Mikrotik router und vpnfilter malware Frage
Hallo!
Ich habe einen mikrotik RB2011Uias-IN router, der hinter einer fritzbox hängt. Das eigentliche Gateway ins Internet ist die fritzbox. Der mikrotik ist nur für die vlans zuständig. Auf der fritzbox sind statische routen in die vlans des mikrotik eingetragen. Die firewall des mikrotik hat nur regeln für zwischen den vlans, aber keine regeln für den wan ( der ja in die fritzbox geht)
1. Frage
Bin ich in dieser Konfiguration von der VPN filter Malware betroffen?
2. Frage
Kann ich die derzeitige config des mikrotik sichern, eine factory reset machen und die config-backup wieder einspielen? Oder muss per Hand alles neu konfiguriert werden nach einem factory reset, um sicher zu sein? Das wäre ein horror, das alles neu einzurichten.
Danke und LG ,
pixi
Ich habe einen mikrotik RB2011Uias-IN router, der hinter einer fritzbox hängt. Das eigentliche Gateway ins Internet ist die fritzbox. Der mikrotik ist nur für die vlans zuständig. Auf der fritzbox sind statische routen in die vlans des mikrotik eingetragen. Die firewall des mikrotik hat nur regeln für zwischen den vlans, aber keine regeln für den wan ( der ja in die fritzbox geht)
1. Frage
Bin ich in dieser Konfiguration von der VPN filter Malware betroffen?
2. Frage
Kann ich die derzeitige config des mikrotik sichern, eine factory reset machen und die config-backup wieder einspielen? Oder muss per Hand alles neu konfiguriert werden nach einem factory reset, um sicher zu sein? Das wäre ein horror, das alles neu einzurichten.
Danke und LG ,
pixi
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 376819
Url: https://administrator.de/forum/mikrotik-router-und-vpnfilter-malware-frage-376819.html
Ausgedruckt am: 23.12.2024 um 01:12 Uhr
23 Kommentare
Neuester Kommentar
Zitat von @Pixi123:
Hallo,
ich bin mir nicht sicher, ob die firewall der fritzbox in meiner Konstellation den dahinter liegenden mikrotik gegen die Malware absichert.
Solange du keine Management-Ports des Mikrotik per DNAT auf der FritzBox weiterleitest bist du von "außen" sicher. Vor einem Angriff von innen schützt natürlich nur eine aktuelle Firmware, bzw. ein abgetrenntes Management-Netz für die Management-Ports (80/22/2000/8291...), denn ein Angriff kann auch von einem infizierten internen System durchgeführt werden. Eine aktuelle Firmware schützt dich ebenfalls vor der Schwachstelle die März 2017 bereits veröffentlicht wurde und seit dem schon von Mikrotik mit RouterOS 6.38.5 gefixt wurde!Hallo,
ich bin mir nicht sicher, ob die firewall der fritzbox in meiner Konstellation den dahinter liegenden mikrotik gegen die Malware absichert.
Hier nachzulesen:
https://forum.mikrotik.com/viewtopic.php?f=21&t=134776
So lange du also deine Management-Ports vor Zugriffen aus dem Internet und von intern mit der Mikrotik-Eigenen Firewall abgesichert hast bist du auf der sicheren Seite. Upgrade sollte trotzdem Pflichtprogramm sein.
Der mikrotik hängt übrigens transparent an der fritzbox, also ohne doppeltes nat und mit eingetragener Route von mikrotik zu fritzbox.
Spielt keine Rolle.Was das backup betrifft. Ich meine: wenn ich einen factory reset mache und das config-backup wieder einspielen, besteht da keine Gefahr, sich irgendeine "malware-einstellung", die mitgesichert wurde, wieder aufzuspielen? Blöde frage, aber ich will mir sicher sein.
Man macht sich bei Mikrotiks immer auch eine komplette Plaintext-Sicherung via export Befehl diese kann Prinzipbedingt keine Malware enthalten.Und noch eine Frage:
Ist mit Firmware update bei mikrotik das update des Router OS gemeint (system --> packages) oder die routerboard Firmware (system -> routerboard) oder beides in diesem Zusammenhang?
