Ochrona i rozwiązywanie problemów
Prezentacja obejmuje kompleksowe zabezpieczanie routerów Cisco i MikroTik oraz narzędzia diagnostyczne i monitoringowe. Omówiono najważniejsze zagrożenia, minimalne zabezpieczenia, konfigurację firewall oraz praktyczne polecenia show (Cisco) i print (RouterOS) używane w codziennej administracji sieciami.
Router jest kluczowym elementem sieci – jego naruszenie oznacza przejęcie kontroli nad ruchem całej sieci. Minimalne zabezpieczenia (silne hasła, wyłączenie zbędnych usług, firewall) są bezwzględnie wymagane w każdej sieci. Równie ważna jest umiejętność diagnostyki i monitorowania – polecenia show (Cisco) i print (RouterOS) pozwalają szybko zlokalizować i rozwiązać problemy sieciowe. Narzędzia takie jak ping, traceroute, torch i bandwidth-test to podstawowy zestaw każdego administratora.
Router to brama między sieciami – przejęcie routera oznacza kontrolę nad całym ruchem sieciowym. Ataki mogą obejmować zmianę tablicy routingu, przechwytywanie pakietów (MITM) oraz wykorzystanie routera jako źródła ataków DDoS. Konsekwencje to wyciek danych, przerwanie działania sieci oraz włączenie urządzenia do botnetu.
Większość routerów ma domyślne hasła: admin/admin, admin/brak hasła (RouterOS), cisco/cisco. Botnety (Mirai, Sality) skanują Internet w poszukiwaniu urządzeń z domyślnymi hasłami. Po przejęciu router staje się częścią botnetu – wysyła spam, atakuje inne sieci, uczestniczy w atakach DDoS.
R1(config)# enable secret BardzoTajneHaslo
enable secret – hasło do trybu Privileged EXEC (Router#). Hasło jest przechowywane w formie hasha (MD5 lub scrypt) – nie można go odczytać. Nie używaj enable password – to hasło jest przechowywane w czystym tekście (lub słabo szyfrowane).
enable password.
R1(config)# line console 0 R1(config-line)# password Konsola123 R1(config-line)# login R1(config-line)# exec-timeout 5 0 R1(config-line)# exit R1(config)# line vty 0 4 R1(config-line)# password VTY123 R1(config-line)# login local R1(config-line)# exec-timeout 10 0 R1(config-line)# transport input ssh
exec-timeout 5 0 – automatyczne wylogowanie po 5 minutach bezczynności. login local – uwierzytelnianie przez lokalne konto użytkownika. transport input ssh – tylko SSH (blokada Telnetu).
exec-timeout zapobiega pozostawieniu otwartej sesji przez administratora. transport input ssh blokuje Telnet – hasła nie są przesyłane w czystym tekście.
R1(config)# username admin algorithm-type scrypt secret AdminHaslo123
username – tworzy lokalne konto użytkownika. algorithm-type scrypt – najsilniejszy algorytm hashowania hasła (scrypt > SHA256 > MD5). secret – hasło przechowywane w formie hasha, nie w czystym tekście.
scrypt jeśli IOS to obsługuje (IOS 15.x+). W starszych IOS użyj secret (hash MD5) – lepsze niż jawne hasło.
R1(config)# service password-encryption
Szyfruje wszystkie hasła w pliku konfiguracyjnym (running-config, startup-config). Używa słabego algorytmu typu 7 (Vigenère) – łatwy do odwrócenia, ale chroni przed przypadkowym podglądem. Hasła typu secret (enable secret, username secret) są hashowane, nie szyfrowane.
service password-encryption to zabezpieczenie przed przypadkowym podglądem, nie przed atakiem. Hasła typu 7 można łatwo odszyfrować w Internecie.
