Pokud přistupujete zodpovědně ke své datové síti, jistě pravidelně kontrolujete dostupné aktualizace a bezpečnostní opravy a monitorujete dostupnost jednotlivých prvků v síti. Kontrolujete ale také pravidelně log v routeru, zda se někdo náhodou nepokouší vloupat se do Vaší sítě? Monitoring log zpráv je přitom klíčový ke včasnému odhalení nekalého chování jak z internetu, tak z lokální sítě. V základním nastavení má log Mikrotik routeru pouze 1000 řádků a kompletně se maže po restartu. Při vyšším zatížení routeru není efektivní pročítat log zprávy ručně a hledat záznamy o útocích.
Externí syslog
Mikrotik umožňuje posílat log zprávy na externí syslog server. Díky tomu odpadá limit historie zpráv v rámci routeru a přináší řadu výhod v podobě automatických upozornění apod. Jak nastavit externí logování?
Ve winboxu přejděte do nastavení System – Logging a nastavte remote logging na IP adresu a port, kde máte svůj externí syslog
V záložce rules pak zvolte, jaké typy zpráv chcete monitorovat.
Graylog
Pro monitoring logů lze použít např open-source Graylog. Jedná se o robustní řešení, které poskytuje úžasnou flexibilitu v zobrazování a filtrování zpráv. Díky tomu Vám neunikne žádný pokus o proniknutí do routeru.
Na předem definované události lze nastavit automatický trigger, který mi pošle na Slack zprávu o incidentu, což zkracuje reakční dobu správce sítě v případě, že je systém pod útokem.
POTŘEBUJETE IT SUPPORT?
Raději byste pustili IT problémy za hlavu? Netrapte se s nastavováním pokus-omyl, nechte si Vaši síť spravovat odborně. Kontakt
Klasický firewall klasicky chrání Vaši síť proti útokům z veřejných sítí směrem do lokální sítě. Není ale výjimkou, že se některý z uživatelů nainstaluje do svého počítače software, který obsahuje malware. Tento škodlivý sw se často snaží najít v síti vhodný cíl (router, kameru, IoT produkty,…) které mohou mít slabé nebo tovární heslo. Pokud takovéto zařízení nalezne, většinou do něho nahraje svůj kód a tím získá možnost provádět další útoky v síti bez závislosti na původním napadeném PC.
Příklad útoku
Na obrázku níže je vidět SSH brute-force útok, kdy se napadený PC (uživatel stáhnul zdánlivě neškodný program zdarma pro ripování CD) snaží uhádnout SSH přístup do Mikrotik routeru.
Vzhledem k tomu, že se na síti nacházelo více zařízení (kamery, IP telefony atp), lze předpokládat, že tento útok byl veden i na ostatní HW. Díky tomu, že se jedná o námi spravovanou síť, všechna hesla jsou velmi silná a tudíž nedošlo k proniknutí do žádného síťového prvku.
Automatická blokace napadeného PC
Přestože se většina firewall pravidel aplikuje ve směru z veřejného internetu, není od věci monitorovat podezřelá chování i ve vnitřní síti. Pro detekci a blokaci SSH brute-force útoků lze aplikovat jednoduché firewall pravidlo:
Pokud se jakékoliv zařízení pokusí 3x neúspěšně přihlásit do routeru, dojde k jeho odpojení od internetu na 10 dní. V případě napadeného PC tedy okamžitě zjistíte, že je něco v nepořádku. Zároveň, pokud máte nastaven pořádný monitoring, měli byste automaticky zaregistrovat útok již v jeho počátcích.
POTŘEBUJETE POMOC?
Raději byste pustili IT problémy za hlavu? Netrapte se s nastavováním pokus-omyl, nechte si Vaši síť spravovat odborně. Kontakt
Spolehlivost datových sítí je v dnešní digitální době klíčová. Noční můra správců sítě je situace, kdy začnou uživatelé hlásit náhodné problémy s funkčností připojení. Vše se tváří v pořádku, zařízení připojení do sítě, jen „windows hlásí vykřičník na ikoně připojení“. Po chvíli se ale jakoby problém vyřeší sám a vše zase funguje. Co jen se v síti asi děje?
