ! все свои правла покажи, сдаётся мне ты путаешь подходы, просто винегрет, уверен у тебя есть лишние/нерабочие или перекрывающиеся.
Игорь18.09.2018
11:47:41
11:47:41
чем это отличается от дроп олл?
если в микроте указано tcp разрешен, udp разрешен и дальше просто дроп, то ничем, если указано разрешить только связанный трафик и дальше дроп то пройдут все протоколыИгорь ! все свои правла покажи, сдаётся мне ты путаешь подходы, просто винегрет, уверен у тебя есть лишние/нерабочие или перекрывающиеся.
я это рассказываю тем кто не указывает явно все протоколы которые использует а просто пихает всеИгорь18.09.2018
11:48:57
11:48:57
Игорь ! все свои правла покажи, сдаётся мне ты путаешь подходы, просто винегрет, уверен у тебя есть лишние/нерабочие или перекрывающиеся.
"все свои правла покажи" думаю не стоит травмировать чужие психики ?Sergiy18.09.2018
11:49:29
11:49:29
игорь, щасливо тебе поднимать EOIP, PPTP и другие тунели ?
док18.09.2018
11:49:30
11:49:30
да ну просто интересно
Konstantin18.09.2018
11:49:37
11:49:37
Та чё там травмировать
Игорь18.09.2018
11:49:58
11:49:58
Sergiy18.09.2018
11:50:17
11:50:17
Я еще не гуглил весь стек ЕОИП ?.
Или не изучал чего это резервирование роутеров между собой не работает ?
Антон18.09.2018
11:51:15
11:51:15
я вас огорчу, протоколы никто не ограничивает)))
почему тогда при запрете всего на инпут пропадет пинг до девайса?Игорь18.09.2018
11:51:55
11:51:55
почему тогда при запрете всего на инпут пропадет пинг до девайса?
значит в разрешающие он не попал, я все это говорил для тех кто не настраивает строго по протоколам, или мы не про icmp ?Sergiy18.09.2018
11:52:09
11:52:09
значит в разрешающие он не попал, я все это говорил для тех кто не настраивает строго по протоколам, или мы не про icmp ?
https://www.youtube.com/watch?v=yTS2JIWrbKU
Не надо тут втирать здешним завсегдателям . Они только рады обкакать ближнего ?.Антон18.09.2018
11:52:15
11:52:15
значит в разрешающие он не попал, я все это говорил для тех кто не настраивает строго по протоколам, или мы не про icmp ?
это значит что блокируются все протоколыв т.ч. и icmp
Googleдок18.09.2018
11:54:47
11:54:47
значит в разрешающие он не попал, я все это говорил для тех кто не настраивает строго по протоколам, или мы не про icmp ?
если честно а как это насраевает не строго по протоколам ? есть пример, опять же интересно.Игорь18.09.2018
11:55:55
11:55:55
Антон18.09.2018
11:56:46
11:56:46
т.е. в стандартном варианте конфигурации блочиться icmp ? ну ну
не знаю что такое стандартный вариант, у меня последним правилом идет дроп всегоVladimir18.09.2018
11:56:57
11:56:57
а зачем блокировать icmp?
Sergiy18.09.2018
11:56:58
11:56:58
т.е. в стандартном варианте конфигурации блочиться icmp ? ну ну
а почему это ICMP не попадет под all&
Короче, прогугли принцип отбора трафика полями в правилах файрвола.
КОротко говоря: там отсекащие критерии. Если поле не указано то оно не проверяется. Больше полей укажешь - меньше трафика подпадет под правило. Не укажень ни одного поля - ВЕСЬ трафик подпадет под правилоАнтон18.09.2018
11:57:36
11:57:36
а зачем блокировать icmp?
это один из "левых протоколов через который нас могут похакать" позаявлению ТСИгорь18.09.2018
11:58:19
11:58:19
а зачем блокировать icmp?
у меня зарезано все на старте кроме tcp и udp уже хз скок лет) полет отличный (на домашнем)Vladimir18.09.2018
11:58:50
11:58:50
я ж не спрашиваю, какой полет. Я спрашиваю - зачем? ) Смысл в чем?
Sergiy18.09.2018
11:59:17
11:59:17
я ж не спрашиваю, какой полет. Я спрашиваю - зачем? ) Смысл в чем?