R1(config)# logging console warnings R1(config)# logging buffered 8192 warnings R1(config)# logging host 192.168.1.100 R1(config)# logging trap notifications
logging console – logi na konsoli (ostrzeżenia i wyższe). logging buffered – logi w buforze RAM (8192 bajty). logging host – wysyłka logów do serwera syslog (SIEM). Poziomy: emergencies (0) – debug (7).
R1(config)# banner motd #UWAGA: Dostep tylko dla autoryzowanych osob. Monitorowanie aktywnosci.#
Wyświetla komunikat przed logowaniem – ostrzeżenie o monitorowaniu. Znacznik (#) – separator (może być dowolny znak nie występujący w tekście). W razie procesu sądowego umożliwia udowodnienie, że intruz widział ostrzeżenie.
Telnet przesyła dane (w tym hasła) w czystym tekście – można przechwycić snifferem. SSH szyfruje całą sesję – bezpieczne zarządzanie zdalne.
R1(config)# ip domain-name example.local R1(config)# crypto key generate rsa modulus 2048 R1(config)# line vty 0 4 R1(config-line)# transport input ssh R1(config-line)# login local
R1(config)# no ip http-server R1(config)# no ip http secure-server R1(config)# no ip domain-lookup R1(config)# no cdp run
no ip http-server – wyłączenie serwera HTTP (Web GUI). no ip domain-lookup – wyłączenie translacji DNS przy błędnych komendach (zapobiega opóźnieniom). no cdp run – wyłączenie Cisco Discovery Protocol (informacje o sieci nie są rozgłaszane).
enable secret – silne hasło do trybu uprzywilejowanego.service password-encryption – szyfrowanie haseł w configu.
hostname R1 enable secret BardzoTajneHaslo no ip domain-lookup no ip http-server service password-encryption ! username admin algorithm-type scrypt secret AdminHaslo123 ! line console 0 password Konsola123 login exec-timeout 5 0 logging synchronous ! line vty 0 4 transport input ssh login local exec-timeout 10 0 ! ip domain-name example.local crypto key generate rsa modulus 2048 ! banner motd #DOSTEP TYLKO DLA AUTORYZOWANYCH OSOB# ! logging buffered 8192 warnings logging console warnings logging host 192.168.1.100
Domyślny użytkownik RouterOS to admin (bez hasła) – zmień natychmiast po pierwszym logowaniu. RouterOS domyślnie uruchamia wiele usług – WebFig, WinBox, API, Telnet, FTP. Każda usługa to potencjalny wektor ataku.
/user set 0 password=NoweBardzoTrudneHaslo /user add name=jnowak group=write password=JHaslo123 /user add name=admin_ro group=read password=ReadOnly123
user set 0 – zmiana hasła domyślnego admina. group=write – uprawnienia do zapisu (konfiguracja). group=read – tylko odczyt (monitorowanie).
/ip service set telnet disabled=yes /ip service set ftp disabled=yes /ip service set www disabled=yes /ip service set www-ssl disabled=yes /ip service set api disabled=yes /ip service set api-ssl disabled=yes /ip service set winbox address=192.168.1.0/24
disabled=yes – całkowite wyłączenie usługi. address=192.168.1.0/24 – ograniczenie dostępu tylko do sieci LAN. Zostaw: SSH (zarządzanie), WinBox (GUI) z ograniczeniem IP.
/ip neighbor discovery-settings set discover-interface-list=LAN
Domyślnie RouterOS rozgłasza swoją obecność przez MAC discovery (widoczny w WinBox). discover-interface-list=LAN – widoczny tylko w sieci LAN. W przypadku interfejsu WAN – wyłącz całkowicie discover na WAN.
/tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN
MAC server pozwala na łączenie się do RouterOS przez adres MAC (bez IP). Używane do odzyskiwania dostępu po błędnej konfiguracji IP. Ogranicz do interfejsów LAN – na WAN stanowi zagrożenie.
