Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Eingeschränkter Zugriff (z.B. über Zertifikat) für die Konfiguration von Microtik-Router

Frage Netzwerke Netzwerkprotokolle

Mitglied: SauBaer2014

SauBaer2014 (Level 1) - Jetzt verbinden

30.06.2014 um 10:25 Uhr, 1524 Aufrufe, 2 Kommentare

Hallo Alle zusammen ...


ich würde gern meine MikroTIK Routerboards für eine Fernkonfiguration so einschränken, dass nur der PC sich am Interface (z.B. WEBconfig) von allen Board anmelden kann, der auch das passende Zertifikat besitzt.

Leider habe aber die Befürchtung, dass es den Datentransfer zwischen den Boards genauso betreffen könnte. Genau das möchte ich nicht.

Hat jemand von Euch hierbei schon Erfahrungen gesammelt oder eine andere Idee wie ich den Zugriff festlegen kann.
Eine Eingrenzung per IP-Adresse ist mir zu einfach.

Ich dachte an Zertifikate die ich im RouterOS zur Authentifizierung der administrativen Gegenstelle nutzen kann.Aber halt ohne Beeinträchtigung der
WDS-Verbindungen. Ich dachte an so was wie L2TP über IPsec ... egal ob dann über WEB oder nur TELNET... etc.

Vielleicht gibt es ja auch ein anderes Protokoll, oder eine andere Idee...

Das Netzwerk besteht aus mehreren EOIP-Tunneln (beginnend an einem 1100AH)und dahinter sind dann bis zu 4 RB der 433-Serie.
Der Remote Admin - PC ist ein Win7 Pro mit fixer IP.

Für ein wenig Brainstorming wäre ich dankbar!

Mit freundlichen Grüßen Swen

Mitglied: Dobby
30.06.2014 um 15:16 Uhr
Hallo,

ich würde als erstes einmal mehrere Accounts anlegen und diesen dann auch verschiedene
Tätigkeiten zuweisen und dann damit arbeiten, und nicht nur und ausschließlich mit dem
Admin Account! RouterOS basierte Systeme absichern

Auf RouterOS v. 6.13 updaten

Absichern:
- Alles abschalten was nicht gebraucht wird (Protokolle)
- Alles was gebraucht wird nur intern (Netzwerk) erlauben
- Ein VLAN1 (default) anlegen und diese nur zum administrieren benutzen
- Das VLAN1 mittels eines Radius Servers absichern

Verwalten: (RouterOS Updates, Password ändern, Einstellungen vornehmen)
- Auf dem Windows PC "The DUDE" installieren
- Auf dem RB1100AHx2 und den RB433 das "The DUDE" Paket installieren
- Auf dem RB1100AHx2 die .pkg Pakete für die restlichen RBs im Ordner "files"
hinterlegen diese können sich dann mittels der neuen Update Funktion von dort Ihre
Updates holen

Administrieren:
- CAPS Manager Paket auf dem RB1100AHx2 installieren
- CAPS Klient Pakete auf den RB433 installieren

Ich lege Dir ans Herz Dir dringend ein paar Bücher zu kaufen, auch wenn diese schon etwas
älter sind kann man aus Ihnen noch ein wenig mehr Info heraus holen und zum Anfang erst recht,
mit dem Bezug auf eben diese Absicherung von der wir hier reden, sicherlich sind die Bücher nicht
mehr "up to date" nur sie beinhalten eben auch ein paar sicherlich gute Tipps die man später nicht
mehr missen möchte.

Learn RouterOS - Second Edition
RouterOS by Example

Gruß
Dobby
Bitte warten ..
Mitglied: SauBaer2014
02.07.2014 um 11:10 Uhr
Hallo Dobby ...

erst einmal ein Danke an Dich ... für die schnelle Reaktion !

Hinsichtlich der ungenutzten Dienste ... sind schon abgeschaltet gewesen ! Administration geht nur über Winbox .

Auch Eingrenzung für eines der Subnetze, besser einer einzigen Adresse hatte ich schon. Leider ist es
bei uns ohne "viel" Aufwand möglich sich lokal "Zutritt" zu verschaffen. Daher bringt mir diese Eingrenzung
nur zeitlichen Aufschub ... bis wer auch immer, die festgelegte IP-Adresse herausbekommt.

Ich wollte eigentlich eher eine VPN-Lösung via IPSEC mit Zertifikaten, welche ich in der 1100ah (nicht mit Doppelkern)hinterlege.
Das bringt zwar hinsichtlich der lokalen Anmeldeversuche keinen wahren Schutz, aber mit Portweiterleitung über die Firewall,
kann ich ja die Winbox-Ports auch sichern. Zusätzlich !

Den Adressbereich der VPN-Adressen kann ich ja auch so eingrenzen, dass der Spielraum minimiert wird.

Ich hatte gedacht, dass es möglich sein sollte erst dann die Ports für Winbox freizugeben, wenn ein Abfrage über den Besitz von
Zertifikaten via VPN (IPSEC)positiv abgeschlossen wurde, und ich dann die passende IP-Adresse bekomme.

Auch diese einen IP-Adresse die zugelassen wird, sollte automatisch vom 1100ah abzufragen und an die RB´s eingetragen werden.
Ob es möglich ist ... davon gehe ich aus. Aber da werde ich noch lernen müssen.

Die Seiten die Du per Link genannt hattest sind abgespeichert. Danke dafür.

Ein Dude-Server läuft direkt auf dem Administrationsplatz (was zwar nichts mit Sicherheit zu tun hat)... welcher nur über Teamviewer erreichtbar und mit Adminrechten nutzbar ist. Andere Dienste wie RDP können nicht von der Gruppe Administrator zur Anmeldung genutzt werden.

Was CAPS sein soll und welche Möglichkeiten der Absicherung dieses Paket biete weis ich nicht. Werde mich dennoch belesen.
Auch was das Dude-Paket auf den RB´s ermöglich oder besser welche Aufgaben dies übernimmt oder zu Verfügung stellt weis ich nicht.
Sie gehen auch ohne DUDE-Paket.

Ich denke ich habe noch viel zu lernen. Manches wird so oder ähnlich funktionieren. Anderes eben nicht.

Wenn Du mir noch etwas zu anderen möglichen Authentifizierungen zur administrativen Anmeldung sagen kannst, wäre ich Dir dankbar.

Eine 100%ige Absicherung wird es nicht geben. Aber ich lerne jeden Tag dazu.

Danke Dir für deine Zeit !

ps. Achso ... ein RADIUSSERVER läuft auch schon für die 450 User ...
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
gelöst IIS Zugriff über Zertifikat oder IP Restriction (3)

Frage von Broderick zum Thema Windows Server ...

Router & Routing
Exotische Router-Konfiguration zu Testzwecken (3)

Frage von Vancouverona zum Thema Router & Routing ...

Router & Routing
Unbekannter sichert sich TP-Link-Domains zur Router-Konfiguration (2)

Link von kaiand1 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...