pixi123
Goto Top

Mikrotik router und vpnfilter malware Frage

Hallo!
Ich habe einen mikrotik RB2011Uias-IN router, der hinter einer fritzbox hängt. Das eigentliche Gateway ins Internet ist die fritzbox. Der mikrotik ist nur für die vlans zuständig. Auf der fritzbox sind statische routen in die vlans des mikrotik eingetragen. Die firewall des mikrotik hat nur regeln für zwischen den vlans, aber keine regeln für den wan ( der ja in die fritzbox geht)
1. Frage
Bin ich in dieser Konfiguration von der VPN filter Malware betroffen?
2. Frage
Kann ich die derzeitige config des mikrotik sichern, eine factory reset machen und die config-backup wieder einspielen? Oder muss per Hand alles neu konfiguriert werden nach einem factory reset, um sicher zu sein? Das wäre ein horror, das alles neu einzurichten.

Danke und LG ,
pixi

Content-ID: 376819

Url: https://administrator.de/forum/mikrotik-router-und-vpnfilter-malware-frage-376819.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

sabines
sabines 13.06.2018 um 10:51:47 Uhr
Goto Top
Moin,

zu1)
Fritzbox scheint nicht betroffen zu sein, und für mikrotik (und andere) gilt: Neustart und aktuelle Firmware einspielen

zu2)
Ja geht, aber wozu willst Du das machen?

Gruss
Pixi123
Pixi123 13.06.2018 um 11:23:39 Uhr
Goto Top
Hallo,
ich bin mir nicht sicher, ob die firewall der fritzbox in meiner Konstellation den dahinter liegenden mikrotik gegen die Malware absichert. Der mikrotik hängt übrigens transparent an der fritzbox, also ohne doppeltes nat und mit eingetragener Route von mikrotik zu fritzbox.
Was das backup betrifft. Ich meine: wenn ich einen factory reset mache und das config-backup wieder einspielen, besteht da keine Gefahr, sich irgendeine "malware-einstellung", die mitgesichert wurde, wieder aufzuspielen? Blöde frage, aber ich will mir sicher sein.
Und noch eine Frage:
Ist mit Firmware update bei mikrotik das update des Router OS gemeint (system --> packages) oder die routerboard Firmware (system -> routerboard) oder beides in diesem Zusammenhang?
136166
136166 13.06.2018 aktualisiert um 11:56:46 Uhr
Goto Top
Zitat von @Pixi123:

Hallo,
ich bin mir nicht sicher, ob die firewall der fritzbox in meiner Konstellation den dahinter liegenden mikrotik gegen die Malware absichert.
Solange du keine Management-Ports des Mikrotik per DNAT auf der FritzBox weiterleitest bist du von "außen" sicher. Vor einem Angriff von innen schützt natürlich nur eine aktuelle Firmware, bzw. ein abgetrenntes Management-Netz für die Management-Ports (80/22/2000/8291...), denn ein Angriff kann auch von einem infizierten internen System durchgeführt werden. Eine aktuelle Firmware schützt dich ebenfalls vor der Schwachstelle die März 2017 bereits veröffentlicht wurde und seit dem schon von Mikrotik mit RouterOS 6.38.5 gefixt wurde!
Hier nachzulesen:
https://forum.mikrotik.com/viewtopic.php?f=21&t=134776

So lange du also deine Management-Ports vor Zugriffen aus dem Internet und von intern mit der Mikrotik-Eigenen Firewall abgesichert hast bist du auf der sicheren Seite. Upgrade sollte trotzdem Pflichtprogramm sein.

Der mikrotik hängt übrigens transparent an der fritzbox, also ohne doppeltes nat und mit eingetragener Route von mikrotik zu fritzbox.
Spielt keine Rolle.
Was das backup betrifft. Ich meine: wenn ich einen factory reset mache und das config-backup wieder einspielen, besteht da keine Gefahr, sich irgendeine "malware-einstellung", die mitgesichert wurde, wieder aufzuspielen? Blöde frage, aber ich will mir sicher sein.
Man macht sich bei Mikrotiks immer auch eine komplette Plaintext-Sicherung via export Befehl diese kann Prinzipbedingt keine Malware enthalten.
Und noch eine Frage:
Ist mit Firmware update bei mikrotik das update des Router OS gemeint (system --> packages) oder die routerboard Firmware (system -> routerboard) oder beides in diesem Zusammenhang?
System-Packages ist dass Richtige, das andere ist nur der Routerboot-Bootloader den braucht man nicht zwingend upgraden, macht man üblicherweise nur wenn Fixes darin vorhanden sind die einen direkt betreffen könnten. Kann aber nicht schaden hier ab und zu mal nach Neuerungen im Changelog nachzusehen.

