Опасный MikroTik. Разбираемся в уязвимостях популярных роутеров
В роутерах, которые числились среди лучших и часто применяются в индустриальных целях, внезапно одна за другой обнаруживаются серьезные уязвимости. В этой статье мы рассмотрим последние серьезные дыры, поищем причины их возникновения и расскажем, как обезопасить себя.
Если заглянуть в базу CVE, то окажется, что в продуктах MikroTik за всю историю было найдено восемнадцать уязвимостей. Восемь из них приходятся на 2018 год и шесть — на 2017-й. Получается, что более 77% уязвимостей MikroTik обнаружены за два последних года.
Распределение выявленных уязвимостей MikroTik в процентном соотношении по годам
Может сложиться впечатление, что компания MikroTik существует сравнительно недавно. Но это не так. Фирма MikroTik на три года старше, чем сам проект CVE: она основана в 1996 году.
Немного о MikroTik
Если ты впервые слышишь о MikroTik, то знай: название этой компании не связано с нервными тиками. Впрочем, от количества настроек, которые предоставляет ее продукция, они все же поначалу случаются — в основном у пользователей, не имеющих специальной подготовки.
RouterOS во всей красе
MikroTik — это латвийский производитель сетевого оборудования. В компании разрабатывают как железо, называемое RouterBOARD, так и операционную систему для него — RouterOS. Обычно эти две составляющие просто называют MikroTik.
Эти продукты относятся к полупрофессиональному сегменту, который занимает нишу между домашними маршрутизаторами типа D-Link, TP-Link, Asus и профессиональным оборудованием типа Cisco и Juniper. В сравнении с домашними роутерами продукты MikroTik отличаются значительно большим числом функций.
RouterBOARD hAP AC lite — младший представитель продуктовой линейки. Но даже у него масса возможностей
С профессиональным оборудованием их сравнить по-прежнему непросто, но низкие цены делают роутеры MikroTik привлекательными для малого и среднего бизнеса и даже для некоторых крупных сетевых провайдеров. В последнее время роутеры MikroTik можно встретить и дома — в основном у тех, кто считает их настройку прекрасной возможностью, а не лишней головной болью (то есть у читателей «Хакера»).
Плюсы и минусы MikroTik
Поразительное количество возможностей — не единственное, что отличает продукцию MikroTik. Эти роутеры также славятся надежностью и стабильностью в работе. Как правило, хорошо настроенное и протестированное оборудование этого производителя работает долго, стабильно и бесперебойно (при отсутствии проблем с питанием). Также среди плюсов — наличие встроенного скриптового языка, который позволяет описывать, как роутер должен реагировать на возникновение проблем. А еще у MikroTik есть технология WatchDog, которая спасает при зависании маршрутизатора.
Добавь сюда удобную систему конфигурирования, общедоступную документацию в виде вики и периодические обновления RouterOS, которые можно ставить без всякой авторизации. Или вот еще важный момент: достаточно изучить RouterOS, и ты сможешь настроить роутер MikroTik из любого ценового сегмента и даже поставить его на сервер x86.
Минусы тоже есть, и именно из-за них MikroTik не конкурент Cisco и Juniper. Среди недостатков: отсутствие резервирования, трудности маршрутизации больших объемов трафика (более 10 Гбайт/с) и отсутствие шифрования по ГОСТ, которое важно для госструктур.
Также оборудование MikroTik не очень подходит в качестве многофункциональных устройств. Ты спросишь: а как же все разговоры про огромные возможности настройки? Да, функциональность MikroTik действительно очень широка, однако получить все и сразу в одном устройстве и обеспечить при этом стабильную работу выходит далеко не всегда.
Ну и конечно, не стоит забывать про трудоемкость настройки (если ты не сисадмин, то даже простые вещи придется делать по мануалам), отсутствие корпоративной поддержки и малое количество специалистов. Все это пока что мешает марке развиваться дальше своего нынешнего рынка. А теперь репутацию подпортили и уязвимости.
Уязвимости и взломы
Последнее время роутерам MikroTik пришлось поработать на износ: вдобавок к их основным функциям им приходилось майнить криптовалюту, становиться частью ботнетов, перехватывать трафик и заражать себе подобных. Всему виной — новые уязвимости, найденные в продукции MikroTik.
