Víte, kam aktuálně teče ve vaší síti nejvíce dat, kolik máte připojených klientů, zda všechny prvky v síti fungují nebo kdy přesně vypadl internet? Pokud používáte datovou síť k podnikání a chcete mít přesné a aktuální informace o stavu sítě, musíte použít nějaký monitorovací nástroj. Já osobně již mnoho let používám sw běžící na mém domácím Mikrotik routeru – The DUDE.
The DUDE
The DUDE je mocný nástroj, který Mikrotik poskytuje zdarma pro určité modely svých routerů. Dlouho jsem ho měl nainstalovaný na RB750v3 , který stojí kolem 1500Kč a svým poměrem cena/výkon/funkce nemá konkurenci. Instalace je snadná – pokud to Váš model Mikrotik routeru podporuje, na stránce https://mikrotik.com/download jednoduše stáhnete balíček dude a nainstalujete ho na svůj router (u modelů s malou flash doporučuji instalovat na mikro SD kartu – stačí klidně 8GB). Pak už si jen stáhnete klienta do PC a spojíte se s Vaším routerem. Dude nabízí automatické vyhledání zařízení v síti, případně můžete zařízení přidat ručně.
Sběr dat
The Dude dokáže sledovat dostupnost zařízení a služeb na nich, sbírat SNMP informace, logy, vyčítat aktuální vytížení CPU, sílu signálu wifi spojů, počet připojených uživatelů, množství přenesených dat a mnoho dalšího.
Při výpadku zařízení nebo služby dokáže poslat e-mail s notifikací, pro každou sledovanou IP nabízí přehledný log se všemi výpadky. Díky podpoře SNMP můžete zaznamenávat jakýkoliv parametr v čase, jako např. teplotu CPU, sílu signálu, počet připojených uživatelů a mnoho dalšího.
Mocný nástroj při vyjednávání s poskytovatelem internetu
Váš internetový poskytovatel vám už nebude moci tvrdit, že u něho výpadky nejsou. Pokud budete monitorovat dostupnost některé z veřejně dostupných serverů (seznam, google atp.) získáte ucelený přehled o všech výpadcích vašeho internetového připojení.
Chtěli byste také vytěžit ze své sítě maximum?
Mikrotik je úžasné zařízení s neuvěřitelnými možnostmi. Jeho konfigurace ale může pro nezkušené uživatele znamenat velký oříšek. Netrapte se s nastavováním pokus-omyl, nechte si router odborně nakonfigurovat. Kontakt
Mikrotik routery nabízí v základní konfiguraci celkem efektivní firewall. Jeho hlavním cílem je blokovat všechna nově příchozí spojení z internetu a zároveň umožnit nerušenou komunikaci z lokální sítě směrem do internetu.
Základní firewall
Firewall v továrním nastavení má jen několik statických pravidel:
/ip firewall filter add action=accept chain=input comment=“defconf: accept established,related,untracked“ connection-state=established,related,untracked add action=drop chain=input comment=“defconf: drop invalid“ connection-state=invalid add action=accept chain=input comment=“defconf: accept ICMP“ protocol=icmp add action=accept chain=input comment=“defconf: accept to local loopback (for CAPsMAN)“ dst-address=127.0.0.1 add action=drop chain=input comment=“defconf: drop all not coming from LAN“ in-interface-list=!LAN add action=accept chain=forward comment=“defconf: accept in ipsec policy“ ipsec-policy=in,ipsec add action=accept chain=forward comment=“defconf: accept out ipsec policy“ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment=“defconf: fasttrack“ connection-state=established,related add action=accept chain=forward comment=“defconf: accept established,related, untracked“ connection-state=established,related,untracked add action=drop chain=forward comment=“defconf: drop invalid“ connection-state=invalid add action=drop chain=forward comment=“defconf: drop all from WAN not DSTNATed“ connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment=“defconf: masquerade“ ipsec-policy=out,none out-interface-list=WAN
Tento základní firewall je dostačující pro většinu uživatelů. Nedokáže ale aktivně reagovat na případné útoky z internetu ve chvíli, kdy je Mikrotik dostupný skrz veřejnou IP.