/ip firewall filter add chain=input protocol=icmp action=accept /ip firewall filter add chain=input connection-state=established action=accept /ip firewall filter add chain=input in-interface=ether1 action=drop
chain=input – ruch do routera (zarządzanie). protocol=icmp action=accept – ping do routera (diagnostyka). connection-state=established – przepuszcza odpowiedzi na ruch inicjowany przez router. in-interface=ether1 action=drop – blokada wszystkiego innego z WAN.
in-interface=WAN action=drop to minimalne zabezpieczenie – blokuje cały niechciany ruch z Internetu do routera.
/ip firewall filter add chain=forward connection-state=established action=accept /ip firewall filter add chain=forward connection-state=related action=accept /ip firewall filter add chain=forward connection-state=invalid action=drop
chain=forward – ruch przechodzący przez router (tranzytowy). established – przepuszcza pakiety należące do już nawiązanych połączeń. related – przepuszcza pakiety powiązane (np. FTP data). invalid – odrzuca nieprawidłowe pakiety (błędne flagi TCP, niekompletne sesje).
drop invalid na początku forward – eliminuje wiele ataków (SYN flood, fragmentacja).
/ip firewall filter add chain=forward src-address=192.168.99.0/24 \
dst-address=192.168.1.0/24 action=drop
/ip firewall filter add chain=forward src-address=192.168.99.0/24 \
action=accept
Sieć gościnna (192.168.99.0/24) nie ma dostępu do sieci firmowej (192.168.1.0/24). Ma dostęp do Internetu (druga reguła forward). Firewall forward pozwala na precyzyjną kontrolę, które sieci mogą komunikować się między sobą.
Sieć to system dynamiczny – awarie, przeciążenia, błędy konfiguracji. Szybkie zlokalizowanie problemu = szybkie przywrócenie działania. Polecenia show to podstawowe narzędzie diagnostyczne w routerach Cisco.
Router# show ip interface brief Interface IP-Address OK? Method Status Protocol GigabitEthernet0/0 192.168.1.1 YES NVRAM up up GigabitEthernet0/1 203.0.113.2 YES NVRAM up up Serial0/0/0 unassigned YES NVRAM down down
Status: administracyjny (up/down) – czy interfejs włączony. Protocol: liniowy (up/down) – czy sygnał z drugiej strony. down/down – kabel odłączony lub wyłączony. admin down/down – interfejs wyłączony komendą shutdown.
Router# show interfaces GigabitEthernet0/0 GigabitEthernet0/0 is up, line protocol is up Hardware is CN Gigabit Ethernet, address is aabb.ccdd.ee01 MTU 1500 bytes, BW 1000000 Kbit/sec 5 minute input rate 12000 bits/sec, 15 packets/sec 5 minute output rate 34000 bits/sec, 28 packets/sec Input queue: 0/75 (size/max) Output queue: 0/40 (size/max) 12345 packets input, 12345678 bytes 0 input errors, 0 CRC, 0 frame, 0 overrun 23456 packets output, 23456789 bytes 0 output errors, 0 collisions, 0 interface resets
input errors – błędy odbioru (CRC, frame, overrun). output errors – błędy nadawania (collisions, resets). BW – przepustowość interfejsu.
Router# show ip route
Codes: C - connected, S - static, O - OSPF, B - BGP
10.0.0.0/24 is subnetted, 2 subnets
C 10.1.1.0/24 is directly connected, GigabitEthernet0/0
C 10.1.2.0/24 is directly connected, GigabitEthernet0/1
S 192.168.0.0/24 [1/0] via 10.1.2.2
S* 0.0.0.0/0 [1/0] via 203.0.113.1
C – sieć bezpośrednio podłączona. S – trasa statyczna. O – trasa z OSPF. S* – trasa domyślna (default route).
show ip route odpowiada na pytanie "którędy router wyśle pakiet do celu X?". Jeśli trasy brak – pakiet jest odrzucany (ICMP Destination Unreachable).