Конечно, все дыры уже запатчены производителем, но поговорить о них стоит. Во-первых, такой внезапный всплеск интересен сам по себе, а во-вторых, большинство пользователей MikroTik не торопятся самостоятельно обновлять прошивку. Нашелся даже «Робин Гуд», который взламывал роутеры, чтобы обновить прошивку. Его усилиями было спасено около ста тысяч роутеров, к тому же удалось дать проблеме дополнительную огласку. Однако надеяться на одного грейхета с добрыми намерениями — это не выход.
Уязвимости, как и всегда, можно разделить на критические и не очень. Начнем с наименее критических. Такими уязвимостями можно считать тройку, выявленную в августе командой Tenable Research. Речь идет об уязвимостях с идентификаторами CVE-2018-1157, CVE-2018-1159, CVE-2018-1158. Все они связаны с повреждениями памяти, а эксплуатировать их может только авторизованный пользователь.
CVE-2018-10070 и CVE-2018-1156 хоть и считаются критическими, но по сравнению с другими серьезной опасности не представляют. CVE-2018-1156 была обнаружена в тот же месяц и той же командой, что и предыдущие три уязвимости. Проблема связана с механизмом обновления RouterOS. При ее эксплуатации авторизованный злоумышленник может исполнить вредоносный код.
Эксплуатация CVE-2018-10070 позволяет неавторизованному злоумышленнику исчерпать ресурсы ЦП и ОЗУ, отправляя запросы на порт FTP. Результатом будет перезагрузка без надлежащего процесса отключения. Хорошего мало, но жить можно.
Желающих разобраться с этими уязвимостями поближе приглашаем заглянуть в репозиторий Tenable Research, где есть готовые PoC: CVE-2018-1157, CVE-2018-1158, CVE-2018-1159, CVE-2018-10070, CVE-2018-1156.
Переходим к самому интересному. Из всех выявленных в этом году уязвимостей последние три наиболее опасны. Что делает их такими опасными? Во-первых, то, что для их эксплуатации не требуется аутентификация. А это значит, что круг злоумышленников, способных эксплуатировать уязвимости, значительно расширяется. Во-вторых, в отличие от CVE-2018-10070, которая приводит к перезагрузке маршрутизатора, эксплуатация этих уязвимостей может привести к похищению пользовательского трафика и исполнению вредоносного кода.
Использование CVE-2018-10066 позволяет перехватывать клиентский трафик. Уязвимость связана с отсутствием проверки сертификата OpenVPN. Поскольку выявить эксплуатацию этой уязвимости почти нереально, широкого обсуждения она не получила. Чего не скажешь об остальных.
Эксплуатация CVE-2018-10066 — это атака типа Man in the Middle. Поскольку MikroTik не проверяет сертификаты, злоумышленник способен выдать себя за вредоносный сервер OpenVPN. Подобное поведение способно принести плоды, когда злоумышленник смог перехватить процесс обмена ключами (рукопожатие) или подобрать закрытый ключ сессии.
Первой в хакерскую копилку в этом году упала CVE-2018-7445. Это уязвимость типа RCE, которая позволяет злоумышленнику получить доступ к роутеру и исполнять вредоносный код. Атака начинается с отправки запроса на сессию NetBIOS. Функцию безопасности, которая не позволяет исполнять код из области памяти, удалось обойти методом возвратно-ориентированного программирования (ROP). В результате удалось отметить область памяти как пригодную для записи и исполнения.
В основе CVE-2018-7445 — уязвимость, основанная на классической атаке с переполнением буфера. В данном случае переполнению буфера подвержен сетевой протокол SMB, используемый для удаленного доступа к файлам. Опасной атаку делает возможность исполнения вредоносного кода.
О технической эксплуатации этой уязвимости можно было бы написать отдельную статью. Тем, кто хочет разобраться в вопросе более детально, рекомендую перевод статьи Питера Брайта на эту тему или первоисточник. И конечно, для изучения доступен PoC.
Технология ASLR должна была предотвратить эту угрозу, но в MikroTik с 32-битной адресацией ASLR оказалась подвержена взлому методом перебора.
Были разговоры, что эта уязвимость использовалась в изощренных шпионских атаках командой Slingshot. Прямых подтверждений никто не нашел, но возможность такой эксплуатации была. Целевые компьютеры заражались при подключении через утилиту WinBox (штатный конфигуратор MikroTik). Через нее с зараженного роутера просачивались вредоносные библиотеки вируса, в результате чего злоумышленники захватывали систему.
