Rx jabber mikrotik что это
Ethernet
Sub-menu: /interface ethernet
Standards: IEEE 802.3
Properties
Read-only properties
| Property | Description |
|---|---|
| running (yes | no) | Whether interface is running. Note that some interface does not have running check and they are always reported as «running» |
| slave (yes | no) | Whether interface is configured as a slave of another interface (for example Bonding) |
| switch (integer) | ID to which switch chip interface belongs to. |
Menu specific commands
| Property | Description |
|---|---|
| blink ([id, name]) | Blink Ethernet leds |
| monitor ([id, name]) | Monitor ethernet status. Read more>> |
| reset-counters ([id, name]) | Reset stats counters. Read more>> |
| reset-mac-address ([id, name]) | Reset MAC address to manufacturers default. |
| cable-test (string) | Shows detected problems with cable pairs. Read More >> |
Monitor
To print out a current link rate, duplex mode, and other Ethernet related properties or to see detailed diagnostics information for transceivers, use /interface ethernet monitor command. The provided information can differ for different interface types (e.g. Ethernet over twisted pair or SFP interface) or for different transceivers (e.g. SFP and QSFP).
Properties
Example output of an Ethernet status:
Example output of a SFP status:
Detect Cable Problems
Cable test can detect problems or measure the approximate cable length if the cable is unplugged on the other end and there is therefore, «no-link». RouterOS will show:
Here is example output:
In the above example, the cable is not shorted but “open” at 4 meters distance, all cable pairs equally faulty at the same distance from the switch chip.
Currently cable-test is implemented on the following devices:
Note: Currently cable-test is not supported on Combo ports.
Stats
Using /interface ethernet print stats command, it is possible to see a wide range of Ethernet related statistics. The list of statistics can differ between RouterBoard devices due to different Ethernet drivers. The list below contains all available counters across all RouterBoard devices. Most of the Ethernet statistics can be remotely monitored using SNMP and MIKROTIK-MIB.
For example, output of Ethernet stats on hAP ac2 device:
Мой MikroTik – моя цифровая крепость (часть 1)
1. Введение
В комментариях опубликованной ранее статьи один из пользователей спросил: «А можно добавить раздел про то, как нужно защитить свой, микротик чтобы управление им не ушло на сторону?». Один из пользователей написал на это следующее: «Универсальных принципов для любого сетевого устройства два – администрирование только с внутреннего интерфейса (снаружи закрыто все) и регулярно обновлять прошивку» (сохранена авторская орфография). А мы сразу поняли, что одним коротким ответом здесь не обойтись, и этот вопрос заслуживает полноценного отдельного рассмотрения с учётом широких возможностей операционной системы RouterOS, а также сопрягаемых с ней opensource решений, комплексно завершающих проблемный вопрос информационной безопасности. Кроме непосредственно настройки безопасности доступа до маршрутизатора, необходимо использовать его как полноценный барьер для разноуровневых атак, которые могут быть нацелены на защищаемую сеть. Технологий реализации этого достаточно много, поэтому разделим применяемые возможности на логические уровни и представим предметные рекомендации по администрированию сетей на базе оборудования MikroTik.