Prošel jsem mnoho firemních sítí a viděl hotely i školy s velmi zranitelnou sítí. Jedním z „útoků“ na síť může být totiž nevinné připojení vlastního routeru některého ze zaměstnanců např. pro domnělé zlepšení pokrytí WiFi. Pokud je síť navržena bez hlubších znalostech o IT bezpečnosti, snadno se stane, že nesprávně nakonfigurovaný WiFi router způsobí nahodilé výpadky ostatním připojeným zařízením. Viděl jsem firmu, kde brigádník vyřadil celou výrobu pouze tím, že připojil kabel do špatné datové zásuvky. Co se stalo? Testoval zařízení, které mělo na svém portu (pro účely jednodušší konfigurace) v továrním nastavení DHCP server. Tato, jindy nevinná, vlastnost v kombinaci se špatně navrženou sítí vede vždy k vážným problémům.
Co dělá DHCP server?
DHCP server slouží zjednodušeně k automatickému přiřazení IP adresy zařízením v síti. Kromě IP adresy ještě připojeným zařízením sděluje tzv Default GW (adresa brány), což není nic jiného než informace, kudy se jde ven mimo lokální síť – tedy i do internetu. Jakmile se zařízení připojí do sítě (nebo při vypršení doby zapůjčení adresy) posílá toto zařízení tzv DHCP request. To je zpráva, která nemá jasného adresáta a jde v podstatě na všechna zařízení v síti. Pokud je v síti více než jeden DHCP server, připojené zařízení vezme informace od toho, kdo mu odpoví první.
Proč nechceme v síti cizí DHCP?
Možnost připojit do volného portu svůj DHCP server přináší závažná bezpečnostní rizika. Jak jsme si řekli výše, to „nejmenší“ co se může stát je fakt, že někomu nepůjde internet. Horší je ale situace, kdy toto někdo udělá cíleně za účelem způsobit škodu. Pokud totiž nainstaluji svůj router s DHCP, poběží komunikace od „poškozených“ zařízení právě přes tento router. Díky tomu lze jednoduše sledovat datový tok, manipulovat s obsahem, zjišťovat citlivá data atp.
Jak zabezpečit svoji síť?
Obrana proti nevyžádanému DHCP serveru není tak složitá ani drahá, jak by se možná mohlo zdát. Důležité je nepoužívat obyčejné switche, ale kvalitní switche s podporou DHCP snooping. Jedná se o funkci, která detekuje DHCP zprávy na jednotlivých portech a zahazuje ty, které přicházejí z tzv „unterusted“ tedy nedůvěryhodných portů. Díky tomu zajistíte alespoň základní obranu proti těmto nejjednodušším útokům. Tuto funkci mají např všechny produkty od Mikrotiku. Po správné konfiguraci lze vidět blokované DHCP v logu:
Vyřešte svoji síť komplexně
Říká se, že nezálohuje ten, kdo ještě nepřišel o data a bezpečnost neřeší jen ten, kdo žije v minulém století. Doba jde rychle dopředu a v IT platí dvojnásob. Správná konfigurace datové sítě ale může pro méně zkušené uživatele znamenat velký oříšek. Netrapte se s nastavováním pokus-omyl, nechte si síť odborně navrhnout a nakonfigurovat nebo rovnou spravovat.
Mikrotik routery nabízí v základní konfiguraci celkem efektivní firewall. Jeho hlavním cílem je blokovat všechna nově příchozí spojení z internetu a zároveň umožnit nerušenou komunikaci z lokální sítě směrem do internetu.