System-Packages ist dass Richtige, das andere ist nur der Routerboot-Bootloader den braucht man nicht zwingend upgraden, macht man üblicherweise nur wenn Fixes darin vorhanden sind die einen direkt betreffen könnten. Kann aber nicht schaden hier ab und zu mal nach Neuerungen im Changelog nachzusehen.Ist mit Firmware update bei mikrotik das update des Router OS gemeint (system --> packages) oder die routerboard Firmware (system -> routerboard) oder beides in diesem Zusammenhang?
Einen Restore solltest du dringend einmal üben (auch über Netinstall!!), das sollte jeder Mikroik User aus dem FF beherrschen. Nichts ist schlimmer als sich im Notfall zu stressen. Denn ein Brick bei dem das OS nicht mehr bootet oder einen Bootloop verursacht kann schon durch ein Package-Upgrade ausgelöst werden, kommt zwar selten vor aber darauf sollte man immer gut vorbereitet sein.
Zitat von @Pixi123:
Super, danke für deine Antwort.
Ich habe im mikrotik bei der ersteinrichtung die default config gelöscht, um meine nur vlan-geschichte einzurichten. Bin aber noch im Lernprozess und habe das management vlan noch nicht richtig firewalltechnisch abgetrennt bis jetzt.
Sollte ich also ein factory reset mit plain Text backup machen?
Ein Neustart und ein anschließendes Firmware-Update reicht, ein Reset brauchst du hier nicht.Super, danke für deine Antwort.
Ich habe im mikrotik bei der ersteinrichtung die default config gelöscht, um meine nur vlan-geschichte einzurichten. Bin aber noch im Lernprozess und habe das management vlan noch nicht richtig firewalltechnisch abgetrennt bis jetzt.
Sollte ich also ein factory reset mit plain Text backup machen?
Plaintextbackup sollte man immer nach jeder Änderung der Config machen. Das verhindert zuverlässig das deine harte Arbeit über den Jordan geht.
Zitat von @Pixi123:
Die Sache ist die; ich habe ein firmwareupdate gemacht vor 1 Woche ca, da wusste ich aber noch nichts von VPN filter und diengefahr für mikrotik. Bin diesem update habe ich vorher keinen Neustart gemacht.soll ich jetzt also einen neustart machen und das gleiche routeros nochmal drüberflashen?
Nein nicht nötig, durch das Aktualsieren des RouterOS bist du automatisch geschützt, sofern es mindestens die o.g. Version war.Die Sache ist die; ich habe ein firmwareupdate gemacht vor 1 Woche ca, da wusste ich aber noch nichts von VPN filter und diengefahr für mikrotik. Bin diesem update habe ich vorher keinen Neustart gemacht.soll ich jetzt also einen neustart machen und das gleiche routeros nochmal drüberflashen?
Wenn außerdem keine Ports aus dem Internet erreichbar waren brauchst du dir keinen Kopf machen.
Habe jetzt auch kurz deinen link zu netinstall durchgelesen. Das scheint ja noch tiefgreifender zu sein als ein factory reset, weil da wird alles formatiert und neu geschrieben ( mich neme an, dass wenn man es mit WI dies vergleicht, ein factory reset ein zurücksetzen in den Auslieferungszustand ist und netinstall ist in etwa diskpart clean mit anschließender kompletter Neuinstallation).
Was soll ich nun machen, wenn ich 100% sicher sein will, dass mein mikrotik sauber ist? Und was ist die best practise für backup wieder einspielen: backup-file oder rsc-file? Und wie spiele ich ein RSC wieder ein?
Lesen ist die beste MethodeWas soll ich nun machen, wenn ich 100% sicher sein will, dass mein mikrotik sauber ist? Und was ist die best practise für backup wieder einspielen: backup-file oder rsc-file? Und wie spiele ich ein RSC wieder ein?
Hier steht alles was du wissen musst
https://wiki.mikrotik.com/wiki/Manual:TOC
https://wiki.mikrotik.com/wiki/RouterBOARD_hardware
Ein Backup-File enthält die Config binär inkl Zertifikaten etc. und lässt sich nur auf dem selebn Modell wiederherstellen und kann potientiell kompromitierende Dinge enthalten. Ein rsc File nur die reine Config in Textform kann daher keine kompormitierten Dinge enthalten.