2. Общие рекомендации
Первое, что мы всегда делаем с железкой — это обновляем прошивку:
Далее смотрим, сколько создано пользователей, лишних удаляем. Ставим пароли, соответствующие политике информационной безопасности компании, если такая есть, если нет, тогда просто посильнее:
Если паранойя зашкаливает, тогда используем SSH вход без ввода пароля (и пользователя admin можно заменить на другого). Сгенерим пару RSA ключей, размер укажем 4096 бит, что уж мелочиться:
На выходе будет закрытый ключ test_user:
И открытый ключ test_user.pub:
Привяжем открытый ключ к пользователю RouterOS:
Добавляем хардкор, запретив логиниться по паролю:
Важно отметить, что если есть пользователь, для которого не импортирован публичный ключ, то, несмотря на вышепоказанную настройку, RouterOS сохраняет возможность логиниться под ним с помощью пароля. С учётными записями разобрались, далее выключаем серверы различных протоколов управления, в том числе небезопасные, разумеется, есть ли они вам не нужны:
Можно поменять прослушиваемый порт для SSH сервера. Особенно на значение, не входящее в сканируемые по умолчанию nmap-ом, но мы в этом защиты не видим, скорее маскировка:
Сканируем роутер и видим, что всё работает корректно. Сервер SSH будет недоступен, пока на роутер не пройдут попытки установления соединения на 28 порт, затем в течение 30 секунд на 29 порт, затем в течение 30 секунд на 30 порт. Если последовательность обращений верна и временные лимиты соблюдены, то IP адрес источника сможет в течение 30 секунд установить SSH сессию, а иначе drop:
Необходимо отметить, что если вы укажете порты стука примерно в таком порядке: 21, 80, 443, а прослушиваемый SSH порт перенесете на значение 8080 (все четыре входят в список по умолчанию для сканирования nmap), то ваш секретный порт 8080 определится при первом же сканировании. Если вы действительно хотите использовать технологию port knocking, то выбирайте порты в порядке уменьшения, а сами значения портов на «не сканируемые» nmap-ом: ни в режиме top 100, ни в режиме top 1000. Кроме этого, можно ограничить IP адреса, с которых доступны протоколы управления, на диапазон доверенных:
Таким образом, несмотря на то, что 22 порт готов принимать TCP соединение, однако с не доверенных IP адресов оно будет сброшено SSH сервером:
Как общие рекомендации, лучше не использовать протоколы, не имеющие шифрования для передачи защищаемой информации. Если такой возможности нет, тогда старайтесь пускать трафик по шифрованным VPN туннелям. Но лучше даже внутри таких соединений использовать безопасные протоколы, ведь VPN сеть может уходить далеко за пределы периметра, контролируемого вами. Если есть возможность, не используйте протоколы pap, http (в том числе при реализации API), ftp, smtp и т.д. Всегда используйте их безопасные аналоги: chap, mschap2, https, smtps.
Делайте регулярные резервные копии конфигураций ваших устройств. В RouterOS есть два типа backup: бинарный *.backup
и текстовый конфигурационный файл *.rsc
Первый рекомендуется откатывать только на полностью идентичных устройствах, и не подлежит редактированию (при откате восстанавливается точный образ операционной системы). Второй же, наоборот, можно вручную контролируемо построчно обрабатывать (до получения необходимо результата), однако он может содержать чувствительную информацию (если не делать /export hide-sensitive), поэтому рекомендуем обезопасить хранение такого рода backup файлов. Ставить ли регулярный backup в планировщик заданий, или нет, тут уже каждый решает сам. Главное — не запутаться во всех резервных копиях и не передавать их на удалённый сервер по открытому интернет каналу посредством ftp.
3. Защита L1
Писать правила про установку сетевого оборудования в серверных помещениях, в защищённых телекоммуникационных ящиках, сейфах и т.д. мы не будем, это не тема статьи. Для защиты L1 на оборудовании MikroTik будет достаточно программно отключить не используемые сетевые интерфейсы:
Сюда же пойдёт организация безопасности беспроводных соединений. В идеале, конечно, следует настроить WPA2-Enterprise (подробно о настройке RADIUS сервера мы напишем во второй части статьи), так как реальных угроз безопасности таких сетей пока не известно:
Если такой вариант вам не подходит, тогда используйте WPA2-PSK со словарно неподбираемым паролем, который держите в тайне от третьих лиц, и отключённый PMKID:
Ещё можно запретить подключаться к точке доступа с низким уровнем сигнала, т.е. физически удалённым пользователям, которые, можно предположить, находятся за контролируемым периметром и не легитимны:
На этом свои рекомендации по поводу L1 безопасности остановим и перейдём к более интересным вещам.
