Em torno do dia 27 de Março de 2019, começou a se espalhar a informação de que uma nova vulnerabilidade foi descoberta no RouterOS. Dessa vez, o alvo é o protocolo IPv6.
Além disso, é dito que essa vulnerabilidade é conhecida há mais ou menos 1 ano, porém, sem ser exposta e documentada publicamente.
O prazo para que essa vulnerabilidade seja publicamente documentada através de uma CVE, é dia 9 de Abril de 2019, durante a apresentação do pesquisador Marek Isalski, no UKNOF-43 (https://indico.uknof.org.uk/event/46/).
O problema em questão afeta diretamente os recursos do hardware, de forma a esgota-los, causando a interrupção do serviço (Denial of Service). Ainda não há um detalhamento de como o processo ocorre, mas segundo o pesquisador Marek Isalski, simples (e poucos) pacotes IPv6 podem fazer com que o roteador seja reiniciado pelo Watchdog (https://wiki.mikrotik.com/wiki/Manual:System/Watchdog), diante da falta de memória RAM.
O que sabemos até agora?
Há uma vulnerabilidade que afeta o protocolo IPv6 em roteadores MikroTik;
Ela ainda não foi publicamente documentada, mas será, de acordo com a apresentação de Marek, no dia 9 de Abril, no UKNOF-43.
Essa vulnerabilidade é conhecida pela MikroTik, que está trabalhando para corrigir o quanto antes;
Segundo a própria MikroTik, o processo de correção não é tão simples, pois envolve questões relacionadas ao Kernel utilizado no RouterOS;
Ainda assim, a MikroTik informou em seu fórum oficial, que uma correção será liberada antes do prazo (9 de Abril de 2019);
Não criemos pânico! Como a vulnerabilidade ainda não foi publicamente exposta, aguardemos um pronunciamento oficial da MikroTik, que deve ocorrer tanto no fórum oficial (https://forum.mikrotik.com), quanto no blog (https://blog.mikrotik.com);
Não executem ações precipitadas. Há usuários solicitando revisão de regras de firewall IPv6, a criação de tais regras visando a proteção à essa vulnerabilidade, alguns desabilitando o pacote IPv6, e outros removendo todas as configurações IPv6 presente nos roteadores;
Nada disso é necessário ainda. Acreditamos que as correções serão disponibilizadas em breve, e com isso, faremos os testes e a devida atualização de nossos equipamentos;
Por último e muito importante: Não espalhem falsas notícias sobre o assunto. As modistas Fake News causam um impacto muito negativo, e se espalham muito mais rápido.
Que a MikroTik é uma empresa fundada em 1996, e tem sua sede em Riga, capital da Letônia, muitos já estão carecas de saber.
O fato é que existem coisas que muitos usuários (até mesmo usuários avançados) do RouterOS não exploram por falta de conhecimento ou até mesmo desleixo.
Fórum de usuários MikroTik
A MikroTik mantém um fórum oficial capaz de acolher qualquer usuário, independente do seu nível de conhecimento. Lá é possível tirar dúvidas, gerar debates com outros usuários, e até mesmo acompanhar todas as novidades que a MikroTik vem a lançar em termos de hardware e software.
A grande jogada do forum é a presença massiva de MikroTik Trainers de todos os cantos do mundo, e também de pessoas que trabalham na própria MikroTik. Por menor que seja a sua dúvida ela pode ser respondida por alguém do suporte, simples assim.
Encontre um consultor
Em um momento de aperto, em que precisa de auxilio para resolver algum problema grave na rede, ou até mesmo para um planejamento de expansão, como você escolhe um consultor?
Definitivamente a resposta não é: Vou ao Facebook e contrato o primeiro que me responder.
Muito menos: Contrato o serviço em um anúncio do Mercado Livre.
A própria MikroTik detém uma página (www.mikrotik.com/consultants/latinamerica/brazil) onde classifica oficialmente consultores certificados para que você possa escolher o melhor profissional.
Para fazer parte da lista de consultores, o profissional precisa ter ao menos duas certificações MikroTik, com mais de 75% de aprovação no exame.
Qual hardware comprar?
Não só fabricante do RouterOS (software) é a MikroTik. Em 2002, foi fabricada a primeira RouterBOARD. Nada menos do que um hardware que leva embarcado o RouterOS.
Atualmente, existem vários modelos que atendem desde usuários da última milha com roteadores WI-FI, até grandes provedores de Internet, com gigas e gigas de tráfego.
O site (https://mikrotik.com/products) lista todos os produtos disponíveis, suas características, e oferece a possibilidade de comparação entre os modelos.
Mesmo assim não sabe qual hardware comprar?
A melhor coisa a fazer é procurar um consultor oficial, para que ele analise a sua demanda, e indique o devido hardware para utilização.
Sim, o suporte deles é um suporte de verdade!
Muitas vezes em que fui contatar o suporte da MikroTik para tirar alguma dúvida, recebi o seguinte questionamento:
E eles respondem mesmo?
Mas claro! Por que não iriam responder?
Vale lembrar que o suporte não é um consultor for free e algumas regras devem ser respeitadas. Aí vão as principais:
– Confira a documentação e exemplos de configuração antes. A resposta para a sua dúvida pode estar lá.
– Certifique-se que esteja com a versão do RouterOS atualizada.