Základní firewall
Firewall v továrním nastavení má jen několik statických pravidel:
/ip firewall filter add action=accept chain=input comment=“defconf: accept established,related,untracked“ connection-state=established,related,untracked add action=drop chain=input comment=“defconf: drop invalid“ connection-state=invalid add action=accept chain=input comment=“defconf: accept ICMP“ protocol=icmp add action=accept chain=input comment=“defconf: accept to local loopback (for CAPsMAN)“ dst-address=127.0.0.1 add action=drop chain=input comment=“defconf: drop all not coming from LAN“ in-interface-list=!LAN add action=accept chain=forward comment=“defconf: accept in ipsec policy“ ipsec-policy=in,ipsec add action=accept chain=forward comment=“defconf: accept out ipsec policy“ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment=“defconf: fasttrack“ connection-state=established,related add action=accept chain=forward comment=“defconf: accept established,related, untracked“ connection-state=established,related,untracked add action=drop chain=forward comment=“defconf: drop invalid“ connection-state=invalid add action=drop chain=forward comment=“defconf: drop all from WAN not DSTNATed“ connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment=“defconf: masquerade“ ipsec-policy=out,none out-interface-list=WAN
Tento základní firewall je dostačující pro většinu uživatelů. Nedokáže ale aktivně reagovat na případné útoky z internetu ve chvíli, kdy je Mikrotik dostupný skrz veřejnou IP.
Pokročilejší firewall
Přidáním několika málo pravidel můžeme zvýšit zabezpečení detekcí a blokováním Port scannerů a Syn flood útoků.
/ip firewall filter add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input comment=“Add Syn Flood IP to the list“ connection-limit=30,32 disabled=no protocol=tcp tcp-flags=syn add action=drop chain=input comment=“Drop to syn flood list“ disabled=no src-address-list=Syn_Flooder add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment=“Port Scanner Detect“disabled=no protocol=tcp psd=21,3s,3,1 add action=drop chain=input comment=“Drop to port scan list“ disabled=no src-address-list=Port_Scanner add action=accept chain=input comment=“defconf: accept established,related,untracked“ connection-state=established,related,untracked add action=drop chain=input comment=“defconf: drop invalid“ connection-state=invalid add action=accept chain=input comment=“defconf: accept ICMP“ protocol=icmp add action=accept chain=input comment=“defconf: accept to local loopback (for CAPsMAN)“ dst-address=127.0.0.1 add action=drop chain=input comment=“defconf: drop all not coming from LAN“ in-interface-list=!LAN add action=accept chain=forward comment=“defconf: accept in ipsec policy“ ipsec-policy=in,ipsec add action=accept chain=forward comment=“defconf: accept out ipsec policy“ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment=“defconf: fasttrack“ connection-state=established,related add action=accept chain=forward comment=“defconf: accept established,related, untracked“ connection-state=established,related,untracked add action=drop chain=forward comment=“defconf: drop invalid“ connection-state=invalid add action=drop chain=forward comment=“defconf: drop all from WAN not DSTNATed“ connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment=“defconf: masquerade“ ipsec-policy=out,none out-interface-list=WAN
U tvorby pokročilejšího firewallu je třeba brát ohled na výpočetní výkon Mikrotik routeru. Příliš komplexní firewall může mít negativní dopad na na celkovou propustnost sítě, pokud není router dostatečně výkonný.
Inteligentní firewall
Jakmile používáte svůj router k podnikání či máte veřejnou IP k přístupu k vlastním službám, je důležité věnovat IT bezpečnosti zvýšenou pozornost. Vzhledem k možnostem dnešních hackerů není problém zjistit služby, které na vaší síti provozujete – ať už je to VPN server nebo domácí cloud atp. Pokud máte nějaký port otevřený směrem do internetu, je prakticky jisté, že se někdo pokusí jej prolomit. V dnešní době není už bohužel efektivní používat klasické brute-force protection metody. Útočníci postupně mění zdrojové IP a brute-force útok klasicky probíhá dlouhodobě. Pokud tedy detekujeme zdrojovou adresu, která se snaží uhodnout přihlašovací údaje a zablokujeme ji, nijak si nepomůžeme. Níže je příklad automatizovaného dlouhodobého útoku na Mikrotik Router. Je z něj vidět, že každý pokus o prolomení hesla jde z jiné IP a mezi jednotlivými pokusy je relativně dlouhá doba.