Einen Restore solltest du dringend einmal üben (auch über Netinstall!!), das sollte jeder Mikroik User aus dem FF beherrschen. Nichts ist schlimmer als sich im Notfall zu stressen. Denn ein Brick bei dem das OS nicht mehr bootet oder einen Bootloop verursacht kann schon durch ein Package-Upgrade ausgelöst werden, kommt zwar selten vor aber darauf sollte man immer gut vorbereitet sein.
Pixi123
Pixi123 13.06.2018 um 12:19:43 Uhr
Goto Top
Super, danke für deine Antwort.
Ich habe im mikrotik bei der ersteinrichtung die default config gelöscht, um meine nur vlan-geschichte einzurichten. Bin aber noch im Lernprozess und habe das management vlan noch nicht richtig firewalltechnisch abgetrennt bis jetzt.
Sollte ich also ein factory reset mit plain Text backup machen?
136166
Lösung 136166 13.06.2018 aktualisiert um 12:33:57 Uhr
Goto Top
Zitat von @Pixi123:

Super, danke für deine Antwort.
Ich habe im mikrotik bei der ersteinrichtung die default config gelöscht, um meine nur vlan-geschichte einzurichten. Bin aber noch im Lernprozess und habe das management vlan noch nicht richtig firewalltechnisch abgetrennt bis jetzt.
Sollte ich also ein factory reset mit plain Text backup machen?
Ein Neustart und ein anschließendes Firmware-Update reicht, ein Reset brauchst du hier nicht.
Plaintextbackup sollte man immer nach jeder Änderung der Config machen. Das verhindert zuverlässig das deine harte Arbeit über den Jordan geht.
Pixi123
Pixi123 13.06.2018 aktualisiert um 14:05:45 Uhr
Goto Top
Die Sache ist die; ich habe ein firmwareupdate gemacht vor 1 Woche ca, da wusste ich aber noch nichts von VPN filter und diengefahr für mikrotik. Bin diesem update habe ich vorher keinen Neustart gemacht.soll ich jetzt also einen neustart machen und das gleiche routeros nochmal drüberflashen?
Oder soll ich besser ein backup machen (sowohl .backup als auch .rsc) und dann einen factory reset, und dann RSC wieder einspielen?
Habe jetzt auch kurz deinen link zu netinstall durchgelesen. Das scheint ja noch tiefgreifender zu sein als ein factory reset, weil da wird alles formatiert und neu geschrieben ( mich nehme an, dass wenn man es mit Windows dies vergleicht, ein factory reset ein zurücksetzen in den Auslieferungszustand ist und netinstall ist in etwa diskpart clean mit anschließender kompletter Neuinstallation).
Was soll ich nun machen, wenn ich 100% sicher sein will, dass mein mikrotik sauber ist? Und was ist die best practise für backup wieder einspielen: backup-file oder rsc-file? Und wie spiele ich ein RSC wieder ein?
136166
Lösung 136166 13.06.2018 aktualisiert um 13:21:20 Uhr
Goto Top
Zitat von @Pixi123:

Die Sache ist die; ich habe ein firmwareupdate gemacht vor 1 Woche ca, da wusste ich aber noch nichts von VPN filter und diengefahr für mikrotik. Bin diesem update habe ich vorher keinen Neustart gemacht.soll ich jetzt also einen neustart machen und das gleiche routeros nochmal drüberflashen?
Nein nicht nötig, durch das Aktualsieren des RouterOS bist du automatisch geschützt, sofern es mindestens die o.g. Version war.
Wenn außerdem keine Ports aus dem Internet erreichbar waren brauchst du dir keinen Kopf machen.

