четверг, 12 января 2017 г.

Юникод в SSID: Смайлики в названии сетей.

  На официальном форуме поднимался вопрос поддержки Mikrotik Unicode (UTF-8) в SSID для создания прикольных названий сетей (можно использовать спецсимволы, различные шрифты, смайлики и прочее в имени WIFI-сети). На форму обсуждалось то, что если ввести символы Юникода в следующем виде
ssid="\C4\9B\C5\A1\C4\8D\C5\99\C5\BE\C3\BD\C3\A1\C3\AD\C3\A9"
  Причем ОБЯЗАТЕЛЬНО через командную строку, то, несмотря на то, что в винбоксе отображаются крякозябры - в устройствах поддерживающих Unicode в названии сети он отображается корректно.
  Пользователь R1CH пошел дальше - создал специальный генератор, который преобразует символы Юникода уже в код добавления SSID на интерфейс RouterOS. Сам генератор доступен по адресу:

понедельник, 9 января 2017 г.

Подключение к веб-интерфейсу Mikrotik используя ssl протокол.

  Выставляя в "мир" нужные нам сервисы мы всегда рискуем. Поэтому желательно по-максимуму защитить наше оборудование. Удаленное подключение к нашим маршрутизаторам следует оставлять только с определенных подсетей, оставляя минимум сервисом, меняя стандартные логины и применяя сложные пароли с регулярной сменой. Так-же в обязательном порядке менять порты сервисов по-умолчанию. Можно организовать открытие портов через определенный порядок действий (например, технология port knocking).
  Незащищённое http-соединение опасно тем, что любой, кто слушает трафик, прекрасно видит все данные, которые вы передаете на сайт, по протоколам POST или GET. Так как мы не хотим, что-бы злоумышленники получили доступ к нашему роутеру - для этого нам необходим специальный сертификат. Как правило, сертификаты подтверждают центры сертификации. Но мы можем сгенерировать сертификат самостоятельно - такой сертификат называется самоподписанным, так как его подтверждаете лично вы. Для сайтов самоподписанный сертификат, конечно, не подойдет, но для личных целей вполне будет достаточно.
  Обращаю ваше внимание на то, что при использовании самоподписного сертификата вы будете видеть окно: "Сертификат безопасности сайта не является доверенным", что может быть не очень понятно неосведомленным пользователям.
 Сейчас я хочу описать как можно сгенерировать самоподписанный сертификат и включить безопасное соединение www-ssl для управления нашим роутером.
  Открываем System/Certificates, добавляем новый сертификат.


воскресенье, 8 января 2017 г.

Защита Mikrotik. Часть 2: Мания преследования.

  В дополнение к основной статье Защита WAN-интерфейса в Mikrotik хочется отметить несколько важных моментов в безопасности вашего маршрутизатора. Описанные тут пункты не имеют критически важное значение в защите роутера Mikrotik, но, в комплексе, помогают защитить маршрутизатор еще лучше. Я специально буду продолжать пункты, описанные в предыдущем материале, что бы подчеркнуть - эта статья является продолжением и дополнением первой и отдельно рассматриваться не может.
  Не смотря на запрещающее правило в пункте 13 ("add action=drop chain=input comment=Drop_all_WAN in-interface=ether1-velton")  в конце первой статьи, рекомендую проверить активность сервисов. Если какой-то сервис не используется - в целях безопасности его отключить.

14) Проверяем сервис SNMP в IP/SNMP. По-умолчанию он выключен. Если мы его не используем - проследите что-бы не стояла галочка Enabled. Если используем - позаботитесь о его защите.


четверг, 22 декабря 2016 г.

Проверка статуса выгрузки на FTP в Mikrotik.

  Очень часто мы пользуемся выгрузкой на FTP-сервера через скрипты в Mikrotik. Удобно загружать бекапы или экспортные файлы на сервер, передавать файлы типа anything.auto.rsc на другие Микротики для автовыполнения. Иногда передача по фтп завешается неудачей, наша цель - отследить статус отправки. Типового механизма отслеживания корректно ли произошла отправка по фтп в RouterOS нет, но есть небольшая уловка, которой мы можем воспользоваться.
  С помощью оператора :execute мы сможем выполнить скрипт и результат обработки записать в файл, проанализировав который можно сказать удачно ли произошла отправка или нет.
  Сам скрипт:
:local logftp "ftp.log"
:local cmd "/tool fetch mode=ftp upload=yes user=\"admin\" password=\"admin\" src-path=\"11.txt\" address=\"192.168.88.254\" dst-path=\"99.txt\""
:execute file=$logftp script=$cmd
# ждем 30 секунд. Это время можно изменить проанализировав время выгрузки вашего файла
:delay 30s
:local logres [/file get [find name="$logftp.txt"] contents]
:if ($logres~"finished") do={
 :global ftpSTS "done"
/log warning "ftp upload success"
} else={:global ftpSTS "error"; /log error "ftp upload NOT success"}
  192.168.88.254 - IP нашего сервера FTP,
  admin, admin - логин и пароль.
  Проанализировав вывод оператора и найдя в нем строчку "finished" - мы считаем что файл успешно передался.

стандартный вывод успешного завершения передачи по ftp.
  Это мы и записываем в переменную ftpSTS (done) и пишем в лог. Дальше используем эту переменную по вашему усмотрению.


Используемый материал:

среда, 21 декабря 2016 г.

Чат в консоли Mikrotik.

  В консоли можно устроить чат между пользователями, которые в данный момент подключены к маршрутизатору. Если в терминал написать сообщение вида 
#privet
с экранирующим символом "#", то это сообщение будет доставлено всем подключенным пользователям в данный момент. Не имеет значение откуда сообщение отправлено - с консоли, через WinBox, ssh или telnet.


Mikrotik DISC Lite5 (RBDisc-5nD)

  Произошла утечка информации от одного из дистрибьюторов Mikrotik о новом устройстве - недорогой точке доступа DISC Lite5 (RBDisc-5nD). Устройство основано на базе LHG 5 имеет 21dBi Dual Chain антенну стандарта 802.11n, 600MHz частоту CPU, 64MB RAM, 1x 10/100Mbps Ethernet port, 64MB ПЗУ. Есть две версии: интернациональная (International: 5150 MHz-5875 MHz) и для США (USA: 5170-5250 MHz; 5725-5835 MHz). При чем блокировка по частотам уже вшита в устройство и не может быть снята, это нужно учитывать при покупке. Так же как и  LHG 5 DISC Lite5 имеет на борту RouterOS L3.

MikroTik News December 2016 (Issue #74)