vc que ta misturando as coisas
ataque é uma coisa se defende com firewall
explorar falha de segurança pode se defender no firewall desde que vc saiba a onde esta a falha
Versão Imprimível
vc tem certeza de quem trata o endereçamento de ip é o firewall ????
opa desculpa tava com o skype ligado no escritorio e estou em casa
kkk não adianta eu devo não estar sabendo explicar
puts o home alem de falar que ele trabalha com uma rede separada para gerencia nos ubnt
uma rede privada ai não tem como a falha de segurança afetar ele
mais quando o ip publico é o mesmo de gerencia o firewall não vai proteger de falha de segurança
a solução é bem simples
trabalhar com ip de gerencia diferente do ip de conexão eu trabalho assim e o ardido ai tb porem ninguém comentou como trabalhava
acontece que se vc usar o ip publico pra gerencia vc esta refém de falhas do fabricante
se tu usar ip privados com firewall no core pra gerencia vc ta sossegado
@Bruno desiste cara, na boa eu estou com vergonha alheia dele, ele não tem conhecimento suficiente para entender o que você quer explicar. E quanto mais ele escreve, mais vergonha passa.
@ShadowRed Eu ia falar a mesma coisa, mas ja que você já disse!!! Bom, se a própria UBNT já reconheceu o problema, como que nosso amigo ai vem falar que a culpa é nossa. A verdade é que essas falhas já viraram rotina nessa empresa, antes era só problema no hardware e agora é no software.
Sim, entendi, então bloqueia os acessos externos a porta 22, 23, 80 e 443 vindos do link, ou seja semelhante a regra de bloqueio de ataques DNS, em IP > firewall > filter e então permitir somente o IP's desejado a acessa-las.. Valeu vou postar o script e cabar com a briga.
Vixe, o tópico andou de ontem pra cá, não quero alimentar trols, mas rpassistencia, vc desrespeitou vários colegas de fórum, se quer respeito, trate seus colegas com respeito e assim terá respeito em outros tempos vc ja teria sido banido daqui.
Concordo com Bruno em vários pontos, nao adianta tratar a borda se o ataque vem de dentro, creio que a solução seria através de VRF de serviço, mas dai teria que ta com a rede com OSPF, MPLS, BGP e VRFs migrada, o que creio nao seja ao cenário da maioria dos provedores, e outra, tenho varias SXT na rede e nunca tive problemas, meritos do fabricante(Mikrotik). Mas o assunto e longo e tem muito pano pra manga. Vamos continuar debatendo mas RESPEITANDO os colegas.
Rapaz, messa as palavras. O @Bruno conheço a alguns anos e sinceramente até agora o cara é muito bom no que faz, não é babando ou até mesmo coisa de fã boi mas o cara é bom mesmo. :)
Bom dia, rapaz já vi aberrações mais igual esta daqui foi a gota d'água!
"sistema bom pode deixa a interface de gerenciamento aberta não tem ataque que invada"
Eu como profissional em segurança da informação estou chocado com tanta candura, mais respeito sua opinião.
Seguimos...
Caro colega, engano seu pensar que a Mikrotik é absoluta, para titulo de informação veja: https://wikileaks.org/ciav7p1/index.html.
Entenda uma coisa, nada é absoluto! mais a gente pode dificultar sim a entrada dos mais diversos tipos de ataque.
Abraço
Caro Bruno, em momento nenhum a ubiquiti deixa falha de segurança, não nesta última notícia divulgada por eles, se é esperto vai entender o motivo do novo ataque.
Não defendo nem "a" e nem "b", mais se você analisar bem a ubiquiti divulgou um alerta falando que o Malware NÃO É ESPECÍFICO PARA O EQUIPAMENTO UBIQUITI e muito menos bug deles, apenas um botnet agressivo que compromete dispositivos de camera IP, DVR e etc... Sendo assim, o comunicado feito adverte os VETORES de ataque do botnet que são: Brute force de login e senha "fracas" e uma vulnerabilidade de dispositivos linux antiga!
Volto a frisar novamente! NADA É ABSOLUTO! qualquer fabricante esta vulnerável e eu posso provar isso pra você.
Até breve!
Boa noite para quem tem asn a melhor solução é de cara bloqueio dá porta 22 utp e TCP direto no Bgp com isto inibe o primeiro ataque nao vai ter nenhum técnico de ti incomodado reclamando desta porta com isto o programa que roda o vírus nao inicia ok e vocês tem que desabilitar a chave de ssh em baixo dá opção de ativar o ssh com isto nao tem como o vírus ser estalado vou postar mais tarde ums print de como resolvo isto em minha rede e nao estou atualizando o rádio para 6.03 meus rádios estão quase todos na 5.6.9 a versão 6.0x tem tem troca do quernel e umas falha de segurança logo compartilho com vocês braço
Aplicar regras de bloqueios no firewall para os serviços vulneráveis, só ter acesso por determinados IPs e manter os equipamentos ubiquiti isolados uns dos outros na rede, é básico e não precisa desse barulho todo não amigo.
O única coisa que eu vi em todas as suas postagens, foi você falando que firmwares acima da versão 5.6.4 não aceitava mais CT, e um usuário aqui do fórum mostrar que era possível e te ensinar, até agora só vi você recebendo informações.
Se quer defender o fabricante fique a vontade, se quiser ajudar e for algo diferente do que já foi descrito, poste suas regras.
Isso aqui é uma comunidade que troca informações e não fica falando que faz e acontece sem mostrar.
E se você não consegue explicar porque um equipamento ubiquiti é mais vulneráveis que outras marcas na mesma rede, fica difícil acreditar no seu conhecimento absurdo em segurança da informação.
No mais, não estou falando com você em tom agressivo, estou mostrando minha posição nesse assunto apenas.
E no fórum da ubiquiti tem o script que escaneia os equipamentos, remove o vírus e aplica o firmware que corrige a falha mais grave.
Para essa nova falha no firmware que aceita o brutal-force e não tem como ativar a proteção no próprio firmware, só resta bloquear no firewall e torcer para o usuário não executar o script malicioso de dentro de sua rede doméstica.
Aqui o que faço é usar o firmware 5.5.6 e rodar um script em iptables fazendo basicamente o que o mikrotik faz com dois cliques, permitir apenas os IPs que quero que acessem os serviço, tanto da LAN como da WAN.
Coisa que a ubiquiti já deveria ter implementado de forma nativa. Mas mesmo assim ainda tem risco, pelo simples fato dessa versão de kernel que ela usa ser vulnerável.
Não tenho problemas usando elas dessa forma, mas isso foi uma alteração que eu efetuei em cima de uma falha grotesca que o fabricante possui.
Muita teoria por aqui...