2
Eingeschränkter Zugriff (z.B. über Zertifikat) für die Konfiguration von Microtik-Router
Hallo Alle zusammen ...
ich würde gern meine MikroTIK Routerboards für eine Fernkonfiguration so einschränken, dass nur der PC sich am Interface (z.B. WEBconfig) von allen Board anmelden kann, der auch das passende Zertifikat besitzt.
Leider habe aber die Befürchtung, dass es den Datentransfer zwischen den Boards genauso betreffen könnte. Genau das möchte ich nicht.
Hat jemand von Euch hierbei schon Erfahrungen gesammelt oder eine andere Idee wie ich den Zugriff festlegen kann.
Eine Eingrenzung per IP-Adresse ist mir zu einfach.
Ich dachte an Zertifikate die ich im RouterOS zur Authentifizierung der administrativen Gegenstelle nutzen kann.Aber halt ohne Beeinträchtigung der
WDS-Verbindungen. Ich dachte an so was wie L2TP über IPsec ... egal ob dann über WEB oder nur TELNET... etc.
Vielleicht gibt es ja auch ein anderes Protokoll, oder eine andere Idee...
Das Netzwerk besteht aus mehreren EOIP-Tunneln (beginnend an einem 1100AH)und dahinter sind dann bis zu 4 RB der 433-Serie.
Der Remote Admin - PC ist ein Win7 Pro mit fixer IP.
Für ein wenig Brainstorming wäre ich dankbar!
MFG Swen
ich würde gern meine MikroTIK Routerboards für eine Fernkonfiguration so einschränken, dass nur der PC sich am Interface (z.B. WEBconfig) von allen Board anmelden kann, der auch das passende Zertifikat besitzt.
Leider habe aber die Befürchtung, dass es den Datentransfer zwischen den Boards genauso betreffen könnte. Genau das möchte ich nicht.
Hat jemand von Euch hierbei schon Erfahrungen gesammelt oder eine andere Idee wie ich den Zugriff festlegen kann.
Eine Eingrenzung per IP-Adresse ist mir zu einfach.
Ich dachte an Zertifikate die ich im RouterOS zur Authentifizierung der administrativen Gegenstelle nutzen kann.Aber halt ohne Beeinträchtigung der
WDS-Verbindungen. Ich dachte an so was wie L2TP über IPsec ... egal ob dann über WEB oder nur TELNET... etc.
Vielleicht gibt es ja auch ein anderes Protokoll, oder eine andere Idee...
Das Netzwerk besteht aus mehreren EOIP-Tunneln (beginnend an einem 1100AH)und dahinter sind dann bis zu 4 RB der 433-Serie.
Der Remote Admin - PC ist ein Win7 Pro mit fixer IP.
Für ein wenig Brainstorming wäre ich dankbar!
MFG Swen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 242208
Url: https://administrator.de/contentid/242208
Printed on: April 24, 2024 at 04:04 o'clock
2 Comments
Latest comment
Hallo,
ich würde als erstes einmal mehrere Accounts anlegen und diesen dann auch verschiedene
Tätigkeiten zuweisen und dann damit arbeiten, und nicht nur und ausschließlich mit dem
Admin Account! RouterOS basierte Systeme absichern
Auf RouterOS v. 6.13 updaten
Absichern:
- Alles abschalten was nicht gebraucht wird (Protokolle)
- Alles was gebraucht wird nur intern (Netzwerk) erlauben
- Ein VLAN1 (default) anlegen und diese nur zum administrieren benutzen
- Das VLAN1 mittels eines Radius Servers absichern
Verwalten: (RouterOS Updates, Password ändern, Einstellungen vornehmen)
- Auf dem Windows PC "The DUDE" installieren
- Auf dem RB1100AHx2 und den RB433 das "The DUDE" Paket installieren
- Auf dem RB1100AHx2 die .pkg Pakete für die restlichen RBs im Ordner "files"
hinterlegen diese können sich dann mittels der neuen Update Funktion von dort Ihre
Updates holen
Administrieren:
- CAPS Manager Paket auf dem RB1100AHx2 installieren
- CAPS Klient Pakete auf den RB433 installieren
Ich lege Dir ans Herz Dir dringend ein paar Bücher zu kaufen, auch wenn diese schon etwas
älter sind kann man aus Ihnen noch ein wenig mehr Info heraus holen und zum Anfang erst recht,
mit dem Bezug auf eben diese Absicherung von der wir hier reden, sicherlich sind die Bücher nicht
mehr "up to date" nur sie beinhalten eben auch ein paar sicherlich gute Tipps die man später nicht
mehr missen möchte.