Pokročilejší firewall
Přidáním několika málo pravidel můžeme zvýšit zabezpečení detekcí a blokováním Port scannerů a Syn flood útoků.
/ip firewall filter add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input comment=“Add Syn Flood IP to the list“ connection-limit=30,32 disabled=no protocol=tcp tcp-flags=syn add action=drop chain=input comment=“Drop to syn flood list“ disabled=no src-address-list=Syn_Flooder add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment=“Port Scanner Detect“disabled=no protocol=tcp psd=21,3s,3,1 add action=drop chain=input comment=“Drop to port scan list“ disabled=no src-address-list=Port_Scanner add action=accept chain=input comment=“defconf: accept established,related,untracked“ connection-state=established,related,untracked add action=drop chain=input comment=“defconf: drop invalid“ connection-state=invalid add action=accept chain=input comment=“defconf: accept ICMP“ protocol=icmp add action=accept chain=input comment=“defconf: accept to local loopback (for CAPsMAN)“ dst-address=127.0.0.1 add action=drop chain=input comment=“defconf: drop all not coming from LAN“ in-interface-list=!LAN add action=accept chain=forward comment=“defconf: accept in ipsec policy“ ipsec-policy=in,ipsec add action=accept chain=forward comment=“defconf: accept out ipsec policy“ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment=“defconf: fasttrack“ connection-state=established,related add action=accept chain=forward comment=“defconf: accept established,related, untracked“ connection-state=established,related,untracked add action=drop chain=forward comment=“defconf: drop invalid“ connection-state=invalid add action=drop chain=forward comment=“defconf: drop all from WAN not DSTNATed“ connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment=“defconf: masquerade“ ipsec-policy=out,none out-interface-list=WAN
U tvorby pokročilejšího firewallu je třeba brát ohled na výpočetní výkon Mikrotik routeru. Příliš komplexní firewall může mít negativní dopad na na celkovou propustnost sítě, pokud není router dostatečně výkonný.
Inteligentní firewall
Jakmile používáte svůj router k podnikání či máte veřejnou IP k přístupu k vlastním službám, je důležité věnovat IT bezpečnosti zvýšenou pozornost. Vzhledem k možnostem dnešních hackerů není problém zjistit služby, které na vaší síti provozujete – ať už je to VPN server nebo domácí cloud atp. Pokud máte nějaký port otevřený směrem do internetu, je prakticky jisté, že se někdo pokusí jej prolomit. V dnešní době není už bohužel efektivní používat klasické brute-force protection metody. Útočníci postupně mění zdrojové IP a brute-force útok klasicky probíhá dlouhodobě. Pokud tedy detekujeme zdrojovou adresu, která se snaží uhodnout přihlašovací údaje a zablokujeme ji, nijak si nepomůžeme. Níže je příklad automatizovaného dlouhodobého útoku na Mikrotik Router. Je z něj vidět, že každý pokus o prolomení hesla jde z jiné IP a mezi jednotlivými pokusy je relativně dlouhá doba.
Je tedy třeba tyto IP blokovat dříve, než se pokusí o prolomení našich hesel. Kompromitované zdrojové adresy jsou reportovány např. na webu https://www.abuseipdb.com. První IP z našeho příkladu výše: 78.128.113.66 je se 100% jistotou kompromitovaná. Tudíž je vhodné ji zablokovat.
Jak to ale udělat ještě před tím, než se někdo z této IP pokusí o prolomení Vašeho routeru? Pouhé vytvoření statického seznamu kompromitovaných IP nestačí. Nejenže přibývají nové IP, ale odstraněné hrozby je třeba odmazávat z blacklistu. Na svém serveru každou hodinu aktualizuji seznam kompromitovaných adres a na routerech svých klientů dynamicky aktualizuji list zakázaných IP. V kombinaci s detekcí port scannerů a několika honeypoty pro včasné odhalení automatizovaných útoků se jedná o nejlepší ochranu proti útokům zvenčí.
Vzhledem ke komplexnosti řešení nepublikuji veřejně způsob získávání seznamu. Pokud máte zájem o zabezpečení Vašeho routeru, napište si pro individuální nabídku.
