Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Eingeschränkter Zugriff (z.B. über Zertifikat) für die Konfiguration von Microtik-Router

Mitglied: SauBaer2014

SauBaer2014 (Level 1) - Jetzt verbinden

30.06.2014 um 10:25 Uhr, 1614 Aufrufe, 2 Kommentare

Hallo Alle zusammen ...


ich würde gern meine MikroTIK Routerboards für eine Fernkonfiguration so einschränken, dass nur der PC sich am Interface (z.B. WEBconfig) von allen Board anmelden kann, der auch das passende Zertifikat besitzt.

Leider habe aber die Befürchtung, dass es den Datentransfer zwischen den Boards genauso betreffen könnte. Genau das möchte ich nicht.

Hat jemand von Euch hierbei schon Erfahrungen gesammelt oder eine andere Idee wie ich den Zugriff festlegen kann.
Eine Eingrenzung per IP-Adresse ist mir zu einfach.

Ich dachte an Zertifikate die ich im RouterOS zur Authentifizierung der administrativen Gegenstelle nutzen kann.Aber halt ohne Beeinträchtigung der
WDS-Verbindungen. Ich dachte an so was wie L2TP über IPsec ... egal ob dann über WEB oder nur TELNET... etc.

Vielleicht gibt es ja auch ein anderes Protokoll, oder eine andere Idee...

Das Netzwerk besteht aus mehreren EOIP-Tunneln (beginnend an einem 1100AH)und dahinter sind dann bis zu 4 RB der 433-Serie.
Der Remote Admin - PC ist ein Win7 Pro mit fixer IP.

Für ein wenig Brainstorming wäre ich dankbar!

MFG Swen

Mitglied: 108012
30.06.2014 um 15:16 Uhr
Hallo,

ich würde als erstes einmal mehrere Accounts anlegen und diesen dann auch verschiedene
Tätigkeiten zuweisen und dann damit arbeiten, und nicht nur und ausschließlich mit dem
Admin Account! RouterOS basierte Systeme absichern

Auf RouterOS v. 6.13 updaten

Absichern:
- Alles abschalten was nicht gebraucht wird (Protokolle)
- Alles was gebraucht wird nur intern (Netzwerk) erlauben
- Ein VLAN1 (default) anlegen und diese nur zum administrieren benutzen
- Das VLAN1 mittels eines Radius Servers absichern

Verwalten: (RouterOS Updates, Password ändern, Einstellungen vornehmen)
- Auf dem Windows PC "The DUDE" installieren
- Auf dem RB1100AHx2 und den RB433 das "The DUDE" Paket installieren
- Auf dem RB1100AHx2 die .pkg Pakete für die restlichen RBs im Ordner "files"
hinterlegen diese können sich dann mittels der neuen Update Funktion von dort Ihre
Updates holen

Administrieren:
- CAPS Manager Paket auf dem RB1100AHx2 installieren
- CAPS Klient Pakete auf den RB433 installieren

Ich lege Dir ans Herz Dir dringend ein paar Bücher zu kaufen, auch wenn diese schon etwas
älter sind kann man aus Ihnen noch ein wenig mehr Info heraus holen und zum Anfang erst recht,
mit dem Bezug auf eben diese Absicherung von der wir hier reden, sicherlich sind die Bücher nicht
mehr "up to date" nur sie beinhalten eben auch ein paar sicherlich gute Tipps die man später nicht
mehr missen möchte.

Learn RouterOS - Second Edition
RouterOS by Example

Gruß
Dobby
Bitte warten ..
Mitglied: SauBaer2014
02.07.2014 um 11:10 Uhr
Hallo Dobby ...

erst einmal ein Danke an Dich ... für die schnelle Reaktion !

Hinsichtlich der ungenutzten Dienste ... sind schon abgeschaltet gewesen ! Administration geht nur über Winbox .

