Считаю, что приложение Winbox от компании MikroTik одно из лучших, созданных для управления маршрутизаторами, с которыми когда-либо сталкивался по работе. Удобный интерфейс доступен через Webfig в любое время, хотя многое делаю из командной строки.
Существуют некоторые меры предосторожности, которые необходимо принять во внимание тем, кто ежедневно использует Winbox для управления клиентскими устройствами, инфраструктурой WISP и т. д.
К сожалению, сказано это было не для красного словца, программисты и тестировщики не успевают как следует проверить код и выкатывают релизы в продакшен с соответствующими результатами:
Раскрытие критической уязвимости в Winbox CVE-2018-14847
Но при соблюдении определенных правил использования Winbox, мы можем существенно снизить риски проникновения в нашу систему посторонних лиц. Никто не сможет подсказать какое количество времени вам понадобиться, для того, чтобы почистить инфраструктуру от заражения.
Во-первых, нам нужно убедиться, что Winbox обновлен.
Во-вторых, нам нужно понять, как можно с умом использовать сохраненные учетные данные.
В-третьих, нам необходимо внедрить в управлении информационной инфраструктурой своей организации лучшие практики для управления учетными данными в Winbox в целом.
Обновления
Лучше всего использовать новейшее стабильное, официально поддерживаемое программное обеспечение. К сожалению, на просторах сети можно столкнуться с софтом, который выполняет не совсем те функции, которые ожидаешь. Ссылка на официальный дистрибутив:
на февраль 2019 года MikroTik разместила версию 3.18 Winbox
Также это утверждение верно и для RouterOS. MikroTik добавил встроенный модуль обновления в Winbox, поэтому регулярные проверки новых версий приложение не отнимут много времени.
Откройте Winbox, затем нажмите Инструменты и проверьте наличие обновлений:
Я делаю это примерно раз в месяц, на случай, если была выпущена новая версия, которая исправляет дыры в безопасности или добавляет новые функциональные возможности.
Управляемые хосты
Мы можем хранить профили подключения устройств в Winbox, чтобы упростить их повторное подключение. К сожалению, это может привести к плохой практике управления учетными данными. Ввод IP-адреса или имени хоста, логина и пароля, а затем нажатие кнопки «Добавить / установить» сохраняет наши учетные данные:
Любой, кто подойдет к компьютеру с открытым Winbox, может дважды щелкнуть на запись в табличной части и получить полный контроль над маршрутизатором. Мы можем установить мастер-пароль, который потребует пароль, прежде чем показать список доступных роутеров. Нажмите Set Master Password и повторите пароль дважды:
Благодаря вышеописанным действиям Winbox сначала запрашивает мастер-пароль, прежде чем дать нам доступ к учетным данным вашего оборудования.
Конечно, если компьютер с Winbox остается без присмотра после того, как мастер-пароль введен, данная защита не принесет нам никакой пользы, поэтому блокировка компьютера обязательна.
Для резервного копирования десятком или даже сотен профилей управляемого сетевого оборудования многие администраторы MikroTik сохраняют файл на диск. А затем этот файл может долго гулять между коллегами.
Экспорт списка учетных данных жно выполнить, нажав Инструменты, затем Экспорт:
СЮРПРИЗ! Экспортированный файл .WBX содержит всю регистрационную информацию в открытом виде, что позволяет легко восстановить сохраненные записи и пароли.
Содержимое файла находится в незашифрованном виде. Экспорт файла и его открытие в более сложном текстовом редакторе, таком как Notepad ++, показывает наши IP-адреса или имена хостов, имена пользователей и пароли:
Сняв флажок «Сохранить пароль» (Keep Password), мы можем запретить Winbox сохранять пароль, но данный способ не очень удобен для повседневного использования.
Использование инструмента - Экспорт без паролей (Export Without Passwords) не выгружает пароли для управляемый устройств, поэтому это более безопасный вариант. Конечно, он по-прежнему будет экспортировать имена пользователей, что может позволить злоумышленнику начать атаку с помощью подбора пароля, но паролей он видеть не будет.
Вывод
Рекомендую следовать следующим рекомендациям при хранении учетных данных в Winbox:
1. На компьютерах с учетными данными, хранящимися в Winbox, блокируйте экран при отходе.
2. Установите мастер-пароль, который необходимо ввести перед доступом к записям управляемого хоста.
3. Не включайте пароли при экспорте списка управляемых хостов.
4. Не делитесь файлом экспорта .WBX с другими.
5. Если у вас должны быть пароли в экспортированном файле .WBX, зашифруйте его надежным ключом.
6. Для путешествующих ноутбуков и планшетов с учетными данными, хранящимися в Winbox, шифруйте весь диск на случай кражи.