Sháníte externí firmu pro správu Mikrotik systému?
Mikrotik je úžasné zařízení s neuvěřitelnými možnostmi. V základní konfiguraci je vcelku bezpečný. Pokud jej ale používáte k podnikání, je důležité věnovat maximální pozornost IT security. Netrapte se s nastavováním pokus-omyl, nechte si router odborně nakonfigurovat a případně i dlouhodobě spravovat. Kontakt
RoMON (Router Management Overlay Network) je skvělá funkce Mikrotiku, jak elegantně a snadno přistupovat přes L2 k jinak nedostupným Mikrotik routerům.
Já ji využívám ve chvíli, kdy mám za firewallem více Mikrotik zařízení a minimálně jedno z nich napojený VPN tunelem do mého routeru. Pak se stačí ve Winboxu připojit skrz RoMON do hlavního routeru a zobrazí se všechna zařízení na L2, které mají v /tool romon zapnutou tuto funkci. K nim se pak lze přímo napojit přes winbox.
Někdy se ale může stát, že se winbox „zasekne“ v RoMON módu a neumožní připojení nikam.
K vyřešení tohoto problému je třeba najít a smazat soubor *\AppData\Roaming\Mikrotik\Winbox\settings.cfg.viw
POTŘEBUJETE POMOC?
Mikrotik je úžasné zařízení s neuvěřitelnými možnostmi. Jeho konfigurace ale může pro nezkušené uživatele znamenat velký oříšek. Netrapte se s nastavováním pokus-omyl, nechte si router odborně nakonfigurovat. Kontakt
Jsou instalace, kdy je nezbytně nutné zajistit nepřetržitou funkčnost internetového připojení (např. obchod přijímající platební karty, hotely s online rezervačním systémem, zabezpečovací zařízení atp.). Za tímto účelem se používají záložní internetové přípojky, které se automaticky využijí v případě výpadku primárního připojení. Hlavní router musí tedy podporovat duální WAN a aktivně kontrolovat funkčnost primární linky. Jak tuto funkcionalitu nastavit na Mikrotiku?
Jednoduchý failover
V našem příkladu máme 2 WAN linky s následujícími Default GW:
Toto je nejsnazší způsob, který zajistí routování přes záložní linku v případě, kdy nefunguje ping na Default GW primární linky.
Nevýhodou tohoto postupu je fakt, že detekuje pouze nedostupnost default GW, což pokrývá případy, kdy je např. vypadlý kabel k primárnímu routeru. Tato metoda ale nedokáže detekovat chybu na trase (např. pokud poskytovatel primárního připojení provádí údržbu sítě).
Rekurzivní failover
Pro úplnou detekci výpadku linky je třeba kontrolovat spojení dál než jen k nejbližší default GW. Tzv. rekurzivní routa dokáže kontrolovat dostupnost libovolné veřejné IP adresy (oblíbené jsou IP adresy patřící google, např: 1.1.1.1, 1.1.2.2) a díky tomu detekovat i závady na infrastruktuře poskytovatele internetového připojení.
První příkaz nastaví cestu k veřejné adrese 1.1.1.1 přes Primární linku – GW 192.168.1.1. Router vždy použije tuto linku ke kontrole dostupnosti adresy 1.1.1.1. Na dalším řádku definujeme novou default GW pro primární linku 1.1.1.1. Toto nastavení se nazývá rekurzivní routa, protože přebírá status a reálnou default GW ze statické routy na veřejnou IP.
Vlastní failover
Rekurzivní failover je velmi efektivní řešení pro detekci výpadku primární linky. I zde jsou určité limity. Např. perioda testu se nedá ovlivnit – může se tedy stát, že pravidelný ping bude detekován jako pokus o ICMP DDoS a komunikace může být zablokována. Nebo dojde k výpadku IP proti které se testuje. Linka je pak falešně-pozitivně prohlášena jako nefunkční, přestože je problém jinde. Dalším problémem je pak primární linka vytáčená přes PPPoE. Zde není možné použít rekurzivní failover.