Je tedy třeba tyto IP blokovat dříve, než se pokusí o prolomení našich hesel. Kompromitované zdrojové adresy jsou reportovány např. na webu https://www.abuseipdb.com. První IP z našeho příkladu výše: 78.128.113.66 je se 100% jistotou kompromitovaná. Tudíž je vhodné ji zablokovat.
Jak to ale udělat ještě před tím, než se někdo z této IP pokusí o prolomení Vašeho routeru? Pouhé vytvoření statického seznamu kompromitovaných IP nestačí. Nejenže přibývají nové IP, ale odstraněné hrozby je třeba odmazávat z blacklistu. Na svém serveru každou hodinu aktualizuji seznam kompromitovaných adres a na routerech svých klientů dynamicky aktualizuji list zakázaných IP. V kombinaci s detekcí port scannerů a několika honeypoty pro včasné odhalení automatizovaných útoků se jedná o nejlepší ochranu proti útokům zvenčí.
Vzhledem ke komplexnosti řešení nepublikuji veřejně způsob získávání seznamu. Pokud máte zájem o zabezpečení Vašeho routeru, napište si pro individuální nabídku.
Sháníte externí firmu pro správu Mikrotik systému?
Mikrotik je úžasné zařízení s neuvěřitelnými možnostmi. V základní konfiguraci je vcelku bezpečný. Pokud jej ale používáte k podnikání, je důležité věnovat maximální pozornost IT security. Netrapte se s nastavováním pokus-omyl, nechte si router odborně nakonfigurovat a případně i dlouhodobě spravovat. Kontakt
Internet je v dnešní době plný hrozeb. Útočníci se snaží využít každé příležitosti k získání citlivých dat i napadení cizích počítačů. Základním pravidlem ochrany je mít aktualizovaný počítač i všechny programy, funkční antivirus a být vždy ve střehu při klikání na odkazy v e-mailech a hlavně při brouzdání internetem. A právě bezpečné brouzdání internetem nám usnadňuje OpenDNS.
Co je OpenDNS?
Jedná se o službu veřejné DNS (Domain Name Service), kterou má pod svými křídly světově známá IT společnost Cisco. Ta nabízí komerční řešení Cisco Umbrela pro aktivní ochranu před hrozbami a blokování závadného provozu. Pro běžné uživatele poskytují zdarma ochranu před weby napadenými malware, blokuje stránky, které se pokoušejí ukrást citlivá data (phishing) a pokud máte veřejnou IP, můžete díky nastavitelným filtrům blokovat specifické kategorie obsahu nebo konkrétní weby. Ochrana probíhá na úrovni filtrace DNS požadavků, kdy zákazník místo svého obvyklého nastavení použije servery OpenDNS.
Nastavení
OpenDNS Family shield
Přednastavená služby pro blokování napadených webů a porno stránek. Jediné, co je třeba udělat je změnit nastavení na vašem domácím routeru tak, aby používal tyto DNS servery:
Tato služba blokuje napadené a phishingové weby a navíc umožňuje uživatelské nastavení kategorií obsahu, který má být nedostupný. Abyste tuto službu mohli používat, musíte mít veřejnou IP adresu a provést registraci na adrese: https://signup.opendns.com/homefree/ Díky tomu se vám otevřou další možnosti nastavení filtrace.
Vybrat lze z přednastavených kategorií, případně zvolit vlastní domény, které si přejete zablokovat.
Při pokusu o zobrazení závadného nebo napadeného webu se pak zobrazí toto okno
V administraci je pak možné sledovat statistiky využití a nejnavštěvovanější domény.