Habe jetzt auch kurz deinen link zu netinstall durchgelesen. Das scheint ja noch tiefgreifender zu sein als ein factory reset, weil da wird alles formatiert und neu geschrieben ( mich neme an, dass wenn man es mit WI dies vergleicht, ein factory reset ein zurücksetzen in den Auslieferungszustand ist und netinstall ist in etwa diskpart clean mit anschließender kompletter Neuinstallation).
Was soll ich nun machen, wenn ich 100% sicher sein will, dass mein mikrotik sauber ist? Und was ist die best practise für backup wieder einspielen: backup-file oder rsc-file? Und wie spiele ich ein RSC wieder ein?
Lesen ist die beste Methode
Hier steht alles was du wissen musst
https://wiki.mikrotik.com/wiki/Manual:TOC
https://wiki.mikrotik.com/wiki/RouterBOARD_hardware

Ein Backup-File enthält die Config binär inkl Zertifikaten etc. und lässt sich nur auf dem selebn Modell wiederherstellen und kann potientiell kompromitierende Dinge enthalten. Ein rsc File nur die reine Config in Textform kann daher keine kompormitierten Dinge enthalten.
aqui
aqui 13.06.2018 aktualisiert um 13:34:43 Uhr
Goto Top
Just for Info:
Falls du das FW Release 6.41oder aktueller einspielst beachte die neue VLAN Konfig Syntax !:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Pixi123
Pixi123 13.06.2018 um 13:50:10 Uhr
Goto Top
ich habe bisher alles nur über winbox konfiguriert.
mit Syntax geändert meinst du wahrscheinlich dass sich die befehle für die console geändert haben, oder?
Pixi123
Pixi123 13.06.2018 aktualisiert um 13:52:09 Uhr
Goto Top
die Version weiss ich jetzt nicht, ich habe halt die aktuellste (current) genommen, die winbox angeboten hat.
136166
136166 13.06.2018 aktualisiert um 13:55:32 Uhr
Goto Top
mit Syntax geändert meinst du wahrscheinlich dass sich die befehle für die console geändert haben, oder?
Nein die komplette Funktionsweise für die Konfiguration von VLANs wurde umgestellt und auch die Master-Port Funktionsweise beerdigt. Das wird nun alles mit Bridges konfiguriert, sieh dir das o.g. Tutorial mal genau an.
die Version weiss ich jetzt nicht, ich habe halt die aktuellste (current) genommen, die winbox angeboten hat.
Dann wird alles gut.
Pixi123
Pixi123 13.06.2018 aktualisiert um 14:02:47 Uhr
Goto Top
oh mann, von dieser syntax-Änderung wusst eich auch nichts. ich habe meine vlans also nach dem altem Syntax eingerichtet und jetzt eine neue Firmware drauf. ich habe nichts an der konfig geändert. es scheint aber alles noch wie gewohnt zu funktionieren. kenne mich nicht mehr aus. muss ich jetzt meine vlan-konfiguration anpassen, wurde das durch das update automatisch an den neuen Syntax angepasst??? oh mann....
136166
136166 13.06.2018 aktualisiert um 14:07:41 Uhr
Goto Top
Zitat von @Pixi123:

oh mann, von dieser syntax-Änderung wusst eich auch nichts. ich habe meine vlans also nach dem altem Syntax eingerichtet und jetzt eine neue Firmware drauf. ich habe nichts an der konfig geändert. es scheint aber alles noch wie gewohnt zu funktionieren. kenne mich nicht mehr aus. muss ich jetzt meine vlan-konfiguration anpassen, wurde das durch das update automatisch an den neuen Syntax angepasst??? oh mann....
Die machen das über ein Migrationsscript das vorhandene Configs automatisch beim Upgrade in Bridges überführt sofern du vorher mit Master-Port gearbeitet hast. Trotzdem solltest du deine Config jetzt nochmal gegenchecken. VLAN-Configs im Bereich "Switch" sind davon nicht betroffen, dort bleibt alles gleich.
oh mann....
Lernen ist ein lebenslanger Prozess face-smile.
Pixi123
Pixi123 13.06.2018 aktualisiert um 14:21:48 Uhr
Goto Top
ok, dann weiss ich, was ich heute abend zu tun habe. ich bin wie gesagt ein mikrotik Anfänger und war froh, dass ich die vlans zum laufen gebracht habe, dazu dhcp relays, ein paar simple Firewall regeln für den verkehr zwischen den vlans usw. alles anfänger-basic-sachen.
jetzt muss ich mir das vlan-thema in mikrotik offenbar komplett neu aneignen.