Z výše zmíněných důvodů je nejbezpečnější naprogramovat si vlastní pravidla pro failover. Díky tomu lze eliminovat všechny neduhy rekurzivního failoveru.
:local HOST1 „8.8.4.4“ :local HOST2 „1.1.1.1“ :local PINGCOUNT „3“ :local RESPONSE1 [/ping $HOST1 interval=1 count=$PINGCOUNT] :local RESPONSE2 [/ping $HOST2 interval=1 count=$PINGCOUNT] :local DISTANCE [/interface pppoe-client get Internet default-route-distance] :if ($RESPONSE1 = 0 && $RESPONSE2 = 0) do={ :log error „Internet is DOWN“ :if ($DISTANCE = 1) do={ :log info „Setting Internet Default route distance = 5“ /interface pppoe-client set Internet default-route-distance=5 }} :if ($RESPONSE1 = $PINGCOUNT || $RESPONSE2 = $PINGCOUNT) do={ :log info „Internet is UP“ :if ($DISTANCE = 5) do={ :log info „Setting Internet Default route distance = 1“ /interface pppoe-client set Internet default-route-distance=1 }}
Tento příklad kontroluje dostupnost 2 veřejných IP. Skript lze spouštět v libovolných intervalech tak, aby se zamezilo případné detekci ICPM DDoS. Při implementaci je třeba na FW a v routing table zajistit, aby testované IP vždy odcházely pouze přes primární linku.
Pozor na IP telefony
Po přepnutí linky může dojít k tomu, že IP telefony s vytvořeným SIP spojením k poskytovateli nebudou dostupné. Řešení je popsáno v tomto příspěvku.
Potřebujete pomoc?
Mikrotik je úžasné zařízení s neuvěřitelnými možnostmi. Jeho konfigurace ale může pro nezkušené uživatele znamenat velký oříšek. Netrapte se s nastavováním pokus-omyl, nechte si router odborně nakonfigurovat. Kontakt
Velká obliba zařízení od litevské firmy Mikrotik spočívá v bezkonkurenční univerzálnosti těchto zařízení. Zkušený uživatel dokáže ze zařízení za několik stokorun vykouzlit router, switch, WiFi kontroler, firewall mnoho dalšího. Dnes si ukážeme jednu u nejjednodušších, konfigurací – L2 switch.
Konfigurace přes winbox
Winbox je nástroj, který jsem si ihned od začátku zamiloval. Stáhnete jej na oficiálních stránkách výrobce. Jedná se o malý spustitelný soubor, který nevyžaduje instalaci. Jeho obrovskou výhodou je to, že po spuštění zobrazí všechna dostupná zařízení (pouze Mikrotik) a k vlastní konfiguraci umí použít komunikaci na úrovni MAC adresy. Mikrotik tedy budete schopni konfigurovat i ve chvíli, kdy nemá IP adresu.
Základní přístupové jméno je „admin“ a prázdné heslo. Heslo byste si samozřejmě měli nastavit, jakmile bude konfigurace dokončena.
Vytvoření Bridge
Switch se v Mikrotiku konfiguruje velmi jednoduše – přes Bridge. V prvním kroku vytvoříte jeden nebo více Bridgů. Bridge je virtuální interface, který může mít svoji IP.
Vytvoření Bridge s názvem „LAN“
Přiřazením fyzických portů pod tento interface dojde k jejich propojení na L2 – čili vytvoření switche. Přepněte na záložku „Ports“ a kliknutím na přidat vyberte postupně porty, které chcete přiřadit ke stejnému Bridge – tedy které budou tvořit switch.
Přiřazení portu k Bridge „LAN“
Stále se nedaří?
Domácí i firemní sítě nejen na platformě Mikrotik jsme nastavili již bezmála dvěma stům zákazníků. Netrapte se sami s konfigurací a nechte si poradit od specialistů. Kontakt
Tento web používá cookies. Budeme rádi, pokud nám to schválíte kliknutím na “Povolit vše”. Samozřejmě můžete v "Nastavení cookies" ručně vybrat jaké služby chcete povolit.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Délka
Popis
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
