Novo ataque ao MikroTik – SYSADMINPXY

Por: Infor Extreme

Novo ataque ao MikroTik – SYSADMINPXY

O ataque faz um acesso a RB “RouterBoard” cria algumas regras no RouterOS para conseguir alguns dados e usar posteriormente. Atualizando sua RB você protege seu equipamento e claro é necessário também por boa prática realizar algumas outras configurações.

Ele baixa um arquivo chamado mikrotik.php e executa algumas

Na versão 6.40.8 na BugFix já tinha a correção contra este tipo de ataque.

Dica:  Atualize sua RB para a versão mais nova!

Como remover as regras do Atacante
Abaixo é um script para te ajudar  a remover as regras do atacante.

/ip firewall filter remove [ find comment~”sysadminpxy”];

/ip firewall nat remove [ find comment~”sysadminpxy”];

/ip firewall nat remove [ find comment~”lhrelay”];

/system scheduler remove [ find name~”Auto”];

/file remove [find name ~”sn”];

/file remove [find name ~”bfu”];

/file remove [find name ~”a113″];

/user remove [find name=ftu];

/user group remove [find name=ftpgroupe];

/ip cloud set ddns-enabled=no;

/ip proxy set enabled=no

Dica Mikrotik

NAT e redirecionamento de portas no Mikrotik

em Mikrotik /por inforExtreme

NAT e redirecionamento de portas no Mikrotik são partes relacionadas com o Firewall do RouterOS, como tal, essas opções devem ser configuradas com precaução. No tutorial abaixo vou explicar tudo o que deverá ser configurado para atingir este objetivo. Não siga apenas as instruções, leia o texto para que você realmente entenda o que está fazendo e não corra o risco de perder acesso à RouterBoard caso faça algo errado.

O NAT do Mikrotik funciona de duas maneiras distintas src-nat e dst-nat, ambas para operações bastante diferentes. De forma resumida: src-nat serve para modificar o endereço da origem (source) no cabeçalho do IP dos pacotes; dst-nat modifica o endereço de destino (destination) no cabeçalho do IP dos pacotes.

Uma utilização comum de src-nat, seria para utilizar a função “masquerade” (mascarar) e permitir que dispositivos dentro de uma rede privada possam sair para a Internet com o endereço IP do equipamento que está fazendo esse tipo de NAT, ou melhor, para economia de endereços IPv4. Já para dst-nat, normalmente utilizamos de forma inversa, ou seja, permitir que determinadas portas sejam redirecionadas da rede pública para determinado endereço IP e porta(s) da rede privada.

Este é um assunto bastante interessante, porém, requer que você tenha pelo menos algum conhecimento sobre redes de computadores para que consiga atingir seu objetivo. Por outro lado, a configuração é tão simples quanto clicar em alguns botões dentro do Winbox (ou no terminal se preferir ou precisar).

Vamos ver as duas formas para criar NAT e redirecionamento de portas no Mikrotik logo abaixo.

NAT Masquerade (src-nat)

Conforme descrito, o src-nat masquerade serve para fazer com que endereços IP da rede privada saiam para a Internet utilizando apenas o IP do roteador que está fazendo o NAT. Basicamente, os computadores clientes fazem a requisição para o roteador; este se encarrega de alterar o IP de origem no cabeçalho do pacote e envia tal requisição para o destino com seu próprio endereço IP. Quando o pacote retornar do seu destino, o roteador saberá para qual endereço IP da sua rede interna deverá entregar o pacote.

Para configurar esse tipo de NAT no Mikrotik, siga os passos abaixo:

Abra o Winbox e acesse “IP” – “Firewall”, em seguida clique na aba “NAT” e no símbolo de + (mais) para adicionar uma nova regra.

Exemplo de configuração de src-nat no Mikrotik

Conforme a imagem acima, configure da seguinte maneira a aba “General”:

• Chain = src-nat (obrigatório)
• Src. Address = Endereço da rede ou IP que deseja mascarar (opcional)
• Out. Interface = Interface pela qual os pacotes deverão ser enviados

Perceba que os campos “Src. Address” e “Out. Interface” são obrigatórios, porém a não utilização desses campos poderá afetar algumas coisas na sua rede. Por exemplo: deixando o campo “Src. Address” em branco, irá mascarar toda a rede que passar pelo roteador, não importa qual o IP. Isso pode um tipo de NAT útil quando você souber que toda a rede interna deverá ser mascarada, por exemplo, em uma empresa com várias redes privadas separadas. Já para “Out. Interface”, pode ser que algumas redes da sua rede saiam por uma Interface e outras por outra, neste caso, se você não selecionar qual a interface de saída, poderá ter problemas. Este recurso não precisa ser configurado caso o roteador só tenha uma saída para a Internet.

