Díky za info.
Tyhle bezpečnostní postřehy jsou sice hezká věc, ale bez nějakých informací, jak se dá útoku bránit (popř. u Mikrotiku je-li nová verze či záplata - nebo jak zmínil předřečník: kill telnet) je to tak nějak na prd. Jasně, hledat umíme, ale ucelená informace imho bude mít větší cenu a přitáhne potenciálně víc čtenářů.
Zakladni obrana je jednoducha - zabezpecit si to tak, aby management zarizeni nebyl dostupny z neautorizovanych adres. Spousta incidentu z posledni doby tezi prave z toho, ze management je naprosto nesmyslne otevreny do celeho internetu - coz mozna je pro administratora pohodlne, ale rozhodne to neni reseni bezpecne...
Je to len o tom ze to nastavis tak aby to bolo bezpecne (nieco mam tj. univerzalny private RSA kluc a nieco viem heslo). Do Mikrotiku sa lognes cez SSH s RSA ako bezny uzivatel s obmedzenymi pravami. Telnetom sa potom prihlasis ako admin s heslom ak potrebujes. Telent povolis len pre 127.0.0.1 + pre istotu aj na FW source 127.0.0.1 destination 127.0.0.1.
Hlavně ta chyba byla opravena v release před 2 měsíci (a problém s WinBoxem v dubnu).
RouterOS se sám nenastaví - člověk na to potřebuje určitý skill. Takže pokud administrace zvenčí, tak jen šifrovaně a buď blok na známé IP adresy + VPN odjinud, nebo pokud je někdo paranoidní, tak přístup jen přes VPN (když potřebuje zařízení spravovat vzdáleně).
Součástí skillu je i pravidelná kontrola novinek, bezpečnostních záplat a následných aktualizací. Bezpečnostní problémy se občas objeví na všech platformách bez rozdílu.
Jenom skoda, ze s tim WinBoxem MikroTik trosku podcenil komunikaci. Nejak jim bylo blby na plnou hubu rict, ze udelali takovou botu, ze horsi uz to byt nemuze (router ochotne dal seznam vsech uzivatelskych jmen a odpovidajicich hesel komukoliv kdo se zeptal, to se fakt prekonava tezko). Tak do changelogu vrazili, ze se to tyka "nezabezpecenych routeru". Na jednu stranu ano, je jiste lepsi otevrit celymu svetu co nejmin. Ale mit sluzbu s nestandardnim uzivatelskym jmenem a silnym heslem typicky nebyva to, co si uzivatel predstavi pod pojmem "nezabezpeceny".