Just for Info:
Falls du das FW Release 6.41oder aktueller einspielst beachte die neue VLAN Konfig Syntax !:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Falls du das FW Release 6.41oder aktueller einspielst beachte die neue VLAN Konfig Syntax !:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
mit Syntax geändert meinst du wahrscheinlich dass sich die befehle für die console geändert haben, oder?
Nein die komplette Funktionsweise für die Konfiguration von VLANs wurde umgestellt und auch die Master-Port Funktionsweise beerdigt. Das wird nun alles mit Bridges konfiguriert, sieh dir das o.g. Tutorial mal genau an.die Version weiss ich jetzt nicht, ich habe halt die aktuellste (current) genommen, die winbox angeboten hat.
Dann wird alles gut.Zitat von @Pixi123:
oh mann, von dieser syntax-Änderung wusst eich auch nichts. ich habe meine vlans also nach dem altem Syntax eingerichtet und jetzt eine neue Firmware drauf. ich habe nichts an der konfig geändert. es scheint aber alles noch wie gewohnt zu funktionieren. kenne mich nicht mehr aus. muss ich jetzt meine vlan-konfiguration anpassen, wurde das durch das update automatisch an den neuen Syntax angepasst??? oh mann....
Die machen das über ein Migrationsscript das vorhandene Configs automatisch beim Upgrade in Bridges überführt sofern du vorher mit Master-Port gearbeitet hast. Trotzdem solltest du deine Config jetzt nochmal gegenchecken. VLAN-Configs im Bereich "Switch" sind davon nicht betroffen, dort bleibt alles gleich.oh mann, von dieser syntax-Änderung wusst eich auch nichts. ich habe meine vlans also nach dem altem Syntax eingerichtet und jetzt eine neue Firmware drauf. ich habe nichts an der konfig geändert. es scheint aber alles noch wie gewohnt zu funktionieren. kenne mich nicht mehr aus. muss ich jetzt meine vlan-konfiguration anpassen, wurde das durch das update automatisch an den neuen Syntax angepasst??? oh mann....
oh mann....
Lernen ist ein lebenslanger Prozess .ich habe bisher alles nur über winbox konfiguriert.
Der Rest der Welt macht das meist auch so mit Syntax geändert meinst du wahrscheinlich dass sich die befehle für die console geändert haben, oder?
Nein !Diese Frage wäre überflüssig wenn du mal einen Blick in das o.g. Tutorial verschwendet hättest
Außerdem haben sich nicht nur die CLI Befehle geändert sondern logischerweise damit auch die VLAN Settings und ToDos unter WinBox !
Lesen hilft !! Wirklich !
oh mann, von dieser syntax-Änderung wusst eich auch nichts.
Siehste ! Weil du auch sicher nie die Release Notes liest, oder ?!ich bin wie gesagt ein mikrotik Anfänger
Mmmhhhwenn du VLANs zum Fliegen gebracht hast bist du aber schon ein halber Profi jetzt muss ich mir das vlan-thema in mikrotik offenbar komplett neu aneignen.
Nein, Unsinn ! Keine Sorge, das sind nur ein paar kosmetische Syntax Änderungen die das VLAN Thema konfigtechnisch mehr logisch an allgemeine Konfig Regeln anpassen.bin echt neidisch auf euch.
Musst du nicht sein. Dafür kannst du sicher andere Dinge weitaus besser als wir.P.S.: Deine Shift Taste auf dem Keyboard scheint defekt zu sein ! Solltest du mal reparieren, denn es macht keinen großen Spaß solche Texte lesen zu müssen
Dann happy learning.
Zitat von @Pixi123:
ABER JETZT KOMMTS:
Es hat sich bei mir bei den VLans nichts verändert. Es sieht alles gleich aus wie immer. Unter interfaces -> Interface stehen die einzelnen Ports, eingerückt unter den ports die zugehörigen VLans. Unter Interfaces -> VLAN stehen die Vlans, bei Doppelklick auf ein VLan steht in der Registerkarten General die Zuordnung des vlan zu Interface zb ether4. Nix bridge.