Router# show running-config
show running-config – aktualna konfiguracja w RAM (bieżąca). show startup-config – zapisana konfiguracja w NVRAM (przy starcie). Różnica między nimi = zmiany niezapisane (copy running-config startup-config lub write memory).
show running-config z show startup-config. Jeśli się różnią – zmiany nie są zapisane i zostaną utracone po restarcie.
Router# show version Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.7(3)M ROM: System Bootstrap, Version 15.0(1r)M Router uptime is 2 weeks, 3 days, 12 hours, 34 minutes System restarted by power-on System image file is "flash:c880data-universalk9-mz.157-3.M.bin" Cisco 887 (MPC8555) processor (revision 1.0) with 124928K/6144K bytes of memory Configuration register is 0x2102
Wersja IOS, model procesora, pamięć RAM, uptime. System image file – plik IOS w Flash. Configuration register – tryb bootowania.
show version pokazuje, jak dawno router był restartowany (uptime) i z jakiego pliku IOS został uruchomiony. Przydatne przy aktualizacjach.
Router# show flash -#- --length-- -----date/time------ path 1 12345678 Jan 01 2025 12:00:00 c880data-universalk9-mz.157-3.M.bin 2 456789 Jan 01 2025 12:05:00 config_backup.txt 3 12345 Jan 01 2025 12:06:00 test.txt [12890123 bytes used, 45678901 available, 58569024 total]
Lista plików w Flash – IOS, konfiguracje, backup. Wolne miejsce – czy zmieści się nowy IOS.
show flash – czy jest wystarczająco wolnego miejsca. Brak miejsca = błąd aktualizacji.
Router# show ip arp Protocol Address Age (min) Hardware Addr Type Interface Internet 192.168.1.10 0 aabb.ccdd.ee01 ARPA GigabitEthernet0/0 Internet 192.168.1.20 12 aabb.ccdd.ee02 ARPA GigabitEthernet0/0 Internet 192.168.1.1 - aabb.ccdd.0011 ARPA GigabitEthernet0/0
Mapowanie adresów IP na MAC. Wiek (Age) – 0 = aktywny, - = własny adres routera. Przydatne do sprawdzenia, czy urządzenie jest w sieci L2.
Router# show ip nat translations Pro Inside global Inside local Outside local Outside global tcp 203.0.113.2:1234 192.168.1.10:5678 8.8.8.8:80 8.8.8.8:80 Router# show ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 2.2.2.2 1 FULL/DR 00:00:32 10.1.2.2 GigabitEthernet0/1
show ip nat translations – aktywne translacje NAT. show ip ospf neighbor – sąsiedzi OSPF (stan FULL = synchronizacja).
show ip ospf neighbor – jeśli stan nie jest FULL, OSPF nie działa poprawnie.
Router# show logging
Syslog logging: enabled (0 messages dropped, 0 flushes)
Console logging: level warnings, 0 messages logged
Monitor logging: level debugging, 0 messages logged
Buffer logging: level warnings, 8192 bytes, 12 messages logged
Trap logging: level informational, 0 messages logged
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up
%LINK-3-UPDOWN: Interface GigabitEthernet0/0, changed state to up
%SEC-6-IPACCESSLOGP: list 110 denied tcp 192.168.1.10(1234) -> 10.0.0.100(22)
Logi systemowe – zmiany stanu interfejsów, próby naruszenia ACL. SEC-6-IPACCESSLOGP – log z ACL (denied packet).
[admin@MikroTik] > /interface print # NAME TYPE ACTIVE 0 ether1 ether yes 1 ether2 ether yes 2 bridge1 bridge yes [admin@MikroTik] > /ip address print # ADDRESS NETWORK INTERFACE 0 192.168.1.1/24 192.168.1.0 bridge1 1 203.0.113.2/30 203.0.113.0 ether1
/interface print – lista interfejsów i ich stan. /ip address print – adresy IP na interfejsach.