Learn RouterOS - Second Edition
RouterOS by Example
Gruß
Dobby
ich würde als erstes einmal mehrere Accounts anlegen und diesen dann auch verschiedene
Tätigkeiten zuweisen und dann damit arbeiten, und nicht nur und ausschließlich mit dem
Admin Account! RouterOS basierte Systeme absichern
Auf RouterOS v. 6.13 updaten
Absichern:
- Alles abschalten was nicht gebraucht wird (Protokolle)
- Alles was gebraucht wird nur intern (Netzwerk) erlauben
- Ein VLAN1 (default) anlegen und diese nur zum administrieren benutzen
- Das VLAN1 mittels eines Radius Servers absichern
Verwalten: (RouterOS Updates, Password ändern, Einstellungen vornehmen)
- Auf dem Windows PC "The DUDE" installieren
- Auf dem RB1100AHx2 und den RB433 das "The DUDE" Paket installieren
- Auf dem RB1100AHx2 die .pkg Pakete für die restlichen RBs im Ordner "files"
hinterlegen diese können sich dann mittels der neuen Update Funktion von dort Ihre
Updates holen
Administrieren:
- CAPS Manager Paket auf dem RB1100AHx2 installieren
- CAPS Klient Pakete auf den RB433 installieren
Ich lege Dir ans Herz Dir dringend ein paar Bücher zu kaufen, auch wenn diese schon etwas
älter sind kann man aus Ihnen noch ein wenig mehr Info heraus holen und zum Anfang erst recht,
mit dem Bezug auf eben diese Absicherung von der wir hier reden, sicherlich sind die Bücher nicht
mehr "up to date" nur sie beinhalten eben auch ein paar sicherlich gute Tipps die man später nicht
mehr missen möchte.
Learn RouterOS - Second Edition
RouterOS by Example
Gruß
Dobby
Hallo Dobby ...
erst einmal ein Danke an Dich ... für die schnelle Reaktion !
Hinsichtlich der ungenutzten Dienste ... sind schon abgeschaltet gewesen ! Administration geht nur über Winbox .
Auch Eingrenzung für eines der Subnetze, besser einer einzigen Adresse hatte ich schon. Leider ist es
bei uns ohne "viel" Aufwand möglich sich lokal "Zutritt" zu verschaffen. Daher bringt mir diese Eingrenzung
nur zeitlichen Aufschub ... bis wer auch immer, die festgelegte IP-Adresse herausbekommt.
Ich wollte eigentlich eher eine VPN-Lösung via IPSEC mit Zertifikaten, welche ich in der 1100ah (nicht mit Doppelkern)hinterlege.
Das bringt zwar hinsichtlich der lokalen Anmeldeversuche keinen wahren Schutz, aber mit Portweiterleitung über die Firewall,
kann ich ja die Winbox-Ports auch sichern. Zusätzlich !
Den Adressbereich der VPN-Adressen kann ich ja auch so eingrenzen, dass der Spielraum minimiert wird.
Ich hatte gedacht, dass es möglich sein sollte erst dann die Ports für Winbox freizugeben, wenn ein Abfrage über den Besitz von
Zertifikaten via VPN (IPSEC)positiv abgeschlossen wurde, und ich dann die passende IP-Adresse bekomme.
Auch diese einen IP-Adresse die zugelassen wird, sollte automatisch vom 1100ah abzufragen und an die RB´s eingetragen werden.
Ob es möglich ist ... davon gehe ich aus. Aber da werde ich noch lernen müssen.
Die Seiten die Du per Link genannt hattest sind abgespeichert. Danke dafür.