4. Защита L2
Для начала ограничим работающие сервисы уровня L2:
Первый скрипт позволяет осуществлять mac-ping только для внутренней сети. Второй ограничивает L2 подключение посредством службы Winbox:
RouterOS поддерживает работу таких протоколов, как CDP, LLDP и MNDP. Чтобы не осуществлять широковещательную рассылку пакетов указанных протоколов во все стороны, ограничиваем их работу:
Чтобы со стороны провайдера не догадывались, что у вас стоит роутер MikroTik, можно сменить MAC адрес WAN интерфейса, но это скорее баловство:
Если в вашем L2 сегменте появится второй или более незаконный DHCP сервер, то это может здорово навредить работе всей сети. Так в примере видно, что работают две указанные службы (192.168.1.1 и 192.168.3.1), раздавая по факту разные сетевые настройки:
Для защиты от такого рода атак (ведь хакер может назначить и своё устройство в качестве шлюза) существует технология «DHCP snooping». После её активации бридж пропускает DHCP пакеты только в доверенную сторону:
Защита оконечных устройств выходит за рамки данной статьи, но декларируем, что многие антивирусы справляются с этой задачей, детектируя манипуляции с ARP пакетами. На скрине видно, что действиями выше мы организовали MITM для хоста 192.168.1.3 и перехватили его HTTP запросы:
В следующем примере показаны ложные записи ARP таблицы маршрутизатора, а ведь так намеренно можно заполнить весь имеющейся пул и втупить работу легитимного DHCP сервера:
Для защиты от таких действий в RouterOS необходимо, первым делом, настроить DHCP сервер, что позволит активировать функцию заполнения ARP таблицы, либо в результате его работы, либо в ручном режиме:
После этого настраиваем бридж, переводя маршрутизатор в режим только ответа на ARP запросы (если у вас работает hotspot, то от этой идеи придётся отказаться, так как он перестанет нормально функционировать), таким образом, сторонние манипуляции будут бессильны:
Дополнительно следует выключить режим обучения портов MAC адресам:
Если ваш маршрутизатор гоняет пакеты для логически разделённых сетей, в том числе с точки зрения безопасности, то их следует разнести по различным VLAN. Важно понимать, что если через ваше устройство проходят несколько VLAN, то в случае несанкционированного доступа к роутеру или коммутатору, могут быть скомпрометированы устройства во всех этих подсетях. Здесь всё понятно. Дополнительно можно указать устройству проверять tag трафика и дропать пакеты, у которых VLAN ID не найден в его таблице VLAN:
5. Заключение
На этой админской ноте прервём наши рассуждения, которые отображают подходы, применяемые нами в построении реальных сетей и обеспечении их информационной безопасности. Никакие ноухау статья не раскрывает, но в определённой мере систематизирует имеющиеся возможности и показывает их практическое применение. Дальше будет интереснее…
Manual:Interface/Ethernet
Applies to RouterOS: v3, v4+
Contents
Summary
Sub-menu: /interface ethernet
Standards: IEEE 802.3
Properties
| Property | Description |
|---|---|
| running (yes | no) | Whether interface is running. Note that some interface does not have running check and they are always reported as «running» |
| slave (yes | no) | Whether interface is configured as a slave of another interface (for example Bonding) |
| switch (integer) | ID to which switch chip interface belongs to. |
Menu specific commands
| Property | Description |
|---|---|
| blink ([id, name]) | Blink Ethernet leds |
| monitor ([id, name]) | Monitor ethernet status. Read more>> |
| reset-counters ([id, name]) | Reset stats counters. Read more>> |
| reset-mac-address ([id, name]) | Reset MAC address to manufacturers default. |
| cable-test (string) | Shows detected problems with cable pairs. Read More >> |
Monitor
To print out a current link rate, duplex mode, and other Ethernet related properties or to see detailed diagnostics information for transceivers, use /interface ethernet monitor command. The provided information can differ for different interface types (e.g. Ethernet over twisted pair or SFP interface) or for different transceivers (e.g. SFP and QSFP).
