Página 1 de 6 12345 ... ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Backup e Atualização em massa MK e UBNT

    Todos sabemos da necessidade, da obrigação do administrador em fazer o dever de casa (Atualizar os equipamentos, aplicar patch de segurança, alterar portas padrão de acesso, usar senhas fortes, criar restrição via ACL ou Firewall).

    Quem não o faz, provavelmente enfrenta problemas.

    Abaixo listo as Vulnerabilidades recentes da Mikrotik:

    • Vulnerability VPNFilter afeta MK nas versões até a 6.37.4 (Bugfix) ou 6.38.4 (Current).
    • Vulnerability SMB Buffer Overflow afeta MK nas versões até a 6.40.6 (Bugfix) ou 6.41.2 (Current).
    • Vulnerability Exploiting the Winbox Port afeta MK nas versões até a 6.40.7 (Bugfix) ou 6.42 (Current).
    • Vulnerability Winbox Authentication Bypass afeta todas as versões da 6.29 até a 6.42 (Current).


    Quando se tem 1, 5, 10 equipamentos.... fica fácil atualizar.
    O problema é quando se tem 50, 100 ou mais equipamentos.
    O processo é demorado e cansativo.

    Segue um script para atualização em massa.

    O script desativa alguns serviços raramente usados (ftp,www-ssl,api-ssl), desativa alguns pacotes raramente usados (calea, gps, ups, tr069-client).
    Desativa o "bandwidth-server", "DNS Server", "proxy", "socks" e "UPNP".
    E principalmente, ativa o rp-filter como loose (caso deseje saber mais sobre o rp-filter, leia https://bcp.nic.br/antispoofing)
    Por fim, verifica se precisa atualizar o Mikrotik ou não.

    Para usar o script, siga os passos abaixo:


    1. Descompacte o arquivo "AutoUpdate Mikrotik (SSH).zip"
    2. Com o bloco de notas, edite o arquivo "start update mikrotik.bat"
    3. Substitua:
      • - PORTASSHAQUI pela porta ssh que você usa em sua rede
      • - USERAQUI pelo seu usuario FULL que você usa para acesso
      • - SENHAAQUI pela senha desse usuario FULL.

    4. Com o bloco de notas, edite o arquivo "hosts.ini", e coloque o IP de acesso aos seus Mikrotik. (Um IP por linha)
    5. Execute o arquivo "start update mikrotik.bat"
    6. Pronto... o script cuidara de acessar cada um desses IPs configurados e irá aplicar o script.



    Eu poderia ter acrescentado nesse script algumas outras configurações avançadas, tais como:
    - desativar serviços n usados e alterar portas dos demais serviços.
    - ativar rp-filter strict nos CE ao invés de loose,
    - colocar acl de acesso aos serviços,
    - firewall bloqueando portas vulneráveis ou amplificadoras,
    - bloqueio externo a portas de gerencia,
    - outros....

    Mas isso depende de rede para rede.
    Então optei por colocar apenas algumas config padrão que considero semelhante na maioria das redes.

    Edit:
    Nova versão do script no post:
    https://under-linux.org/showthread.p...l=1#post834196

    Fonte:
    https://forum.mikrotik.com/viewtopic.php?t=5339
    https://forum.mikrotik.com/viewtopic.php?t=102734
    Última edição por AndrioPJ; 13-08-2018 às 20:19.

  2. #2

    Padrão Re: Atualização em massa

    Boa AndrioJP, Parabéns irmão!



  3. #3
    André Andrade*MikrotikRio Avatar de interhome
    Ingresso
    Oct 2008
    Localização
    Brasil.
    Posts
    1.111
    Posts de Blog
    15

    Padrão Re: Atualização em massa

    Parabéns pela iniciativa.

  4. #4

    Padrão Re: Atualização em massa

    Obrigado



  5. #5

    Padrão Re: Atualização em massa

    cara ja cliquei n *. Muito boa a iniciativa

  6. #6

    Padrão

    Segue em anexo nova versão do script
    - Não precisa mais abrir o cmd para executar o script, depois de editar o host.ini com seus IPs e de alterar a porta/usuario/senha (conforme descrito acima), ai basta executar o "start update mikrotik.bat".
    - Adicionado no script o parâmetro para aceitar o HostKey SSH automaticamente.
    - Corrigido um erro na verificação de versão do Mikrotik.