Ich hab doch gesagt das Bridges nur bei einer Master-Config angelegt werden weil es das bei der Version nicht mehr gibt!ABER JETZT KOMMTS:
Es hat sich bei mir bei den VLans nichts verändert. Es sieht alles gleich aus wie immer. Unter interfaces -> Interface stehen die einzelnen Ports, eingerückt unter den ports die zugehörigen VLans. Unter Interfaces -> VLAN stehen die Vlans, bei Doppelklick auf ein VLan steht in der Registerkarten General die Zuordnung des vlan zu Interface zb ether4. Nix bridge.
Unter bridge -> bridge ist alles leer. Es gibt keine eingerichtete bridge. Alles wie immer.
WTF??????????
Lese das Handbuch dann weist du auch wieso!!WTF??????????
Ich kann bei Bedarf screenshots zeigen, tippe nur grad am Handy.
Nö danke. brauchen wir hier nicht wenn du mal das Handbuch und das obige Tutorial zumindest im Ansatz lesen würdest
Ich persönlich arbeite nicht mit netinstall. Nur dann, wenn man den MT komplett "himmelt" er also kein Image mehr hat.
Ein Update geht für Laien einfacher über die Winbox.
Einfach den Button "Files" klicken und dort per drag and drop die Image Datei reinfallen lassen, rebooten,
Fertsch.
Danach den Bootcode updaten indem du auf System-Routerboard gehst und dort Update klickst.
Das aktuelle Image und das des Updates mussen in der Anzeige nach dem dann folgenden reboot identisch sein.
Nochmal rebooten, fertsch.
Du brauchst sie gar nicht mehr, weil das Konfig Konzept Master- Slave Ports gar nicht mehr da ist ! Du findest diese Option in der Konfig bzw. WinBox ja gar nicht mehr.
Eine Bridge ist daher zwingend ab der Version 6.41 und höher.
In der Bridge definierst du dann welcher deiner Ports die VLANs Tagged (Uplinks zum Switch usw.) sendet und auch welche, und welcher Port die VLANs Untagged (Endgeräte Ports in den VLANs) sendet.
Das ist dann mehr konformer und logischer zu einer klassischen VLAN Konfig auf einem Switch.
Guckst du in Verbindung mit dem MT VLAN Tutorial dazu auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
P.S.: Deine Shift Taste ist immer noch halb defekt und funktioniert nur sporadisch
Ein Update geht für Laien einfacher über die Winbox.
Einfach den Button "Files" klicken und dort per drag and drop die Image Datei reinfallen lassen, rebooten,
Fertsch.
Danach den Bootcode updaten indem du auf System-Routerboard gehst und dort Update klickst.
Das aktuelle Image und das des Updates mussen in der Anzeige nach dem dann folgenden reboot identisch sein.
Nochmal rebooten, fertsch.
Ich habe weder mit.master slave noch mit bridges gearbeitet.
Das dürfte in der aktuellen Version dann niemals mehr funktionieren bei einer VLAN Konfig !Brauche ich die nur dann, wenn ich verschiedene ethernet ports am mikrotik selbst zum gleiche vlan zusammenlegen will?
Nein !Du brauchst sie gar nicht mehr, weil das Konfig Konzept Master- Slave Ports gar nicht mehr da ist ! Du findest diese Option in der Konfig bzw. WinBox ja gar nicht mehr.
Eine Bridge ist daher zwingend ab der Version 6.41 und höher.
In der Bridge definierst du dann welcher deiner Ports die VLANs Tagged (Uplinks zum Switch usw.) sendet und auch welche, und welcher Port die VLANs Untagged (Endgeräte Ports in den VLANs) sendet.
Das ist dann mehr konformer und logischer zu einer klassischen VLAN Konfig auf einem Switch.
Guckst du in Verbindung mit dem MT VLAN Tutorial dazu auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
P.S.: Deine Shift Taste ist immer noch halb defekt und funktioniert nur sporadisch