Проблемы с WinBox
Последняя из серьезных уязвимостей MikroTik в этом году — CVE-2018-14847. И она тоже непосредственно связана с WinBox. «Опять этот WinBox!» — скажешь ты. На самом деле прошлая уязвимость относилась к клиентской программе косвенно: для нее WinBox был только вектором заражения, с помощью которого вредоносный код распространялся на конечный компьютер.
Новая уязвимость связана не с самим WinBox, а с протоколом взаимодействия между конфигуратором и RouterOS. Атака строится на знании протокола: злоумышленнику нужно вместо процедуры аутентификации устроить подмену пакетов. Это позволяет добыть базу данных пользователей роутера, дешифровать ее и получить доступ к системе.
Уязвимость связана с тем, что до авторизации пользователя RouterOS обрабатывает входящие пакеты. После обработки входящие пакеты фильтруются в зависимости от привилегий отправителя. Из-за некорректной работы фильтра у злоумышленников появилась возможность редактировать файлы в файловой системе. PoC доступен по ссылке.
Собственно, поэтому-то все атаки на WinBox происходили практически по одному и тому же сценарию. После пары неудачных попыток аутентификации злоумышленник проникал в систему, изменял некоторые настройки маршрутизатора, а через час после вторичной авторизации роутер уже становился полностью ему подконтрольным.
Первоначально эксперты присвоили этой уязвимости средний статус опасности. Все изменилось в момент, когда специалисты из Tenable Research рассказали на конференции DerbyCon 8.0 о новом методе атаки. С помощью нового метода можно не только прочитать файлы из памяти, но и записать их в память, вызвать переполнение буфера и выполнить произвольный код.
Чем опасны уязвимости
Вопрос, конечно, тривиальный: если твое устройство пострадает от атаки, то оно, скорее всего, будет работать некорректно, а ты потеряешь возможность авторизоваться в системе. Однако существуют и другие варианты развития событий.
Владелец роутера может просто не замечать существенных изменений в работе устройства, тогда как роутер начнет жить двойной жизнью и втихую работать на мафию.
Один из наиболее безобидных примеров — скрипт Coinhive, который позволяет злоумышленнику майнить криптовалюту на роутерах MikroTik через браузеры пользователей. К сожалению, опасных примеров больше.
Один из наиболее злых охотников на роутеры MikroTik — ботнет Hajime, который массово сканирует сеть в поисках устройств с версией прошивки 6.38.4 и ниже. Эта версия уязвима перед атакой Chimary Red. Эксплоит способен удаленно выполнять код в командной строке роутера, а затем извлекает базу данных логинов и паролей и под конец меняет логи.
Стоит упомянуть и о зловреде VPNFilter. К технологии VPN он никакого отношения не имеет, но зато умеет подслушивать трафик, внедрять в него вредоносный контент, выводить роутеры из строя, а также извлекать пользовательские пароли и другую важную информацию. Оборудование MikroTik снова было в списках пострадавших.
Как себя обезопасить
В первую очередь, конечно, нужно не забывать ставить новые версии RouterOS. Как правило, все проблемы возникают из-за того, что администратор маршрутизатора попросту не утруждает себя своевременным обновлением ПО или владелец не в курсе, что это необходимо. Новые версии по большей части выпускают как раз, чтобы закрыть очередную дыру или исправить баг. Ставь их!
Вторая по важности защитная мера — менять стандартные имена и пароли учетных записей. Тут, я думаю, ничего объяснять не нужно. Понятно, что заполучить учетку admin с паролем admin будет многократно проще, чем, к примеру, учетной записи GriBorryij с двенадцатизначным паролем.
Третья мера — отключать неиспользуемые сервисы и службы. Каждый активный сервис в будущем может стать эксплуатируемой уязвимостью. Поэтому, если сервис не используется, смело выключаем его. Стоит подумать и о возможности перевода сервисов на нестандартные порты.
И наконец, не стоит забывать о настройке файрвола. Первым делом максимально ограничь цепочку INPUT и добавляй в нее только доверенные IP-адреса. В дальнейшем постарайся исключить взаимодействие с дополнительными сетями, если это не требуется.
Выводы
Корни проблем с роутерами MikroTik, на мой взгляд, кроются именно в их достоинствах и уникальности их ниши на рынке. Эти продукты дешевы и надежны, а значит, их часто берут с целью сэкономить. Скорее всего, сэкономят и на поддержке. Специалисты даже шутят, что клиенты после первой настройки MikroTik больше никогда не звонят.