an der stelle nochmal danke an alle, die bisher hier geantwortet haben. ihr seid echt super und euer wissen ist beeindruckend, bin echt neidisch auf euch. Hoffentlich komme ich ja auch irgendwann auf ein zumindest ähnliches Level. jetzt studiere ich mal diesne neuen syyntax und die backup-Geschichten.
aqui
aqui 13.06.2018 aktualisiert um 14:59:26 Uhr
Goto Top
ich habe bisher alles nur über winbox konfiguriert.
Der Rest der Welt macht das meist auch so face-wink
mit Syntax geändert meinst du wahrscheinlich dass sich die befehle für die console geändert haben, oder?
Nein !
Diese Frage wäre überflüssig wenn du mal einen Blick in das o.g. Tutorial verschwendet hättest face-sad
Außerdem haben sich nicht nur die CLI Befehle geändert sondern logischerweise damit auch die VLAN Settings und ToDos unter WinBox !
Lesen hilft !! Wirklich !
oh mann, von dieser syntax-Änderung wusst eich auch nichts.
Siehste ! Weil du auch sicher nie die Release Notes liest, oder ?!
ich bin wie gesagt ein mikrotik Anfänger
Mmmhhhwenn du VLANs zum Fliegen gebracht hast bist du aber schon ein halber Profi face-wink
jetzt muss ich mir das vlan-thema in mikrotik offenbar komplett neu aneignen.
Nein, Unsinn ! Keine Sorge, das sind nur ein paar kosmetische Syntax Änderungen die das VLAN Thema konfigtechnisch mehr logisch an allgemeine Konfig Regeln anpassen.
bin echt neidisch auf euch.
Musst du nicht sein. Dafür kannst du sicher andere Dinge weitaus besser als wir.

P.S.: Deine Shift Taste auf dem Keyboard scheint defekt zu sein ! Solltest du mal reparieren, denn es macht keinen großen Spaß solche Texte lesen zu müssen face-sad
136166
136166 13.06.2018 um 14:54:08 Uhr
Goto Top
Dann happy learning.
Pixi123
Pixi123 13.06.2018 aktualisiert um 18:47:34 Uhr
Goto Top
Hallo!
Ich bin gerade heimbgekommen und habe per winbox in den mikrotik geschaut. Es ist routeros 6.42.3 installiert.
ABER JETZT KOMMTS:
Es hat sich bei mir bei den VLans nichts verändert. Es sieht alles gleich aus wie immer. Unter interfaces -> Interface stehen die einzelnen Ports, eingerückt unter den ports die zugehörigen VLans. Unter Interfaces -> VLAN stehen die Vlans, bei Doppelklick auf ein VLan steht in der Registerkarten General die Zuordnung des vlan zu Interface zb ether4. Nix bridge.
Unter bridge -> bridge ist alles leer. Es gibt keine eingerichtete bridge. Alles wie immer.
WTF??????????
Ich kann bei Bedarf screenshots zeigen, tippe nur grad am Handy.

PS: routerboard Firmware heißt gleich: 6.42.3

PPS: habe mir jetzt ein .backup und ein src downgeloadet.
136166
136166 13.06.2018 um 19:12:43 Uhr
Goto Top
Zitat von @Pixi123:
ABER JETZT KOMMTS:
Es hat sich bei mir bei den VLans nichts verändert. Es sieht alles gleich aus wie immer. Unter interfaces -> Interface stehen die einzelnen Ports, eingerückt unter den ports die zugehörigen VLans. Unter Interfaces -> VLAN stehen die Vlans, bei Doppelklick auf ein VLan steht in der Registerkarten General die Zuordnung des vlan zu Interface zb ether4. Nix bridge.
Ich hab doch gesagt das Bridges nur bei einer Master-Config angelegt werden weil es das bei der Version nicht mehr gibt!
Unter bridge -> bridge ist alles leer. Es gibt keine eingerichtete bridge. Alles wie immer.
WTF??????????
Lese das Handbuch dann weist du auch wieso!!
Ich kann bei Bedarf screenshots zeigen, tippe nur grad am Handy.
Nö danke. brauchen wir hier nicht wenn du mal das Handbuch und das obige Tutorial zumindest im Ansatz lesen würdest face-sad
Pixi123
Pixi123 13.06.2018 um 19:25:56 Uhr
Goto Top
Sorry, dass ich nicht gleich alles checke. Master config sagt mir nichts.
aqui
aqui 13.06.2018 aktualisiert um 19:51:40 Uhr
Goto Top
Er mein das alte Master und Slave Port Konzept in der Konfig damit.
Das ist ja aber seit der 6.41 mausetot...zum Glück !
Pixi123
Pixi123 13.06.2018, aktualisiert am 14.06.2018 um 12:58:36 Uhr
Goto Top
Leute, danke für eure Geduld. Habe heute einiges gelernt. Wenn ich noch eine Frage stellen darf:
Ich habe ja vorhin ein .backup und ein .SRC erstellt. Ausserdem wollte ich das netinstall testen.
Also habe ich nach Anleitung mit netinstall das routeros geflasht. Dann habe ich über das terminal das SRC importiert. Nach einiger Zeit kam im terminal dann "interface:". Ich wusste nicht, welche Eingabe erwartet wird und haben dann abgebrochen. Ich habe dann nachgeschaut, welche config wieder da ist: vlans waren da, aber die firewall rules nicht. Habe dann einen reset ohne default conlfiguration gemacht und nochmal SRC import probiert. Wieder " interface:". Habe dann wieder abgebrochen und mein .backup eingespielt. Alles wieder wie vorher.
Könnt ihr mir vielleicht sagen, was es mit diesem interface: auf sich hat.
Ich dachte, dass man die SRC einfach importiert und alle Konfigurationen (bis auf das admin pw) sind wieder da. Wegen diesem "interface:" lief das script ja nicht weiter, deswegen auch keine firewall settings, die erst später im script kommen.
Ich war über die mac verbunden mit winbox, habe auch einen anderen Ethernet port als den 1. ausprobiert, weil der in meiner config der wan port ist. Hat aber keinen unterschied gemacht. Eingabe 1 bei interface: hat auch nicht funktioniert. War nur ein Versuch.
Danke euch und nochmal danke für eure Geduld. Ihr seid spitze.

