Админская фамилия

В последнее время мы часто слышим о ботнетах, использующих RouterOS. И это даже хорошо, ведь говорит о том, что платформа настолько развилась, что представляет интерес для широкой аудитории, а соответственно и хакерам. А значит, что специалисты по Mikrotik будут в цене!Но хватит лирики. Спешу развеять ваши опасения об опасности использования RouterOS. Ботнет Hajime заражает RouterOS. Отсюда и паника, поднятая в Интернете. Но, если прочитать чуть внимательнее, то заражает он версии RouterOS ниже 6.38.5 (или 6.37.5 в bugfix ветке). А значит, что если вы обновляли свою RouterOS хотя бы раз в течение последних 12 месяцев, то вы в безопасности!Как работает Hajime:1. Сканированием портов обнаруживаем RouterOS по открытому tcp 82912. Уязвимость в web сервере webfig’a, значит через tcp 80 заражаем егоОтсюда выводы:ВЫ В БЕЗОПАСНОСТИ, если выполнили хотя бы одно действие из списка:1. Обновлялись в последние 12 месяцев и версия RouterOS у вас 6.38.5 (6.37.5 для bugfix) или выше. Сейчас актуальная 6.41.3 (6.40.6 bugfix)2. У вас отключен web сервер: ip - service - www3. Настроен фаервол. А именно доступ к tcp 80 из недоверенных сетей4. Отключен webfig. То есть на 80 порту работает веб-фронтенд для прокси, User Manager’a или хотспота5. У вас переназначен порт WinBox’a на нестандартный (не 8291). В этом случае вы защищены только от сканирования, на www сервис все равно под ударом6. У вас отключен сервис WinBox. В этом случае вы защищены только от сканирования, на www сервис все равно под ударом7. В ip - service указаны IP адреса,  с которых можно подключаться к этим сервисамНе забывайте, что заразиться можно не только из Интернета, но и из доверенной сети LAN, если кто-то внутри уже подхватил заразу.Как видите, все беды опять идут от раздолбайства. Своевременно обновляйте ПО, настраивайте фаерволы, устанавливайте доверенные сети и не будете знать проблем. Оригинал материала на форумеКак обезопасить свой Mikrotik мы подробно рассматриваем на курсе MTCNA. Приходите и узнайте как не попасться на удочку хакеров.

DHCP сервер - одна из наиболее критичных служб сетевой инфраструктуры. Он обычно прост в настройке и не привлекает к себе внимание до того момента пока в сети не начинаются непонятные моменты: машины не получают адреса или получают, но совсем не те, которые хотел бы администратор. Вследствие чего сеть просто перестает работать.

В этой статье попробуем создать отказоустойчивый DHCP сервер на Mikrotik RouterOS.

Для понимания работы системы системы нужно сначала понять принцип работы самого протокола. Тем, кто и так это знает, следующий пункт можно не читать.

Презентация Ильи Князева с MUMа в Новосибирске. Много полезной информации о туннелях. Резервирование каналов передачи данных с использованием различных типов L2 VPN from Dmitry Bubnov

Всеобъемлющая презентация о DFS Radar Detection and DFS on MikroTik from Dmitry Bubnov

IP Address Management (сокращенно IPAM) – средство планирования, отслеживания и управления IP адресами в сети (via). В больших сетях отследить все используемые адреса и приготовиться к их изменению или внедрению новых – большая, трудновыполнимая задача. База данных IP адресов у многих ведется в различных табличка (Google Docs, Excel), у остальных не ведется совсем.При изменениях в сети оперировать информацией из этих мест становится все сложнее и документы быстро теряют свою актуальность.Именно поэтому было решено развернуть сервер управления IP адресами в нашей сети. После мук выбора я остановился на PHP IPAM - он показался мне наиболее дружелюбным и функциональным, к тому же имеет API для взаимодействия с внешними системами.Посмотреть на демо это системы можно тутКак происходит установка этой замечательной системы я рассказывать не буду - всё и так хорошо описано в Интернете. Если будут вопросы - спрашивайте в комментарияхА так как сеть у меня уже большая и информация о ней мало где отражена, то актуальнейшая информация находится в таблицах маршрутизации роутеров. Эту информацию нужно внести в базу данных сервера IPAM. А как это сделать, я сейчас расскажу.С помощью системы мониторинга The Dude выгружаем таблицу маршрутизации в csvЭкспорт из Dude в csvОткрываем Excel и загружаем данные. Данные - из текстаИмпорт csv в ExcelВыбираем наш файл. В открывшемся окне указываем формат - с разделителям и жмем далееС разделителямиThe Dude экспортирует в файл с раделителями - запятыми, поэтому выбираем “запятые” и жмем далееРазделители - запятыеНа следующем шаге жмем кнопку “Готово”Готово!Выбираем ячейку, начиная с которой нужно вставить данные - обычно это А1. И наслаждаемся результатом. Теперь можно подкорректировать табличку.ExcelТеперь нам нужно сформировать csv, который принял бы наш IPAM сервер. А у него следующий формат файла для импорта:Формат csv для импорта в IPAMsection name*(varchar(128)),    subnet*(varchar(255)),   mask(varchar(3)),  description(text),   vlan name(varchar(255)),   domain name(varchar(64)),   vrf name(varchar(32)). Обязательны только первые два параметра - имя секции и подсеть.Оставим только нужную нам информациюУбрали ненужноеКак видим, остались только данные о подсети и связанного с ней филиала. Но имя интерфейса нам ни к чему, поэтому из строки вида <sstp-pub-740102> надо сделать RB740102. В этом нам поможет ExcelНайти и заменитьТеперь нам нужно избавиться от закрывающего спецсимвола “>">Финиш близкоПриведем нашу табличку к такому видуГотовый ExcelИ сохраним как csv. Excel ругнется на то, что мы потеряем данные, но мы готовы на такой риск =)В итоге должны получить файл следующего видаCSVЕго уже можно импортировать в PHP IPAM. Заходим в Administration - Import/ExportImportВ PHP IPAM на данный момент в версии 1.2 rev1 доступен импорт только subnets. Поэтому выбираем subnets и жмем ImportImport subnetsЖмем BrowseBrowseВыбираем наш csv и жмем открыть.На этом этапе мы должны получить ошибку: Error: Upload directory is not writable, or does not exist.Error: Upload directory is not writable, or does not exist.Это значит, что у веб-сервера нет прав на запись в папку upload. Добавим эти права. Выполним в консоли  sudo chmod -R g+w o+w /var/www/html/phpipam/app/admin/import-export/upload/ Тут должен быть путь до вашего сервера IPAM! ImportПовторяем пункты импорта. Система выдаст предупреждение о том, что не все пункты сопоставлены. Точно - в первом столбце пусто. Выбираем там section name и жмем Preview. Если все хорошо, то система покажет список импортируемых подсетей и их именаUploaded dataЖмем Import и проверяем указанную в поле section csv-файла секцию. Наши записи успешно импортированы!Готово!