– Ao contatar o suporte, dê o máximo possível de detalhes, para que haja completo entendimento por parte da MikroTik.
– Envie juntamente com seu problema/dúvida, o supout.rif do seu roteador.
Já foi no MUM?
O MUM é o MikroTik User Meeting, ou encontro de usuários de MikroTik. Ocorre em diversos países do mundo, todos os anos. No Brasil, ocorre desde 2008, e a cada ano em uma cidade diferente.
Durante os dois dias de evento, é possível rodar o local fazendo networking com outros profissionais, visitar expositores, assistir palestras, e até mesmo trocar uma ideia com os próprios funcionários da MikroTik.
O MUM Brazil 2018 foi em São Paulo, e já estamos ao aguardo do anúncio do MUM Brazil 2019
Até a próxima!
Comentários desativados em Um pouco mais sobre a MikroTik.InMikroTikRedes
… se você não precisa, ou nem sabe para que serve =).
Como eu ativo o DNS recursivo no meu roteador MikroTik? Veja só:
Marcou a checkbox, ativou o DNS recursivo.
Entretanto, ativar o DNS recursivo não implica em nenhum problema desde que você necessite utilizar. Aliás, o DNS no RouterOS atua como cache, e melhora consideravelmente a experiência para o usuário, pois agiliza as consultas a nomes de domínios.
Porém, antes de sair clicando na checkbox, é preciso estabelecer quem pode, ou quem não pode consultar o DNS do nosso roteador MikroTik. Isso tudo pois quando o “Allow Remote Requests” está habilitado, o roteador acaba respondendo consultas de DNS para qualquer IP, o que pode demandar o uso excessivo de tráfego.
Mais além, o DNS do roteador pode ser utilizado em um ataque de DDoS, onde possui um fator de amplificação de até 54 vezes.
Para controlar as respostas ao DNS do nosso roteador MikroTik, vamos usar o firewall.
Antes de adicionar as regras no firewall, vamos definir nossas interfaces de WAN, através do menu Interface > Interface List:
Após definir quais interfaces farão parte da lista WAN, vamos usar a tabela Raw do Firewall. A tabela Raw foi introduzida na versão 6.36 do RouterOS, e atua antes da connection tracking, resultando em uma melhor performance no filtro de pacotes.
Para as regras, é preciso definir a chain de prerouting, o protocolo UDP e a porta de destino 53, além de mencionar a lista de interfaces que criamos anteriormente, através do campo “In. Interface List”. A action da nossa regra será drop. Vamos duplicar a regra criada, alterando o protocolo para TCP.
Não esqueçam de comentar as regras criadas, pois documentação de rede nunca é demais.
Com essas regras, iremos descartar silenciosamente os pacotes com destino à porta 53 UDP e TCP, que vierem de qualquer interface da minha lista “WAN”. Em outras palavras, não vamos permitir a consulta de DNS recursivo, à nenhum endereço IP de fora da rede.
Essas regras são essenciais para a utilização do DNS cache do RouterOS.
Até a próxima!
Comentários desativados em Cuidado! com o DNS recursivo no RouterOS.InMikroTikSegurança
O Simple Network Management Protocol já é bem conhecido da maioria dos Administradores de Rede. O SNMP é utilizado para coletar informações relevantes, tais como utilização de recursos, quantidade de tráfego, tempo de atividade, entre outros diversos parâmetros. Para facilitar, um sistema de monitoramento é utilizado para coletar as informações através de SNMP, a exemplo do Dude, PRTG e Zabbix. Estas informações nos auxiliam muito na resolução de algum problema e também no planejamento para a tomada de decisões.
O protocolo SNMP é aberto, definido nas RFCs 1157, 3414 e 3416, e suportado pelo integralmente no RouterOS. O protocolo utiliza as portas UDP 161 e 162. As configurações de SNMP se encontram através do menu IP > SNMP.
Configuração
A configuração do SNMP no RouterOS é muito simples. Basta habilitar o checkbox “Enabled”, e definir as opções de community e versão. A community padrão do protocolo SNMP é definida como “public”, e para não ativarmos nada que seja altamente conhecido, sugerimos que uma nova community seja criada. Podem caprichar na utilização de caracteres especiais, variar entre números, e letras maiúsculas e minúsculas.
A escolha da versão depende da implementação que o sistema de monitoramento estará utilizando. A versão 2 do SNMP é a mais utilizada, mas pode-se usar a versão 3, que contempla autenticação e encriptação.
Informações adicionais de contato e localização também podem ser preenchidas sem problema algum.
Segurança
É imprescindível que as consultas SNMP sejam restritas a um IP ou uma range, para evitar que qualquer dispositivo na Internet possa consultar informações e também utilizar o protocolo para um ataque de DDoS.
Através do campo “Addresses”, informamos quais IPs ou redes podem realizar consultas SNMP no dispositivo em questão.
A recomendação é que jamais o SNMP esteja habilitado sem restrição alguma (0.0.0.0/0), e com informações de fácil descoberta. Portanto, para começarmos a trabalhar com SNMP no RouterOS, lembrem-se:
Configure uma community diferente da padrão “public”;
Especifique IPs ou redes que possam realizar consultas SNMP.
Até a próxima!
Comentários desativados em SNMP em Roteadores MikroTikInMikroTik
