MikroTik zažívá další vlnu DDoS útoků

Taky zkontrolujte, že nemáte DNS server na domácím MikroTiku otevřený do internetu. Taková konfigurace je s oblibou využívaná na "DNS amplification" útoky.

Přenechte správu routeru někomu, kdo vám může ukázat vlastní aktuální certifikát o školení nějaké vyšší úrovně od výrobce.

Na par takovych skolenich od nejmenovaneho vyrobce jsem byl. Neprobiralo se tam defacto nic, co bych uz neznal "beznou" praci s danymi zarizenimi a bohuzel to neodpovedelo na me pretrvavajici otazky (na kterych si ale vylamali zuby i na servicedesku a resili to az vyvojari a i ti koukali...)

drtivá většina výrobců pro consumer segment vůbec takové školení u nás nenabízí, to je taky super doporučení.

Podle čeho budeš jako amatér posuzovat, jestli dané školení je dostatečné? Např. u Cisca CCNP Enterprise je ok? Nebo třeba Cisco CCT Routing & Switching je v pohodě?

Tyhle rady jsou takové alibistické, na první pohled zní dobře, "vyber si někoho, kdo má prokázané vzdělání", ale na druhou stranu nedávají žádný návod jak to vzdělání posoudit. Lepší je doporučit nechat router instalovat a spravovat firmou, ideálně tou, která ti poskytuje připojení k internetu, máš u koho reklamovat, je to v jejich zájmu, aby jejich síť nebyla zneužívána atd.

Už to zakladní školení od Mikrotiku probírá tuto problematiku. Tim bylo patrně myšleno prokazatelné vzdělání, ten papír ze školení je platný 3 roky dá se ověřit jeho platnost.

Přehled úrovní školení
https://mikrotik.com/training/about
Zakladní školení outline
https://i.mt.lv/cdn/training_pdf/mtcna_outline_2019181161836.pdf

Jednoduse, pokud je tam napsano "Cisco", tak se dotycnemu vyhni obloukem.
Jejich terminologie je naprosto odtrzena od reality, kdyz se to jeste zkombinuje s nedostatkem praxe, tak je to pak totalni peklo...

Nejak som si nevsimol ze by cisca mali divnu terminologiu. Mozes uviest priklad?

Zkus se při jeho výkladu (od cisca) přihlásit a zeptat se ho na jakoukoliv blbost... toho člověka rozhodíš tak, že nebude vědět pořádně kde skončil a ani co řešil, natož jak něco řešit..
Je to vlastně jen učebnicově naučený člověk, který vykládá podle not. Takový lidé tam prohodí pár super cizích slov a mají se za super chytré bedny... V realitě ale nejsou použitelný k ničemu a víceméně napáchají více škod než užitku.. A takový experti jsou napříč veškerých odvětví...

Muj oblibeny priklad je "L2 Router". Tak cisco rika tomu, cemu vsichni ostatni rikaj "Switch". Zaroven maj tendenci prejmenovavat sitovy protokoly na aplikacni vrstve, atd... Prikladu je hromada. Staci porovnat jak se necemu rika na Linuxu a jak u cisca a hned uvidis rozdil.

Tak to jsem zas vyhodil na konci devadesatek penize...
Co ze je u cisca tak zasadne jineho? Co bys rekl na cloveka ktery delal pro vyrobce sitoveho HW na urovni vyvoj piksli( pro prazaky krabicek) ale sam nema certifikaci?

Nedostatek praxe je totalni peklo ve vsem. Na certifikacich je hodne zlo ze nepodchyti hlupaky s eidetickou pameti. Proste se to nabiflujou jak anatomii od cihaka, ale duni jak prazdny sud od piva. Pritom zakladni veci. Diagnostika linky, podivej se na countery. Dohodni se zakosen odstavku linky. Udelej loopback testy nez tam pojedes s merakem. Fakt zadne wifikundace jako rozjeti OAM a napojeni vetsiho monitoringu na useky. To nemuzu po nikom chtit.

Pisu to jako blbej IT manazer ( to jsou lidi kteri jsou tak stari ze se na nic lepsiho nehodi) a ne jako sitar specialista.

Presne, Cisco a dalsi globalni hraci si mysleli, ze zavedenim novych (prejmenovanych) terminu a pojmu vybuduji lepsi = na nich zavisly sitovy ekosystem, kvuli kteremu se bude tocit svet.
Nastesti se jim to moc nepodarilo a to i diky Mtiku a podobnym, co se striktne drzi standardu. Takze diky jim za to!

Jinak firewall jsem videl nakonfigurovany i od certifikovaneho super majstra... otevrene porty na RDP, Sambu, login "admin123", apod. se slovy "to je v pohode, hlavne ze to funguje" nebo "po vas CIA, Mosad, KGB, Google a dalsi spehove stejne nepujdou" :-))))) blaboly obhajujici lajdactvi (a za penize).