Ein Dude-Server läuft direkt auf dem Administrationsplatz (was zwar nichts mit Sicherheit zu tun hat)... welcher nur über Teamviewer erreichtbar und mit Adminrechten nutzbar ist. Andere Dienste wie RDP können nicht von der Gruppe Administrator zur Anmeldung genutzt werden.
Was CAPS sein soll und welche Möglichkeiten der Absicherung dieses Paket biete weis ich nicht. Werde mich dennoch belesen.
Auch was das Dude-Paket auf den RB´s ermöglich oder besser welche Aufgaben dies übernimmt oder zu Verfügung stellt weis ich nicht.
Sie gehen auch ohne DUDE-Paket.
Ich denke ich habe noch viel zu lernen. Manches wird so oder ähnlich funktionieren. Anderes eben nicht.
Wenn Du mir noch etwas zu anderen möglichen Authentifizierungen zur administrativen Anmeldung sagen kannst, wäre ich Dir dankbar.
Eine 100%ige Absicherung wird es nicht geben. Aber ich lerne jeden Tag dazu.
Danke Dir für deine Zeit !
ps. Achso ... ein RADIUSSERVER läuft auch schon für die 450 User ...
erst einmal ein Danke an Dich ... für die schnelle Reaktion !
Hinsichtlich der ungenutzten Dienste ... sind schon abgeschaltet gewesen ! Administration geht nur über Winbox .
Auch Eingrenzung für eines der Subnetze, besser einer einzigen Adresse hatte ich schon. Leider ist es
bei uns ohne "viel" Aufwand möglich sich lokal "Zutritt" zu verschaffen. Daher bringt mir diese Eingrenzung
nur zeitlichen Aufschub ... bis wer auch immer, die festgelegte IP-Adresse herausbekommt.
Ich wollte eigentlich eher eine VPN-Lösung via IPSEC mit Zertifikaten, welche ich in der 1100ah (nicht mit Doppelkern)hinterlege.
Das bringt zwar hinsichtlich der lokalen Anmeldeversuche keinen wahren Schutz, aber mit Portweiterleitung über die Firewall,
kann ich ja die Winbox-Ports auch sichern. Zusätzlich !
Den Adressbereich der VPN-Adressen kann ich ja auch so eingrenzen, dass der Spielraum minimiert wird.
Ich hatte gedacht, dass es möglich sein sollte erst dann die Ports für Winbox freizugeben, wenn ein Abfrage über den Besitz von
Zertifikaten via VPN (IPSEC)positiv abgeschlossen wurde, und ich dann die passende IP-Adresse bekomme.
Auch diese einen IP-Adresse die zugelassen wird, sollte automatisch vom 1100ah abzufragen und an die RB´s eingetragen werden.
Ob es möglich ist ... davon gehe ich aus. Aber da werde ich noch lernen müssen.
Die Seiten die Du per Link genannt hattest sind abgespeichert. Danke dafür.
Ein Dude-Server läuft direkt auf dem Administrationsplatz (was zwar nichts mit Sicherheit zu tun hat)... welcher nur über Teamviewer erreichtbar und mit Adminrechten nutzbar ist. Andere Dienste wie RDP können nicht von der Gruppe Administrator zur Anmeldung genutzt werden.
Was CAPS sein soll und welche Möglichkeiten der Absicherung dieses Paket biete weis ich nicht. Werde mich dennoch belesen.
Auch was das Dude-Paket auf den RB´s ermöglich oder besser welche Aufgaben dies übernimmt oder zu Verfügung stellt weis ich nicht.
Sie gehen auch ohne DUDE-Paket.
Ich denke ich habe noch viel zu lernen. Manches wird so oder ähnlich funktionieren. Anderes eben nicht.
Wenn Du mir noch etwas zu anderen möglichen Authentifizierungen zur administrativen Anmeldung sagen kannst, wäre ich Dir dankbar.
Eine 100%ige Absicherung wird es nicht geben. Aber ich lerne jeden Tag dazu.
Danke Dir für deine Zeit !
ps. Achso ... ein RADIUSSERVER läuft auch schon für die 450 User ...