Und wenn ich auch noch dies Frage darf:
Ich habe meine vlans so eingerichtet, dass ich einfach vlans zu den interfaces hinzugefügt habe, teilweise mehrere vlans an einem ether, teilweise auch nur 1 vlan an einem ether (eigener trunk für Kameras zB). Ich habe weder mit master slave noch mit bridges gearbeitet.
Das mit den bridges ist mir gänzlich unbekannt. Im ursprüngliche tutorial zum Thema vlans hier war auch keine Rede von master/slave oder bridges unter mikrotik. Ist meine vlan konfig also eigentlich falsch, oder welchem Vorteil haben diese bridges. Brauche ich die nur dann, wenn ich verschiedene ethernet ports am mikrotik selbst zum gleiche vlan zusammenlegen will?
aqui
aqui 14.06.2018 aktualisiert um 11:11:41 Uhr
Goto Top
Ich persönlich arbeite nicht mit netinstall. Nur dann, wenn man den MT komplett "himmelt" er also kein Image mehr hat.
Ein Update geht für Laien einfacher über die Winbox.
Einfach den Button "Files" klicken und dort per drag and drop die Image Datei reinfallen lassen, rebooten,
Fertsch.
Danach den Bootcode updaten indem du auf System-Routerboard gehst und dort Update klickst.
Das aktuelle Image und das des Updates mussen in der Anzeige nach dem dann folgenden reboot identisch sein.
Nochmal rebooten, fertsch.
Ich habe weder mit.master slave noch mit bridges gearbeitet.
Das dürfte in der aktuellen Version dann niemals mehr funktionieren bei einer VLAN Konfig !
Brauche ich die nur dann, wenn ich verschiedene ethernet ports am mikrotik selbst zum gleiche vlan zusammenlegen will?
Nein !
Du brauchst sie gar nicht mehr, weil das Konfig Konzept Master- Slave Ports gar nicht mehr da ist ! Du findest diese Option in der Konfig bzw. WinBox ja gar nicht mehr.
Eine Bridge ist daher zwingend ab der Version 6.41 und höher.
In der Bridge definierst du dann welcher deiner Ports die VLANs Tagged (Uplinks zum Switch usw.) sendet und auch welche, und welcher Port die VLANs Untagged (Endgeräte Ports in den VLANs) sendet.
Das ist dann mehr konformer und logischer zu einer klassischen VLAN Konfig auf einem Switch.
Guckst du in Verbindung mit dem MT VLAN Tutorial dazu auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

P.S.: Deine Shift Taste ist immer noch halb defekt und funktioniert nur sporadisch face-sad
Pixi123
Pixi123 14.06.2018, aktualisiert am 15.06.2018 um 12:50:56 Uhr
Goto Top
Da die Sache mit dem eigentlichen thread nichts mehr zu tun hat, habe ich einen neuen thread gestartet:
Mikrotik: neues vlan-Konzept seit RouterOS 6.41: was ist da bei mir los?