Девушки у Игоря нет, секса в жизни не хватает... ну наверное.AdminERROR: S client not available
Mikhail18.09.2018
11:59:42
11:59:42
Антон18.09.2018
12:00:01
12:00:01
у меня зарезано все на старте кроме tcp и udp уже хз скок лет) полет отличный (на домашнем)
а у меня как внезапно выявила диагностика уже много лет заднее правое колесо самостоятельно все время притормаживало. а я все это время думал что полет нормальныйдок18.09.2018
12:00:05
12:00:05
ну на домашнем можно и зарезать icmp
Vladimir18.09.2018
12:00:12
12:00:12
просто - а как в таком случае убедиться, что железка в интернете, а не сгорела?
Игорь18.09.2018
12:00:47
12:00:47
я ж не спрашиваю, какой полет. Я спрашиваю - зачем? ) Смысл в чем?
https://resources.infosecinstitute.com/icmp-attacks/
http://www.hackingarticles.in/icmp-penetration-testing/
https://habr.com/post/131800/док18.09.2018
12:00:54
12:00:54
так домашний , сгорела и х. сней!
Vladimir18.09.2018
12:00:56
12:00:56
не, я понимаю, есть много методов, но команда пинг - она же везде есть
GoogleMikhail18.09.2018
12:01:08
12:01:08
а у меня как внезапно выявила диагностика уже много лет заднее правое колесо самостоятельно все время притормаживало. а я все это время думал что полет нормальный
За много лет у тебя колодки до металла сожрало быАнтон18.09.2018
12:01:44
12:01:44
За много лет у тебя колодки до металла сожрало бы
оно там на несколько процентов и только одним краем колодкиhttps://resources.infosecinstitute.com/icmp-attacks/
http://www.hackingarticles.in/icmp-penetration-testing/
https://habr.com/post/131800/
против этого на оф сайте микрота есть правила ффVladimir18.09.2018
12:02:45
12:02:45
https://resources.infosecinstitute.com/icmp-attacks/
http://www.hackingarticles.in/icmp-penetration-testing/
https://habr.com/post/131800/
ну, и где опасность?icmp-туннели уже давно не особо модная штука.
а все остальное типа "an attacker can perform a man in the middle attack where in an attacker will act as middle man for all the communication from the source to the endpoint. Attackers can also spoof ICMP router discovery messages and remotely add bad route entries into a victim’s routing table. " в реальном мире как-то я даже и не знаю, где применить
Игорь18.09.2018
12:08:15
12:08:15
в стандартном варианте, народ настраивает так
Input established, related accept
Forward established, related accept
так?
если на комп пробрался троян и он сделает запрос по любому протоколу, микрот его пропустит на входящий трафик
Vladimir18.09.2018
12:08:53
12:08:53
нет
Vladimir18.09.2018
12:09:13
12:09:13
а ну хотя да, конечно
так это, если троян пробрался и идет наружу по https - то как бы уже не спастись же
док18.09.2018
12:10:06
12:10:06
если на комп пробрался троян и он сделает запрос по любому протоколу, микрот его пропустит на входящий трафик
нет, потому что он будет действовать невидимо для системы tcp/udp/icmpИгорь18.09.2018
12:10:06
12:10:06
так это, если троян пробрался и идет наружу по https - то как бы уже не спастись же
ну вот, а протоколов вроде бы около 130 штук, каждый может использовать любую дырку в винде, или в линукс, не важно, в прогах и т.д.Vladimir18.09.2018
12:10:07
12:10:07
или надо https резать, а открывать по списку, подписанному начальником отдела? )
ну вот, а протоколов вроде бы около 130 штук, каждый может использовать любую дырку в винде, или в линукс, не важно, в прогах и т.д.
так не вижу логики все равно. У вас троян залез. Пошел наружу на https - и что вы с этим сделаете?док18.09.2018
12:10:41
12:10:41
а не слать ipx , одмин то призрит!
Игорь18.09.2018
12:10:56
12:10:56
нет, потому что он будет действовать невидимо для системы tcp/udp/icmp
в смысле невидимо для системы?) микротику все равно система это или нет, соединение запрошено изнутри - значит оно правильное, теплое, хорошее и его надо пропустить, на вход и на выходVladimir18.09.2018
12:11:47
12:11:47
или https юзерам давать по спискам ip? ну тоже такое в мире облачных хостингов
док18.09.2018
12:12:23
12:12:23
есть ещё IDS они смотрят аномалии , вот от них троян должен прятаться , потому http наше всё
Игорь18.09.2018
12:12:32
12:12:32
так не вижу логики все равно. У вас троян залез. Пошел наружу на https - и что вы с этим сделаете?
я говорю об всех троянах которые будут юзать другие протоколы) и обо всех дырах которые эти протоколы могут юзать в чем угодно другом, если http хорошо изучен, то протоколов очень и очень много и они могут хакать и сам микрот в том числе
Открыть в Telegram