Todos sabemos da necessidade, da obrigação do administrador em fazer o dever de casa (Atualizar os equipamentos, aplicar patch de segurança, alterar portas padrão de acesso, usar senhas fortes, criar restrição via ACL ou Firewall).
Quem não o faz, provavelmente enfrenta problemas.
Abaixo listo as Vulnerabilidades recentes da Mikrotik:
- Vulnerability VPNFilter afeta MK nas versões até a 6.37.4 (Bugfix) ou 6.38.4 (Current).
- Vulnerability SMB Buffer Overflow afeta MK nas versões até a 6.40.6 (Bugfix) ou 6.41.2 (Current).
- Vulnerability Exploiting the Winbox Port afeta MK nas versões até a 6.40.7 (Bugfix) ou 6.42 (Current).
- Vulnerability Winbox Authentication Bypass afeta todas as versões da 6.29 até a 6.42 (Current).
Quando se tem 1, 5, 10 equipamentos.... fica fácil atualizar.
O problema é quando se tem 50, 100 ou mais equipamentos.
O processo é demorado e cansativo.
Segue um script para atualização em massa.
O script desativa alguns serviços raramente usados (ftp,www-ssl,api-ssl), desativa alguns pacotes raramente usados (calea, gps, ups, tr069-client).
Desativa o "bandwidth-server", "DNS Server", "proxy", "socks" e "UPNP".
E principalmente, ativa o rp-filter como loose (caso deseje saber mais sobre o rp-filter, leia https://bcp.nic.br/antispoofing)
Por fim, verifica se precisa atualizar o Mikrotik ou não.
Para usar o script, siga os passos abaixo:
- Descompacte o arquivo "AutoUpdate Mikrotik (SSH).zip"
- Com o bloco de notas, edite o arquivo "start update mikrotik.bat"
- Substitua:
- - PORTASSHAQUI pela porta ssh que você usa em sua rede
- - USERAQUI pelo seu usuario FULL que você usa para acesso
- - SENHAAQUI pela senha desse usuario FULL.
- Com o bloco de notas, edite o arquivo "hosts.ini", e coloque o IP de acesso aos seus Mikrotik. (Um IP por linha)
- Execute o arquivo "start update mikrotik.bat"
- Pronto... o script cuidara de acessar cada um desses IPs configurados e irá aplicar o script.
Eu poderia ter acrescentado nesse script algumas outras configurações avançadas, tais como:
- desativar serviços n usados e alterar portas dos demais serviços.
- ativar rp-filter strict nos CE ao invés de loose,
- colocar acl de acesso aos serviços,
- firewall bloqueando portas vulneráveis ou amplificadoras,
- bloqueio externo a portas de gerencia,
- outros....
Mas isso depende de rede para rede.
Então optei por colocar apenas algumas config padrão que considero semelhante na maioria das redes.
Edit:
Nova versão do script no post:
https://under-linux.org/showthread.p...l=1#post834196
Fonte:
https://forum.mikrotik.com/viewtopic.php?t=5339
https://forum.mikrotik.com/viewtopic.php?t=102734