Agora vamos para a aba “Action”:

Ação “Masquerade”

Na aba “Action”, selecione a opção “masquerade”, conforme a imagem acima mostra.

Depois de realizar a configuração acima, clique em “OK” e pronto.

src-nat configurado

Agora vamos ver como realizar o redirecionamento de portas.

Redirecionamento de portas no Mikrotik(dst-nat)

O dst-nat é utilizado para modificar o endereço de destino do cabeçalho de um pacote. Neste caso, um pacote chega endereçado ao roteador e este se encarregará de reenviar tal pacote para o endereço e porta(s) de um endereço dentro de sua rede interna. Este é o famoso “Redirecionamento de portas” ou “Port forwarding” dos roteadores comuns.

Para configurar o dst-nat, siga os passos abaixo:

Abra o Winbox e acesse “IP” – “Firewall”, em seguida clique na aba “NAT” e no símbolo de + (mais) para adicionar uma nova regra.

Dentro da janela que foi aberta, configure o seguinte:

Configuração de dst-nat

Conforme a imagem acima, configure da seguinte maneira:

• Chain = dst-nat (obrigatório)
• Protocol = O protocolo que deseja (recomendado)
• Dst. Port = O número da porta ou range de portas que deseja redirecionar (obrigatório)
• In. Interface = A Interface pela qual a requisição deverá chegar (opcional)

Perceba que para dst-nat, quanto mais informações você prover para o Mikrotik, melhor. Isso porque se você deixar de configurar o “Protocol”, todos os protocolos serão redirecionados; Se deixar de configurar a porta ou o range de portas, todas as portas serão redirecionadas; In. Interface é recomendado, salvo em casos onde a rede pode vir de apenas uma porta do roteador.

Agora vamos para a aba “Action”.

Aba Action de um dst-nat

Para a aba “Action”, configure o seguinte:

• Action = dst-nat
• To Addresses = O(s) endereço(s) que deseja direcionar os pacotes
• To ports = A porta ou o range de portas que deseja redirecionar

Obs.: No exemplo acima, estou redirecionando a porta 3306 para um servidor da rede interna. Tal porta é utilizada pelo servidor MySQL.

Dica Mikrotik

Configurando DHCP Server no Mikrotik

Configurar um DHCP Server no Mikrotik não tem muito segredo, se você entende pelo menos um pouco sobre redes, não terá nenhuma dificuldade em configurar o Dynamic Host Configuration Protocol  ou Protocolo de configuração dinâmica de host.

Existem duas maneiras para que você possa configurar efetivamente um DHCP Server no Mikrotik: utilizando um wizard que faz tudo automaticamente por você ou fazendo tudo manualmente. Neste tutorial você vai aprender a fazer a configuração utilizando as duas maneiras.

Além disso, também vou mostrar como adicionar endereços estáticos para que o servidor DHCP ofereça sempre o mesmo endereço para determinado MAC Address. Isso será útil para a configuração de servidores e equipamentos que não podem ter seu endereço IP alterado.

Enfim, vamos falar sobre praticamente tudo o que você precisa saber antes de configurar um servidor DHCP no seu Mikrotik, e o melhor, o motivo pelo qual você está configurando tal propriedade.

Então vamos lá!

DHCP Server no Mikrotik

Vamos utilizar o Winbox, que é um programa proprietário da Mikrotik e que o pessoal utiliza para configurar suas RouterBoards. A versão do Winbox utilizado no tutorial é a v3.0rc12, que pode ser encontrada na página de downloads do site da Mikrotik.

A RouterBoard (ou RB) utilizada para todo o processo será uma RB433 na versão 6.29.1 do RouterOS. Tal versão também pode ser encontrada na página de downloads do site da Mikrotik.

Adicionando um IP

Adicione um endereço de IP na interface da RouterBoard que disponibilizará os endereços dos computadores da rede. Este endereço IP será o gateway da sua rede.