Blbe nakonfigurovat lze cokoliv; dobre nakonfigurovat stoji hodne casu a penez, ktere bezni uzivatele nechapou, ze to musi stat.

To ze ma nekdo papir neznamena ze umi. Na skolenich ani na tech vyhrazenych pro specialni temata se nejde moc do hloubky. Konfiguracni jobovky vam stejne rozlouskne az devel. Ktery ma nejak nastavene priority ktere se neshoduji s prioritami pepy z depa kteremu nejde UPnP.

23. 9. 2021, 14:59 editováno autorem komentáře

Pokud má někdo L3 kvalifikaci a je jedno kterou, je tu určitá pravděpodobnost, že umí systém nakonfigurovat tak aby byl nezpečný. Viz.: https://skoleni.i4wifi.cz/
Pokud je to samouk, ruce pryč.

Už to tady padlo - nejde říct, že kdo je "samouk" nebo nemá certifikaci, že to neumí. Ano, chápu samouky z internetu, ale síťování rozumím, s Mikrotiky mám bohatou zkušenost a stejně si nepotřebuji dělat certifikát.

Za ty ceny si to snad muze dovolit kazdy. Nemam jeste spotrebovany budget na skoleni (100-150kkc na hlavu) tak si rikam ze bych si udelal firemni placene volno. Nemuzu ale vymyslet business case... Nemame ani jeden mikroblik.

Můžete se tu ohánět školeními a znalostmi, ale dokud se ta krabice nebude umět sama upgradovat, tak to bude vdečný prostředek pro každý botnet.

https://wiki.mikrotik.com/wiki/Manual:Upgrading_RouterOS#Automatic_upgrade

23. 9. 2021, 21:29 editováno autorem komentáře

Můžou to pojmenovat třeba "růžový slon", ale automatický upgrade se z toho nestane.

"The automatic upgrade feature connects to the MikroTik download servers, and checks if there is a new RouterOS version for your device. If yes, a changelog is displayed, and Upgrade button is shown. Clicking the upgrade button, software packages are automatically downloaded, and device will be rebooted."

Automatický update vyřešíš scriptem. Jen mě nenapadá důvod proč by si toto v produkci dělal.

Automatický upgrade v klíčovém provozu? To jako vážně?
Zásadně takovou věc vypínám... nechat si bez mého vědomí updatovat firmware neověřeným zdrojem jakože "samo se to udělalo", to bych se musel zbláznit.

Ano, automatický upgrade v klíčovém provozu. Tyhle problémy se nedějí v místech, kde máte člověka, který se o to stará, ale v SOHO, kde takový člověk přijede jednou za pět let, když to je potřeba vyměnit. Pokud zařízení, kde je nějaký privátní subnet a vnější adresa s NATem, není schopno přežít update, tak tam nemá co dělat.

Aaaano, viz např. aktualizace od Microsoftu. Můžeš si to nechat automaticky zaktualizovat s tím, že pak bohužel už ve firmě nic přes síť nevytiskneš. Tento stav trvá beze změny od července. Takže znova - automatické aktualizace v produkčním prostředí provozuje pouze blázen.

"Takže znova"

Tohle je fakt trapný, budete to opakovat nějak často? Merit věci to totiž nemění.

Mikrotik neběží na Windows, co se tím snažíte tedy sdělit? Na světě je hromada Mikrotiků, u kterých nikdo neplánuje aktualizace. Dělají jednoduchou práci, co jde ven schovají za svou vnější IP adresu, co je uvnitř, tomu adresu dají a dovolí tomu komunikovat ven. Doma to mají lidi, pro které je to blackbox a i kdyby tušili, že se o to mají starat, tak to dělat nebudou. Tyhle krabice by se prostě měly aktualizovat sami. Umí to UBNT, umí to Turris, umí to Synology, proč to nemůže umět Mikrotik? Pak se v tom najde nějaká triviálně zneužitelná díra a už to jede.

Nie, nie, nie. Automaticke aktualizacie nemaju co robit v produkcnom prostredi.
Max. tak upozornenie na novu verziu, ale nikdy nie samo sa to stiahne a nainstaluje.

Tak zrovna mikroblik ma zasadni potize a prenositelnosti konfigurace. Tam bych autoupdate fakt nepoustel. Ne do te doby nez si konecne odladi jasnou citelnou a prenositelnou strukturu konfiguraku a udelaji radne automatizovane testy kompatibility.

23. 9. 2021, 22:25 editováno autorem komentáře

Nikdy jsem s tím neměl problémy.

Nikdy jsem s tím neměl problémy.