(c) Лев Герасимов
хакер.ру
В роутерах, которые числились среди лучших и часто применяются в индустриальных целях, внезапно одна за другой обнаруживаются серьезные уязвимости. В этой статье мы рассмотрим последние серьезные дыры, поищем причины их возникновения и расскажем, как обезопасить себя.
Если заглянуть в базу CVE, то окажется, что в продуктах MikroTik за всю историю было найдено восемнадцать уязвимостей. Восемь из них приходятся на 2018 год и шесть — на 2017-й. Получается, что более 77% уязвимостей MikroTik обнаружены за два последних года.
Распределение выявленных уязвимостей MikroTik в процентном соотношении по годам
Может сложиться впечатление, что компания MikroTik существует сравнительно недавно. Но это не так. Фирма MikroTik на три года старше, чем сам проект CVE: она основана в 1996 году.
Немного о MikroTik
Если ты впервые слышишь о MikroTik, то знай: название этой компании не связано с нервными тиками. Впрочем, от количества настроек, которые предоставляет ее продукция, они все же поначалу случаются — в основном у пользователей, не имеющих специальной подготовки.
RouterOS во всей красе
MikroTik — это латвийский производитель сетевого оборудования. В компании разрабатывают как железо, называемое RouterBOARD, так и операционную систему для него — RouterOS. Обычно эти две составляющие просто называют MikroTik.
Эти продукты относятся к полупрофессиональному сегменту, который занимает нишу между домашними маршрутизаторами типа D-Link, TP-Link, Asus и профессиональным оборудованием типа Cisco и Juniper. В сравнении с домашними роутерами продукты MikroTik отличаются значительно большим числом функций.
RouterBOARD hAP AC lite — младший представитель продуктовой линейки. Но даже у него масса возможностей
С профессиональным оборудованием их сравнить по-прежнему непросто, но низкие цены делают роутеры MikroTik привлекательными для малого и среднего бизнеса и даже для некоторых крупных сетевых провайдеров. В последнее время роутеры MikroTik можно встретить и дома — в основном у тех, кто считает их настройку прекрасной возможностью, а не лишней головной болью (то есть у читателей «Хакера»).
Плюсы и минусы MikroTik
Поразительное количество возможностей — не единственное, что отличает продукцию MikroTik. Эти роутеры также славятся надежностью и стабильностью в работе. Как правило, хорошо настроенное и протестированное оборудование этого производителя работает долго, стабильно и бесперебойно (при отсутствии проблем с питанием). Также среди плюсов — наличие встроенного скриптового языка, который позволяет описывать, как роутер должен реагировать на возникновение проблем. А еще у MikroTik есть технология WatchDog, которая спасает при зависании маршрутизатора.
Добавь сюда удобную систему конфигурирования, общедоступную документацию в виде вики и периодические обновления RouterOS, которые можно ставить без всякой авторизации. Или вот еще важный момент: достаточно изучить RouterOS, и ты сможешь настроить роутер MikroTik из любого ценового сегмента и даже поставить его на сервер x86.
Минусы тоже есть, и именно из-за них MikroTik не конкурент Cisco и Juniper. Среди недостатков: отсутствие резервирования, трудности маршрутизации больших объемов трафика (более 10 Гбайт/с) и отсутствие шифрования по ГОСТ, которое важно для госструктур.
Также оборудование MikroTik не очень подходит в качестве многофункциональных устройств. Ты спросишь: а как же все разговоры про огромные возможности настройки? Да, функциональность MikroTik действительно очень широка, однако получить все и сразу в одном устройстве и обеспечить при этом стабильную работу выходит далеко не всегда.
Ну и конечно, не стоит забывать про трудоемкость настройки (если ты не сисадмин, то даже простые вещи придется делать по мануалам), отсутствие корпоративной поддержки и малое количество специалистов. Все это пока что мешает марке развиваться дальше своего нынешнего рынка. А теперь репутацию подпортили и уязвимости.
Уязвимости и взломы
Последнее время роутерам MikroTik пришлось поработать на износ: вдобавок к их основным функциям им приходилось майнить криптовалюту, становиться частью ботнетов, перехватывать трафик и заражать себе подобных. Всему виной — новые уязвимости, найденные в продукции MikroTik.