Example output of an Ethernet status:
Example output of a SFP status:
Detect Cable Problems
Cable test can detect problems or measure the approximate cable length if the cable is unplugged on the other end and there is therefore, «no-link». RouterOS will show:
Here is example output:
In the above example, the cable is not shorted but “open” at 4 meters distance, all cable pairs equally faulty at the same distance from the switch chip.
Currently cable-test is implemented on the following devices:
Note: Currently cable-test is not supported on Combo ports.
Stats
Using /interface ethernet print stats command, it is possible to see a wide range of Ethernet related statistics. The list of statistics can differ between RouterBoard devices due to different Ethernet drivers. The list below contains all available counters across all RouterBoard devices. Most of the Ethernet statistics can be remotely monitored using SNMP and MIKROTIK-MIB.
For example, output of Ethernet stats on hAP ac2 device:
Switch
Sub-menu: /interface ethernet switch
This submenu allows configuration of certain RouterBoard switch chip features. Read more >>.
PoE out
Sub-menu: /interface ethernet poe
PoE out settings are only available on RouterBOARD devices that have this hardware feature present. See more here: PoE-Out
Rx jabber mikrotik что это
Если вам требуется помощь в решении проблемы- выкладывайте свой конфиг: /export hide-sensitive terse
Smartecs, через L7 руки не дошли пока у самого на своём, но вроде как читал через webproxy можно, и вроде как: (где-то вычитал, почему-то запомнилось):
Cоздать разрешающее правило в котором ничего нет, кроме значения accept в action и просто разместить его перед/после правила, которое разрешает доступ.
У меня такая проблема на одном из встроенных в материнскую плату сетевых контроллеров. Так и не поборол, использую тот, который без проблем поднимает 100Мб.
ToMaTo_0,
А после покупки делали полный сброс устройства, потом устанавливали свежую прошивку?
Добавлено 02.12.2014, 23:26:
Shoore,
Кстати думаю сообщения нужно перенести в тему указанную тобой.
ToMaTo_0,
Подключите роутер к другому ПК/ноуту/роутеру к чему нибудь где есть активный ethernet порт и посмотрите в статусе на сколько поднимется порт.
Интересует будет ли держать порт скорость 100/1000мб/с с другим устройством, не вашим ПК.
Также попробуйте на ПК «жестко» зажать порт на 100мб/с.
ctich,
А третий порт у тебя нигде не больше не участвует?
Тут еще можно почитать
update
возможно бред, но похоже нужно делать для порта 2+5 = bridge 1, 3+5 bridge 2. (по крайней мере на это натолкнула статья)
Как ловить широковещательный флуд на MikroTik устройствах
Понадобилось как-то в одной сети определить откуда идут скачки широковещательного трафика, из-за которых на устройствах повышалась загрузка процессора и появлялись перебои с интернетом.
Сетевое оборудование использовалось от MikroTik.
Подключившись к MikroTik указанной ниже командой посмотрим статистику трафика на портах, а именно приходящий на порт широковещательный трафик «Rx Broadcast«, так как это счетчик пакетов, то цифра должна расти если приходит флуд, если не меняется, то все хорошо:
Вот пример просмотра статистики конкретного порта (где ether2 — имя интерфейса, оно может быль разным, зависит от того как его назвали при настройке):
Посмотреть список портов/интерфейсов можно командой:
Таким способом по цепочке дойдем до конечного порта от которого идет broadcast флуд и если нужно отключим его командой (где NUMBER — номер порта по порядку в таблице которую можно посмотреть командой выше):
Для включения порта:
Через WEB или Winbox можно посмотреть статистику открыв слева меню Interfaces и во вкладке Interface посмотрим каждый интерфейс.
Пример обнуления статистики портов:
На CRS моделях MikroTik, можно включить контроль broadcast трафика, к примеру 100 пакетов в секунду на порт ether3 (аналогично для других портов):
В дальнейшем можно наблюдать за сетью например через систему Zabbix, в которой настроить отображение графиков широковещательных пакетов и если счетчик пакетов начинает расти, то система уведомит об этом.