Na závěru koncertu praská Kubešovi struna, ale nevyměňuje si ji. Není mi to jasný a tak k němu putuju s tamburínou v ruce.

„Nemám ji. No prostě ji nemám!“ To je Kubešova odpověď.

Na sólech je to znát, kapela je nervózní, ale publikum nic netuší, Standa je tak dobrej, mizera, že hraje výtečně i bez prasklé struny. Přesto je mou povinností, abych mu po koncertě vynadal.

„Jak to, že si nevezmeš na jeviště náhradní struny?“

„Jak to neberu? Beru!“

„Tak proč sis ji nevyměnil?“

„Neměl jsem ji!“

„Dyk říkáš, že sis ji vzal!“

„Tuhle né!“

„A proč?“

„Protože ta nikdy nepraská!“

„Dyk ti praskla!“

„To jo, ale nikdy nepraská!“

„Tebe nenapadlo, že by mohla prasknout? Ty bys ji neunes na to jeviště s ostatníma rezervníma strunama?“

„Sakra, dyk říkám, že nikdy nepraská!“

„Ale tobě praskla! Uvěříš teď tomu, že praská taky tahle struna?“

„Nepraská!“

„Tobě praskla!“

„To jo, ale jinak nikdy!“

„Připouštíš ale teď, že ti praskla, že je to možné?“

„Ne!“

„Ale teoreticky ano, alespoň to uznej, Stando!“

„Ne.“

„Dobrá,“ končím dialog. „Shodli jsme se na tom, že tahle struna nikdy nepraská, ale tobě náhodou praskla. Budeš si ji ode dneška pro jistotu brát na jeviště?“

„Ne.“

„Proč?“

„Protože tahle struna nepraská.“

Když si projdete tohle vlákno, tak zjistíte, že jsem reagoval na "Tak zrovna mikroblik ma zasadni potize a prenositelnosti konfigurace". Přidáním mého "Nikdy jsem s tím neměl problémy" jsem chtěl jen zanést nejistotu do sdělení původního autora, který nám napsal, že během aktualizací dochází na "zasadni potize a prenositelnosti konfigurace". Nenapsal jsem "K problémům nikdy nedochází" ani jsem nenapsal "aktualizace jsou 100% bezproblémové". Jde jen o pravděpodobnost a na základě mých zkušeností je ta šance, že se něco stane zrovna v prostředí, o kterém je tu řeč, minimální a nestojí za to, abychom tu měli miliony nezáplatovaných zařízení.

Tohle je přesně ten přístup, který ten problém živí. "Já tu aktualizaci pustím raději ručně, co kdyby se něco stalo". Pak se z toho stane "Teď se mi nechce, je pátek, pustím je příští týden" a nakonec se dostaneme do bodu "Už jsem chvíli neaktualizoval a mezitím vyšla spousta nových verzí, co kdyby to něco rozbilo, radši to nechám.".

Pak není divu, že DigitalOcean už úplně vzdal problém se SMTP blacklisty, že se kdejaká velká firma nechá okrást ransomwarem a nebo že občas uteče pár milionů uživatelských účtů. Pokud proces není automatizovaný, tedy jak samotný upgrade, tak jeho testování, tak to je jak kdyby žádný proces nebyl.

ve srovnání s openWRT je routerOS bez problémů.

Ta o cervenej karkulke by mala vacsi uspech...

Dodává OpenWRT i odladeny HW s certifikacemi a školením? Kdo mi dá hlavu na špalek a spojí mne se živým člověkem když dojde k potížím?
Kdo mi ručí za certifikaci rádia?

Mám pocit že tady se bavíme jeden o voze a druhý o koze. Ano fakt to člověka zajímá i pro SOHO pokud to další den blokuje tisícovku zakošů( případ malého ISP) kde ty zařízení jsou ve správě v rámci služby/jsou před předávací rozhraním.

24. 9. 2021, 12:15 editováno autorem komentáře

K openwrt mate zoznam zariadeni ktore s nim boli otestovane, vratane stavu ako to na nom bezi. Rovnako aj ddwrt (openwrt na malych krabickach moc nebezi).

Skoleni pre linux a ohladne sietovania mate dost. Tie mate naviac kvalitnejsie, tam nabifleny tajtrlik v roli prednasajuceho neuspeje. Ale IMHO ak potrebuje senior ajtak k sietovaniu na linuxe skolenie, tak by som ho radsej nepustal ani k widlam.

Autoupdate vypínám, pokud to zařízení mám "pod kontrolou" - má to příliš vtíravou tendenci updatovat v ten nejméně vhodný okamžik a memám rád, když mi v noci uprostřed důležité práce upadne linka pod rukama a odmítá se vzpamatovat.
(A teď mne tu omluvte - dva mé routery se dožadují updtu firmware, tak se jim jdu na chvíli věnovat.)