/interface print = show ip interface brief (Cisco). /ip address print = show ip interface brief z adresami.
[admin@MikroTik] > /ip route print Flags: D - dynamic; A - active; C - connect, S - static # DST-ADDRESS GATEWAY DISTANCE 0 A S 0.0.0.0/0 203.0.113.1 1 1 ADC 192.168.1.0/24 bridge1 0 [admin@MikroTik] > /ip firewall nat print # CHAIN SRC-ADDRESS OUT-INTERFACE ACTION 0 srcnat 192.168.1.0/24 ether1 masquerade
/ip route print – tablica routingu. /ip firewall nat print – reguły NAT. /ip firewall filter print – reguły filtrowania.
/ip route print z flagą A (active) pokazuje tylko aktywne trasy. Jeśli trasa nie jest aktywna – nie będzie używana.
[admin@MikroTik] > /export # jan/01/2025 12:00:00 by RouterOS 7.15.3 # software id = XXXX-XXXX /interface bridge add name=bridge1 /interface vlan add name=VLAN10 vlan-id=10 interface=bridge1 /ip address add address=192.168.1.1/24 interface=bridge1 /ip route add dst-address=0.0.0.0/0 gateway=203.0.113.1 /ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
/export – eksport całej konfiguracji do skryptu. /export file=backup – zapis do pliku. /import file-name=backup.rsc – import konfiguracji.
/export to odpowiednik show running-config w Cisco. Zawsze wykonaj /export przed większymi zmianami – backup konfiguracji.
[admin@MikroTik] > /system resource print
uptime: 2w3d12h34m56s
version: 7.15.3 (stable)
build-time: Jan/01/2025 12:00:00
free-memory: 456.7 MiB
total-memory: 512.0 MiB
cpu: ARM 1.4 GHz
cpu-count: 4
cpu-frequency: 1400 MHz
cpu-load: 12%
free-hdd-space: 123.4 MiB
total-hdd-space: 128.0 MiB
[admin@MikroTik] > /log print
12:34:56 system,info router rebooted
12:35:10 dhcp,info assigned 192.168.1.100 to AA:BB:CC:DD:EE:FF
/system resource print – CPU, RAM, uptime, wersja. /log print – logi systemowe (info, warning, error).
cpu-load w /system resource print – jeśli stale przekracza 80%, router jest przeciążony. free-memory – jeśli poniżej 20%, może brakować pamięci dla nowych połączeń.
Cisco: ping 8.8.8.8, ping 8.8.8.8 source 192.168.1.1, traceroute 8.8.8.8
RouterOS: /ping 8.8.8.8, /ping 8.8.8.8 count=100 interval=0.1, /tool traceroute 8.8.8.8
Router# debug ip icmp Router# debug ip ospf adj Router# undebug all
Debug – podgląd pakietów w czasie rzeczywistym. OSTROŻNIE: Debug generuje ogromną ilość danych – może przeciążyć CPU. Zawsze wyłączaj debug po użyciu: undebug all lub u all. Używaj specyficznych debugów: debug ip icmp (bezpieczny), debug ip ospf adj (do OSPF).
debug all może zawiesić router.
[admin@MikroTik] > /tool torch interface=ether1
Torch: analizator ruchu w czasie rzeczywistym – pokazuje IP, porty, protokoły, prędkość. Idealny do znalezienia źródła przeciążenia łącza.
Bandwidth Test: test przepustowości między dwoma routerami MikroTik. /tool bandwidth-test address=10.0.0.2 protocol=tcp direction=both – test TCP w obie strony.
| Cisco IOS | RouterOS |
|---|---|
| show ip interface brief | /interface print + /ip address print |
| show ip route | /ip route print |
| show running-config | /export |
| show version | /system resource print |
| show logging | /log print |
| show ip arp | /ip arp print |
| ping | /ping |
| traceroute | /tool traceroute |
| debug | /log print + firewall logging |