Para adicionar, clique em “IP” -> “Addresses” -> no sinal de mais (+) azul. Na nova janela que abriu, coloque o endereço/máscara de sub-rede. Para o meu exemplo, vou adicionar 192.168.2.1/24 (essa máscara tem o endereço 255.255.255.0 e suporta até 254 hosts).

Em “Interface”, escolha a interface que está conectada aos computadores clientes, como mostro na imagem abaixo:

Adicionando IP na interface que terá o servidor DHCP

Pronto, agora o Mikrotik vai adicionar uma rota para a rede do endereço IP que você escolheu automaticamente.

Agora você tem duas maneiras para configurar o servidor DHCP, a primeira que vou mostrar (e mais simples) é utilizando um wizard.

Configurando o DHCP-Server pelo wizard

Clique em “IP” – “dhcp-server” – “DHCP Setup”.

IP – dhcp-server – DHCP Setup

Escolha a interface que distribuirá os endereços IP dentro da sua rede. Provavelmente, a mesma interface que você configurou o endereço IP no tópico anterior.

Interface do servidor DHCP

Ao escolher a interface, o RouterOS irá selecionar a rede que está naquela interface automaticamente para você, portanto, você só terá o trabalho de clicar em “Next”.

Ainda de acordo com os dados de IP e rede configurados na Interface selecionada, o RouterOS agora irá selecionar o IP da interface como gateway da rede do DHCP.

Por padrão, o RouterOS irá selecionar todos os IPs disponíveis dentro da rede do DHCP para o pool de endereços, você poderá modificar isso se quiser na tela da imagem abaixo.

Os servidores DNS da rede do seu servidor DHCP ficam a seu critério, no exemplo abaixo estou utilizando os DNSs públicos do Google.

O “Lease time” é o tempo que cada equipamento da rede irá ficar com o IP disponibilizado pelo servidor DHCP. Se você não entende nada sobre isso, deixe no padrão. Basicamente, ao chegar na metade desse “Lease time” o equipamento cliente irá requisitar ao servidor DHCP para continuar com o mesmo endereço. Se tudo estiver OK, o servidor DHCP pode conceder o mesmo IP pelo mesmo tempo inicial. Isso poderá ocorrer eternamente, até que o cliente e servidor não consigam mais se comunicar, o “Lease time” termine e o DHCP Server considere aquele IP como disponível, mas isso dependerá da configuração do servidor.

Ao clicar em “Next” na janela mostrada acima, seu DHCP estará pronto para ser utilizado, bastando conectar os computadores da rede diretamente na Interface escolhida, ou em um switch que esteja conectado na mesma, ou por rede wireless, como é o caso do exemplo que estou utilizando em todo este tutorial.

Este processo do “wizard” é mais simples para quem deseja configurar um servidor DHCP de maneira rápida no Mikrotik. Mas deixemos de preguiça e vamos fazer tudo manualmente no próximo tópico.

Configurando o DHCP-Server manualmente no Mikrotik

O processo manual envolve a criação de um pool de endereços (ou mais de um, se preferir), uma ou mais redes para o servidor DHCP e o servidor em si. Também falaremos um pouco sobre a configuração de algumas opções do servidor.

Para iniciar, vamos criar um pool de endereços. Clique em “IP” – “Pool”, e no sinal de mais (+) apresentado na tela. Em “Name”, digite um nome para identificar o seu novo pool e em addresses digite o range de endereços desejado separados por um traço, exemplo 192.168.2.2-192.168.2.254.

Novo pool de endereços

Você pode adicionar mais redes dentro de um mesmo pool apenas clicando na seta para baixo em frente “Addresses”, porém, a Interface deverá estar configurada com um IP de tal rede para se tornar o gateway quando formos configurar as redes do servidor DHCP. Além disso, você também pode utilizar a opção “Next pool” para adicionar novos endereços caso o pool que estiver sendo criado termine. Mas lembre-se que para cada pool que estiverem em redes diferentes, um novo endereço deverá ser adicionado na Interface escolhida e uma nova rede deverá ser configurada para as redes do servidor (vamos falar nas redes logo abaixo).

Quando estiver satisfeito com seu novo pool de endereços, simplesmente clique em “OK”.