Nepodceňujte svoji bezpečnost na internetu
Chraňte sebe i svá data. Neklikejte na podezřelé přílohy v e-mailech, pravidelně aktualizujte své počítače a zálohujte svá data – více zde. Nastavte správně vaši domácí nebo firemní síť, abyste minimalizovali případné škody při napadení hackery. Nastavit vše správně může pro lajka být velký oříšek. Nechte si poradit. Pomůžeme vám vybrat a nastavit to správné řešení právě pro Vás. Kontakt
Během své praxe jsem se setkal s mnoha zákazníky, kteří mi se slzou v oku líčili, jak přišli o svá data. Rodinné fotografie za 15 let zpátky, pracovní smlouvy, faktury a další dokumenty. Jedni kvůli ransomware, jiní vinou chyby disku, další kvůli krádeži počítače. Nic z toho by ovšem nemuselo znamenat tolik bolestivou zkušenost, kdyby každý z nich správně zálohoval svá data.
Zálohujte správně
Nesprávným přístupem k zálohování nemusí být vaše data ochráněna. Je třeba si uvědomit, proti jakým událostem chceme svá data uchránit. Pojďme se podívat na různé druhy zálohování dat, jejich výhody a nevýhody.
Disk D:\ v počítači
Někteří mí zákazníci mi hrdě ukazovali, jak svá data ukládají na disk D:\ ve svém počítači s tím, že „až mi zase spadnou Windows, přeinstaluji Céčko a moje data na déčku zůstanou“. Tato ryze praktická věc někdy z dob Windows 95 již v dnešní době víceméně pozbývá smysl. Ne, že by nebyly případy, kdy se to hodí, ale tato metoda nikterak neochrání data před hardwarovou chybou disku, napadení počítačovým virem a samozřejmě ani proti případné krádeži počítače. Ve všech těchto případech budou Vaše data nejspíše nenávratně ztracena.
Externí USB disk
Další oblíbenou metodou zálohování je na připojený USB disk. Někteří pokročilejší uživatelé používají i software pro automatické zálohy přednastavených složek do předem určené destinace na stále připojeném USB disku. Za předpokladu, že stejná data mají tito uživatelé jak na disku v počítači, tak na externím USB disku, jsou jejich soubory ochráněny proti chybě disku v počítači a částečně proti krádeži. U stále připojeného USB disku, kde lze libovolně procházet složky se zálohou není ale zajištěna ochrana proti napadení počítače např. Ransomware.
Cloud
V dnešní době není problém zálohovat svá data na cloud typu Google, Onedrive, Dropbox, a jiné. Jedná se o relativně spolehlivou alternativu externě připojeného disku s tím benefitem, že se k Vašim datům dostanete kdykoliv a kdekoliv – pokud máte dostatečné připojení k internetu. Nevýhodou pak může být fakt, že ve skutečnosti nevíte, kde Vaše data jsou a zda k nim nemůže získat přístup někdo cizí. O to více pak u těchto služeb záleží na zkušenosti uživatele ve správné volbě zabezpečení všech online účtů.
NAS s pokročilými funkcemi zálohování
Nejpokročilejší a nejuniverzálnější metodou zálohování je využití NAS disku (např. Synology). Jeho obrovskou výhodou je univerzálnost použití a maximální kontrola nad způsobem a zpracováním záloh. K zálohování doporučuji používat některý z oficiálních programů přímo od výrobce a nepoužívat zálohu na permanentně namapovaný síťový disk. Jakýkoliv způsob zálohy, kde jsou zálohovaná data permanentně dostupná ke čtení a zápisu nechrání před útokem Ransomware. Nejlepším řešení je pak kombinace několika stupňů zálohy v podobě např. automatických rozdílových záloh se zapnutou historií změn. Díky tomu nepřijdete ani o omylem smazané nebo přepsané soubory.
Chtěli byste mít data v bezpečí a nevíte kde začít?
Nastavit vše správně může pro lajka být velký oříšek. Nechte si poradit. Zálohy souborů jsme pomohli nastavit již řadě domácností i firem. Pomůžeme vám vybrat a nastavit to správné řešení právě pro Vás. Kontakt
Tento web používá cookies. Budeme rádi, pokud nám to schválíte kliknutím na “Povolit vše”. Samozřejmě můžete v "Nastavení cookies" ručně vybrat jaké služby chcete povolit.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Délka
Popis
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