Конечно, все дыры уже запатчены производителем, но поговорить о них стоит. Во-первых, такой внезапный всплеск интересен сам по себе, а во-вторых, большинство пользователей MikroTik не торопятся самостоятельно обновлять прошивку. Нашелся даже «Робин Гуд», который взламывал роутеры, чтобы обновить прошивку. Его усилиями было спасено около ста тысяч роутеров, к тому же удалось дать проблеме дополнительную огласку. Однако надеяться на одного грейхета с добрыми намерениями — это не выход.
Уязвимости, как и всегда, можно разделить на критические и не очень. Начнем с наименее критических. Такими уязвимостями можно считать тройку, выявленную в августе командой Tenable Research. Речь идет об уязвимостях с идентификаторами CVE-2018-1157, CVE-2018-1159, CVE-2018-1158. Все они связаны с повреждениями памяти, а эксплуатировать их может только авторизованный пользователь.
CVE-2018-10070 и CVE-2018-1156 хоть и считаются критическими, но по сравнению с другими серьезной опасности не представляют. CVE-2018-1156 была обнаружена в тот же месяц и той же командой, что и предыдущие три уязвимости. Проблема связана с механизмом обновления RouterOS. При ее эксплуатации авторизованный злоумышленник может исполнить вредоносный код.
Эксплуатация CVE-2018-10070 позволяет неавторизованному злоумышленнику исчерпать ресурсы ЦП и ОЗУ, отправляя запросы на порт FTP. Результатом будет перезагрузка без надлежащего процесса отключения. Хорошего мало, но жить можно.
Желающих разобраться с этими уязвимостями поближе приглашаем заглянуть в репозиторий Tenable Research, где есть готовые PoC: CVE-2018-1157, CVE-2018-1158, CVE-2018-1159, CVE-2018-10070, CVE-2018-1156.
Переходим к самому интересному. Из всех выявленных в этом году уязвимостей последние три наиболее опасны. Что делает их такими опасными? Во-первых, то, что для их эксплуатации не требуется аутентификация. А это значит, что круг злоумышленников, способных эксплуатировать уязвимости, значительно расширяется. Во-вторых, в отличие от CVE-2018-10070, которая приводит к перезагрузке маршрутизатора, эксплуатация этих уязвимостей может привести к похищению пользовательского трафика и исполнению вредоносного кода.
Использование CVE-2018-10066 позволяет перехватывать клиентский трафик. Уязвимость связана с отсутствием проверки сертификата OpenVPN. Поскольку выявить эксплуатацию этой уязвимости почти нереально, широкого обсуждения она не получила. Чего не скажешь об остальных.
Эксплуатация CVE-2018-10066 — это атака типа Man in the Middle. Поскольку MikroTik не проверяет сертификаты, злоумышленник способен выдать себя за вредоносный сервер OpenVPN. Подобное поведение способно принести плоды, когда злоумышленник смог перехватить процесс обмена ключами (рукопожатие) или подобрать закрытый ключ сессии.
Первой в хакерскую копилку в этом году упала CVE-2018-7445. Это уязвимость типа RCE, которая позволяет злоумышленнику получить доступ к роутеру и исполнять вредоносный код. Атака начинается с отправки запроса на сессию NetBIOS. Функцию безопасности, которая не позволяет исполнять код из области памяти, удалось обойти методом возвратно-ориентированного программирования (ROP). В результате удалось отметить область памяти как пригодную для записи и исполнения.
В основе CVE-2018-7445 — уязвимость, основанная на классической атаке с переполнением буфера. В данном случае переполнению буфера подвержен сетевой протокол SMB, используемый для удаленного доступа к файлам. Опасной атаку делает возможность исполнения вредоносного кода.
О технической эксплуатации этой уязвимости можно было бы написать отдельную статью. Тем, кто хочет разобраться в вопросе более детально, рекомендую перевод статьи Питера Брайта на эту тему или первоисточник. И конечно, для изучения доступен PoC.
Технология ASLR должна была предотвратить эту угрозу, но в MikroTik с 32-битной адресацией ASLR оказалась подвержена взлому методом перебора.
Были разговоры, что эта уязвимость использовалась в изощренных шпионских атаках командой Slingshot. Прямых подтверждений никто не нашел, но возможность такой эксплуатации была. Целевые компьютеры заражались при подключении через утилиту WinBox (штатный конфигуратор MikroTik). Через нее с зараженного роутера просачивались вредоносные библиотеки вируса, в результате чего злоумышленники захватывали систему.
