пятница, 20 ноября 2015 г.

Mikrotik: RoMON.

  RoMON (Router Management Overlay Network) - сеть для управления маршрутизаторами Mikrotik, собственный протокол Mikrotik. Работает по принципу пересылки MAC и обнаружения соседних устройств. Каждому маршрутизатору должен быть присвоен RoMON ID, по которому устройство можно найти. RoMON-протокол не шифрованный. Говоря простыми словами RoMON берет на себя функцию туннелирования для управления сетью RouterOS, тем самым, все устройства в сети связываются в виртуальную сеть Layer2, и войдя на одно устройство из-вне, вы можете получить доступ ко всем другим RoMON-маршрутизаторам.
  Для того, что бы роутер отображался в сети RoMON, эту функцию нужно включить. Когда  RoMON включен ID назначается автоматически (по умолчанию MAC-адрес этого маршрутизатора), но его возможно изменить.

/tool romon

вторник, 17 ноября 2015 г.

Резервное питание Mikrotik.

  В News November 2015 (Issue #68) был анонсирован новый роутер CCR1072-1G-8S+. Среди всего прочего, у него встроенные 2 модульные блоки питания с возможность резервирования и горячей замены.
  Однако, большинство новых моделей RouterBOARD

понедельник, 16 ноября 2015 г.

Bypass Port Mikrotik.

 Bypass-ethernet предназначен для соединения двух портов (1 уровень OSI), если питание маршрутизатора пропадет, линк между этими портами останется. Это реализовывается аппаратно - релюшками, которые видны возле соответствующих портов ether11 и ether12.

воскресенье, 15 ноября 2015 г.

Один внешний IP и несколько WEB-серверов внутри сети.

                     Это работает только для HTTP-соединений но не работает для HTTPS соединений, так как web-proxy такие соединения не поддерживает

  У нас есть один внешний IP, за которым мы хотим поместить несколько WEB-серверов(в данном случае 3, с 3 разными доменами на них):
123.com@192.168.0.2
 abc.com@192.168.0.3
 456.com@192.168.0.4
   Настраиваем наш прокси-сервер:
/ip web-proxy
set enabled=yes src-address=0.0.0.0 port=8080 hostname="your.proxy" \
transparent-proxy=yes parent-proxy=0.0.0.0:0 \
cache-administrator="webmaster" max-object-size=4096KiB cache-drive=system \
max-cache-size=unlimited max-ram-cache-size=unlimited
/ip web-proxy access
add dst-port=23-25 action=deny comment="block telnet & spam e-mail relaying" \
disabled=no
add dst-port=80 action=allow comment="Enable Http Connection" disabled=no

суббота, 14 ноября 2015 г.

Default Forward: Пример уязвимости авторизации HOTSPOT.

  Для начала можно посмотреть видео, как легко обходится авторизация по HOTSPOT в Mikrotik (Networks - How to bypass Mikrotik Hotspot Login Page).

пятница, 13 ноября 2015 г.

Определяем роутеры в сети.

  Зная, что каждый маршрутизатор, при маршрутизации должен уменьшать значение TTL на единицу, и значение TTL которое отдает ОС можно выследить наличие роутеров в сети.  

  Вот распространенные значения:
TTL Операционная система
54 FreeBSD / BSD
64 Linux
128 Windows
255 Cisco / Solaris

Маскируем наш роутер в сети провайдера от TTL-фильтра.

   Теория:
  В IPv4 TTL представляет собой восьмиразрядное поле IP-заголовка.
 Определяет максимальное количество хопов (hop, то есть прыжок, участок между маршрутизаторами), которые пакет может пройти. Наличие этого параметра не позволяет пакету бесконечно ходить по сети. Каждый маршрутизатор, при маршрутизации должен уменьшать значение TTL на единицу, но некоторые шлюзы можно настроить, чтобы игнорировать это. Пакеты, не достигшие адресата, но время жизни которых стало равно нулю, уничтожаются, а отправителю посылается сообщение ICMP Time Exceeded. Если требуется, чтобы пакет не был маршрутизирован (то есть принят только в своём сегменте), то выставляется TTL=1. На отправке пакетов с разным временем жизни основана трассировка их пути прохождения (traceroute). Максимальное значение TTL=255. Обычное начальное значение TTL=64 (зависит от ОС).

   Добавим правило в Mikrotik,  что бы с имитировать конечное устройство:
/ip firewall mangle add action=change-ttl chain=prerouting new-ttl=increment:1 passthrough=yes

Настройка WEP-шифрования.

  Оборудование Mikrotik поддерживает пару видов WEP-шифрования: 40bit-wep и 104bit-wep. Ключ нужно вводить в шестнадцатеричном формате, в первом случае длина 10 символов, во втором - 26.
  Для начала в Security Profile на вкладке General выбираем static-keys-required - использовать WEP, не принимать и не отправлять незашифрованные данные.

воскресенье, 8 ноября 2015 г.

Загрузчик WinBox v3.0.

  С выходом новой версии RouterOS v6.33 наконец-то выпустили обновленный WinBox и встроили ее в систему вместо v2 9.27.
  Долго шли к этому и наконец пришли. Итак, рассмотрим новый функционал загрузчика:

Загрузчик WinBox.
  В главном меню два пункта: File и Tools.

суббота, 7 ноября 2015 г.

Дополнительная идентификация с помощью ClientID (DHCP option 61).

  Опция ClientID для протокола  DHCP служит для идентификации компьютера-клиента. По умолчанию в DHCP это реализуется  через MAC-адреса клиента, но протокол DHCP позволяет другие варианты. В некоторых устройствах и ОС можно задать эту опцию идентификатора клиента произвольно. По-умолчанию такая строка имеет вид 1:a4:db:30:1c:97:b6, где a4:db:30:1c:97:b6 - MAC-адрес клиента. В устройствах Mikrotik реализованная идентификация по этой опции.
  В любом случае, для того, чтобы DHCP-авторизация по 61 опции работала, вы должны быть уверены, что ни один другой клиент не использует ваш уникальный идентификатор клиента, и DHCP-сервер будет его принимать.
  Реализовать идентификацию DHCP в RouterOS можно:
   1) только по MAC-адресу;
   2) только по ClientID;
   3) и по MAC-адресу и по ClientID.
  Последний вариант с большей степенью вероятности гарантирует что ваш ip не получит другое устройство при подделке MAC.
  В UBUNTU идентификатор задается в файле конфигурации dhcpd.conf:
option dhcp-client-identifier 43:4c:49:45:54:2d:46:4f:4f;
  Параметр является строкой NVT ASCII, заключенной в двойные кавычки(option dhcp-client-identifier "CLIET-FOO"), или последовательность октетов в шестнадцатеричном формате, разделенных двоеточиями. Нам подходит второй вариант. В любом HEX-переводчике переводим нужный нам идентификатор, например CLIET-FOO - 43 4c 49 45 54 2d 46 4f 4f, и записывает значение через двоеточие.
  В Микротике это будет выглядеть так:


  При переводе назад получаем наш идентификатор в понятном виде: CLIET-FOO. Таким образом даже если MAC-адрес скопируют, этот IP устройство не получит, так как не пройдет идентификацию по ClientID.