Agora precisamos configurar a(s) rede(s) do servidor DHCP, para isso clique em “IP” – “dhcp-server”, e acesse a aba “Networks”.

Aba “Networks” do DHCP Server no Mikrotik

Clique no sinal de mais (+) para adicionarmos a(s) rede(s) que vamos utilizar. Adicione pelo menos o endereço da rede, o IP da interface e servidores de DNS.

Rede do servidor DHCP

Quando finalizar, clique em “OK” e vá para a aba “DHCP”. Clique no sinal de mais (+) para adicionar um novo servidor DHCP.

Agora configure o servidor conforme descrito na imagem abaixo:

Configurando o servidor DHCP

Ao pressionar “OK”, seu novo servidor DHCP será criado e estará pronto para o uso.

Solução de problemas com DHCP Server no Mikrotik

Abaixo vou detalhar os problemas que mais encontro na maioria dos casos que tenho que resolver:

• DHCP Server está vermelho: Qualquer coisa que estiver na cor vermelha no Mikrotik não indica um bom sinal. Verifique se a Interface está ativa e se ela não faz parte de uma bridge, você não pode adicionar um DHCP server em Interfaces que fazem parte de uma bridge, apenas na bridge em si.
• Clientes pegando IPs com rede incorreta ou sem gateway: Se os clientes do DHCP Server estiverem pegando IPs estranhos, por exemplo, pegando só o IP com a rede toda desconfigurada, é porque você não configurou a aba “Networks” do seu DHCP Server de maneira correta. Verifique se está tudo correto. Também lembre-se, para cada pool de endereços com redes diferentes, você precisará de um endereço IP na Interface equivalente àquela rede, além disso, você também precisará configurar a rede na aba “Networks”.
• Clientes não pegam IP: Verifique tudo o que foi descrito acima, além disso, procure por problemas físicos. Por exemplo, tente conectar um equipamento diretamente ao Mikrotik e elimine switchs e roteadores, se este equipamento pegar um IP, o problema está na parte física da sua rede.
• IP offered: Se o Mikrotik apresentar uma mensagem “offered” na aba “Leases” isso significa que o servidor DHCP chegou a oferecer o IP, porém o cliente não aceitou. Neste caso o problema está no cliente e não do servidor DHCP.
• waiting: Se o Mikrotik estiver apresentando a mensagem “waiting”, isso significa que o cliente ainda não fez uma nova requisição de endereço, reiniciar o equipamento do cliente irá resolver o problema.
• bound: Isso significa que o cliente pegou o IP e está funcionando (pelo menos em teoria).

Gerenciando Leases

Se você quer visualizar quais endereços IP foram disponibilizados pelo seu servidor, acesse “IP” – “dhcp-server” – “Leases”.

Aba leases de um servidor DHCP no Mikrotik

Observação: Perceba que este é outro equipamento que já esta em funcionamento aqui na minha rede Interna.

Na própria aba “Leases”, você pode fazer algumas coisas bem legais, por exemplo, fazer um cliente se tornar “static”. Nesse caso o Mikrotik irá associar o endereço MAC do cliente para que toda vez que ele for detectado na rede, o mesmo endereço IP seja entregue ao mesmo.

Para isso, simplesmente clique com o botão direito do mouse sobre a linha referente ao equipamento que deseja e selecione a opção “Make static”.

Este aparelho agora sempre receberá o mesmo endereço IP

Quando você configura um cliente estático, como fizemos acima, você pode até mesmo alterar o endereço IP daquele cliente para outro de uma rede completamente diferente, contando que exista um IP daquela rede na Interface e a rede esteja configurada na aba “Networks” para que o DHCP Server saiba o que entregar ao seu cliente. Sim! O Servidor DHCP irá entregar qualquer IP estático que você configurar para o cliente.

O servidor DHCP também entrega endereços estáticos que não estão no pool de endereços.

Isso é muito útil quando você cadastra IPs válidos para clientes e não deseja ir até a residência dos mesmos para configurar o IP manualmente.

Você também pode limitar a velocidade de determinados clientes estáticos, basta abrir a linha referente e configurar a opção “Rate limit”.

Configurando limite de velocidade para o cliente

Caso queira voltar ao normal, ou seja, tudo dinâmico, apenas apague a linha do IP que você fez como estático.