Auch Eingrenzung für eines der Subnetze, besser einer einzigen Adresse hatte ich schon. Leider ist es
bei uns ohne "viel" Aufwand möglich sich lokal "Zutritt" zu verschaffen. Daher bringt mir diese Eingrenzung
nur zeitlichen Aufschub ... bis wer auch immer, die festgelegte IP-Adresse herausbekommt.

Ich wollte eigentlich eher eine VPN-Lösung via IPSEC mit Zertifikaten, welche ich in der 1100ah (nicht mit Doppelkern)hinterlege.
Das bringt zwar hinsichtlich der lokalen Anmeldeversuche keinen wahren Schutz, aber mit Portweiterleitung über die Firewall,
kann ich ja die Winbox-Ports auch sichern. Zusätzlich !

Den Adressbereich der VPN-Adressen kann ich ja auch so eingrenzen, dass der Spielraum minimiert wird.

Ich hatte gedacht, dass es möglich sein sollte erst dann die Ports für Winbox freizugeben, wenn ein Abfrage über den Besitz von
Zertifikaten via VPN (IPSEC)positiv abgeschlossen wurde, und ich dann die passende IP-Adresse bekomme.

Auch diese einen IP-Adresse die zugelassen wird, sollte automatisch vom 1100ah abzufragen und an die RB´s eingetragen werden.
Ob es möglich ist ... davon gehe ich aus. Aber da werde ich noch lernen müssen.

Die Seiten die Du per Link genannt hattest sind abgespeichert. Danke dafür.

Ein Dude-Server läuft direkt auf dem Administrationsplatz (was zwar nichts mit Sicherheit zu tun hat)... welcher nur über Teamviewer erreichtbar und mit Adminrechten nutzbar ist. Andere Dienste wie RDP können nicht von der Gruppe Administrator zur Anmeldung genutzt werden.

Was CAPS sein soll und welche Möglichkeiten der Absicherung dieses Paket biete weis ich nicht. Werde mich dennoch belesen.
Auch was das Dude-Paket auf den RB´s ermöglich oder besser welche Aufgaben dies übernimmt oder zu Verfügung stellt weis ich nicht.
Sie gehen auch ohne DUDE-Paket.

Ich denke ich habe noch viel zu lernen. Manches wird so oder ähnlich funktionieren. Anderes eben nicht.

Wenn Du mir noch etwas zu anderen möglichen Authentifizierungen zur administrativen Anmeldung sagen kannst, wäre ich Dir dankbar.

Eine 100%ige Absicherung wird es nicht geben. Aber ich lerne jeden Tag dazu.

Danke Dir für deine Zeit !

ps. Achso ... ein RADIUSSERVER läuft auch schon für die 450 User ...
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Upload bei Router eingeschränkt
Frage von rich500Netzwerke18 Kommentare

Hallo, bin ein relativ unwissender und würde eure Hilfe benötigen. Habe einen Load Balance Router (Tp Link ER 5120) ...

Router & Routing
Router für WLAN Konfiguration
Frage von mischanjRouter & Routing7 Kommentare

Hallo! Ich benötige bitte Hilfe bei der Einrichtung eines Internetzuganges. Es handelt sich um folgende IST Zustand. Ein Router ...

Router & Routing

Exotische Router-Konfiguration zu Testzwecken

Frage von VancouveronaRouter & Routing3 Kommentare

Hallo zusammen, ich habe ein kleines Problem: Ich muss einen Router zu Testzwecken an's Laufen bringen, der in Shanghai ...

Firewall

Verständnisfrage zur NAT Konfiguration auf meinem Router

gelöst Frage von warbyrdFirewall7 Kommentare

Hallo zusammen, ich habe eine Verständnisfrage zu Portweiterleitungen auf meinem Router. Hier der Screenshot, um den es geht: Gehe ...

Neue Wissensbeiträge
Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 8 StundenHumor (lol)1 Kommentar

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 20 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 21 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 1 TagMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server40 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...