Проблемы с WinBox
Последняя из серьезных уязвимостей MikroTik в этом году — CVE-2018-14847. И она тоже непосредственно связана с WinBox. «Опять этот WinBox!» — скажешь ты. На самом деле прошлая уязвимость относилась к клиентской программе косвенно: для нее WinBox был только вектором заражения, с помощью которого вредоносный код распространялся на конечный компьютер.
Новая уязвимость связана не с самим WinBox, а с протоколом взаимодействия между конфигуратором и RouterOS. Атака строится на знании протокола: злоумышленнику нужно вместо процедуры аутентификации устроить подмену пакетов. Это позволяет добыть базу данных пользователей роутера, дешифровать ее и получить доступ к системе.
Уязвимость связана с тем, что до авторизации пользователя RouterOS обрабатывает входящие пакеты. После обработки входящие пакеты фильтруются в зависимости от привилегий отправителя. Из-за некорректной работы фильтра у злоумышленников появилась возможность редактировать файлы в файловой системе. PoC доступен по ссылке.
Собственно, поэтому-то все атаки на WinBox происходили практически по одному и тому же сценарию. После пары неудачных попыток аутентификации злоумышленник проникал в систему, изменял некоторые настройки маршрутизатора, а через час после вторичной авторизации роутер уже становился полностью ему подконтрольным.
Первоначально эксперты присвоили этой уязвимости средний статус опасности. Все изменилось в момент, когда специалисты из Tenable Research рассказали на конференции DerbyCon 8.0 о новом методе атаки. С помощью нового метода можно не только прочитать файлы из памяти, но и записать их в память, вызвать переполнение буфера и выполнить произвольный код.
Чем опасны уязвимости
Вопрос, конечно, тривиальный: если твое устройство пострадает от атаки, то оно, скорее всего, будет работать некорректно, а ты потеряешь возможность авторизоваться в системе. Однако существуют и другие варианты развития событий.
Владелец роутера может просто не замечать существенных изменений в работе устройства, тогда как роутер начнет жить двойной жизнью и втихую работать на мафию.
Один из наиболее безобидных примеров — скрипт Coinhive, который позволяет злоумышленнику майнить криптовалюту на роутерах MikroTik через браузеры пользователей. К сожалению, опасных примеров больше.
Один из наиболее злых охотников на роутеры MikroTik — ботнет Hajime, который массово сканирует сеть в поисках устройств с версией прошивки 6.38.4 и ниже. Эта версия уязвима перед атакой Chimary Red. Эксплоит способен удаленно выполнять код в командной строке роутера, а затем извлекает базу данных логинов и паролей и под конец меняет логи.
Стоит упомянуть и о зловреде VPNFilter. К технологии VPN он никакого отношения не имеет, но зато умеет подслушивать трафик, внедрять в него вредоносный контент, выводить роутеры из строя, а также извлекать пользовательские пароли и другую важную информацию. Оборудование MikroTik снова было в списках пострадавших.
Как себя обезопасить
В первую очередь, конечно, нужно не забывать ставить новые версии RouterOS. Как правило, все проблемы возникают из-за того, что администратор маршрутизатора попросту не утруждает себя своевременным обновлением ПО или владелец не в курсе, что это необходимо. Новые версии по большей части выпускают как раз, чтобы закрыть очередную дыру или исправить баг. Ставь их!
Вторая по важности защитная мера — менять стандартные имена и пароли учетных записей. Тут, я думаю, ничего объяснять не нужно. Понятно, что заполучить учетку admin с паролем admin будет многократно проще, чем, к примеру, учетной записи GriBorryij с двенадцатизначным паролем.
Третья мера — отключать неиспользуемые сервисы и службы. Каждый активный сервис в будущем может стать эксплуатируемой уязвимостью. Поэтому, если сервис не используется, смело выключаем его. Стоит подумать и о возможности перевода сервисов на нестандартные порты.
И наконец, не стоит забывать о настройке файрвола. Первым делом максимально ограничь цепочку INPUT и добавляй в нее только доверенные IP-адреса. В дальнейшем постарайся исключить взаимодействие с дополнительными сетями, если это не требуется.
Выводы
Корни проблем с роутерами MikroTik, на мой взгляд, кроются именно в их достоинствах и уникальности их ниши на рынке. Эти продукты дешевы и надежны, а значит, их часто берут с целью сэкономить. Скорее всего, сэкономят и на поддержке. Специалисты даже шутят, что клиенты после первой настройки MikroTik больше никогда не звонят.
(c) Лев Герасимов
хакер.ру
