Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Eingeschränkter Zugriff (z.B. über Zertifikat) für die Konfiguration von Microtik-Router

Frage Netzwerke Netzwerkprotokolle

Mitglied: SauBaer2014

SauBaer2014 (Level 1) - Jetzt verbinden

30.06.2014 um 10:25 Uhr, 1601 Aufrufe, 2 Kommentare

Hallo Alle zusammen ...


ich würde gern meine MikroTIK Routerboards für eine Fernkonfiguration so einschränken, dass nur der PC sich am Interface (z.B. WEBconfig) von allen Board anmelden kann, der auch das passende Zertifikat besitzt.

Leider habe aber die Befürchtung, dass es den Datentransfer zwischen den Boards genauso betreffen könnte. Genau das möchte ich nicht.

Hat jemand von Euch hierbei schon Erfahrungen gesammelt oder eine andere Idee wie ich den Zugriff festlegen kann.
Eine Eingrenzung per IP-Adresse ist mir zu einfach.

Ich dachte an Zertifikate die ich im RouterOS zur Authentifizierung der administrativen Gegenstelle nutzen kann.Aber halt ohne Beeinträchtigung der
WDS-Verbindungen. Ich dachte an so was wie L2TP über IPsec ... egal ob dann über WEB oder nur TELNET... etc.

Vielleicht gibt es ja auch ein anderes Protokoll, oder eine andere Idee...

Das Netzwerk besteht aus mehreren EOIP-Tunneln (beginnend an einem 1100AH)und dahinter sind dann bis zu 4 RB der 433-Serie.
Der Remote Admin - PC ist ein Win7 Pro mit fixer IP.

Für ein wenig Brainstorming wäre ich dankbar!

MFG Swen

Mitglied: 108012
30.06.2014 um 15:16 Uhr
Hallo,

ich würde als erstes einmal mehrere Accounts anlegen und diesen dann auch verschiedene
Tätigkeiten zuweisen und dann damit arbeiten, und nicht nur und ausschließlich mit dem
Admin Account! RouterOS basierte Systeme absichern

Auf RouterOS v. 6.13 updaten

Absichern:
- Alles abschalten was nicht gebraucht wird (Protokolle)
- Alles was gebraucht wird nur intern (Netzwerk) erlauben
- Ein VLAN1 (default) anlegen und diese nur zum administrieren benutzen
- Das VLAN1 mittels eines Radius Servers absichern

Verwalten: (RouterOS Updates, Password ändern, Einstellungen vornehmen)
- Auf dem Windows PC "The DUDE" installieren
- Auf dem RB1100AHx2 und den RB433 das "The DUDE" Paket installieren
- Auf dem RB1100AHx2 die .pkg Pakete für die restlichen RBs im Ordner "files"
hinterlegen diese können sich dann mittels der neuen Update Funktion von dort Ihre
Updates holen

Administrieren:
- CAPS Manager Paket auf dem RB1100AHx2 installieren
- CAPS Klient Pakete auf den RB433 installieren

Ich lege Dir ans Herz Dir dringend ein paar Bücher zu kaufen, auch wenn diese schon etwas
älter sind kann man aus Ihnen noch ein wenig mehr Info heraus holen und zum Anfang erst recht,
mit dem Bezug auf eben diese Absicherung von der wir hier reden, sicherlich sind die Bücher nicht
mehr "up to date" nur sie beinhalten eben auch ein paar sicherlich gute Tipps die man später nicht
mehr missen möchte.

Learn RouterOS - Second Edition
RouterOS by Example

Gruß
Dobby
Bitte warten ..
Mitglied: SauBaer2014
02.07.2014 um 11:10 Uhr
Hallo Dobby ...

erst einmal ein Danke an Dich ... für die schnelle Reaktion !

Hinsichtlich der ungenutzten Dienste ... sind schon abgeschaltet gewesen ! Administration geht nur über Winbox .

Auch Eingrenzung für eines der Subnetze, besser einer einzigen Adresse hatte ich schon. Leider ist es
bei uns ohne "viel" Aufwand möglich sich lokal "Zutritt" zu verschaffen. Daher bringt mir diese Eingrenzung
nur zeitlichen Aufschub ... bis wer auch immer, die festgelegte IP-Adresse herausbekommt.

Ich wollte eigentlich eher eine VPN-Lösung via IPSEC mit Zertifikaten, welche ich in der 1100ah (nicht mit Doppelkern)hinterlege.
Das bringt zwar hinsichtlich der lokalen Anmeldeversuche keinen wahren Schutz, aber mit Portweiterleitung über die Firewall,
kann ich ja die Winbox-Ports auch sichern. Zusätzlich !

Den Adressbereich der VPN-Adressen kann ich ja auch so eingrenzen, dass der Spielraum minimiert wird.

Ich hatte gedacht, dass es möglich sein sollte erst dann die Ports für Winbox freizugeben, wenn ein Abfrage über den Besitz von
Zertifikaten via VPN (IPSEC)positiv abgeschlossen wurde, und ich dann die passende IP-Adresse bekomme.

Auch diese einen IP-Adresse die zugelassen wird, sollte automatisch vom 1100ah abzufragen und an die RB´s eingetragen werden.
Ob es möglich ist ... davon gehe ich aus. Aber da werde ich noch lernen müssen.

Die Seiten die Du per Link genannt hattest sind abgespeichert. Danke dafür.

Ein Dude-Server läuft direkt auf dem Administrationsplatz (was zwar nichts mit Sicherheit zu tun hat)... welcher nur über Teamviewer erreichtbar und mit Adminrechten nutzbar ist. Andere Dienste wie RDP können nicht von der Gruppe Administrator zur Anmeldung genutzt werden.

Was CAPS sein soll und welche Möglichkeiten der Absicherung dieses Paket biete weis ich nicht. Werde mich dennoch belesen.
Auch was das Dude-Paket auf den RB´s ermöglich oder besser welche Aufgaben dies übernimmt oder zu Verfügung stellt weis ich nicht.
Sie gehen auch ohne DUDE-Paket.

Ich denke ich habe noch viel zu lernen. Manches wird so oder ähnlich funktionieren. Anderes eben nicht.

Wenn Du mir noch etwas zu anderen möglichen Authentifizierungen zur administrativen Anmeldung sagen kannst, wäre ich Dir dankbar.

Eine 100%ige Absicherung wird es nicht geben. Aber ich lerne jeden Tag dazu.

Danke Dir für deine Zeit !

ps. Achso ... ein RADIUSSERVER läuft auch schon für die 450 User ...
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Upload bei Router eingeschränkt
Frage von rich500Netzwerke18 Kommentare

Hallo, bin ein relativ unwissender und würde eure Hilfe benötigen. Habe einen Load Balance Router (Tp Link ER 5120) ...

Router & Routing
Router für WLAN Konfiguration
Frage von mischanjRouter & Routing7 Kommentare

Hallo! Ich benötige bitte Hilfe bei der Einrichtung eines Internetzuganges. Es handelt sich um folgende IST Zustand. Ein Router ...

Router & Routing
Exotische Router-Konfiguration zu Testzwecken
Frage von VancouveronaRouter & Routing3 Kommentare

Hallo zusammen, ich habe ein kleines Problem: Ich muss einen Router zu Testzwecken an's Laufen bringen, der in Shanghai ...

Router & Routing
Übungen zu Cisco Router Konfiguration
Frage von M.MarzRouter & Routing3 Kommentare

Hallo zusammen, ich fange bald bei einem Netzwerkunternehmen an, die hauptsächlich mit Cisco Routern arbeiten. Um auch selbstständig was ...

Neue Wissensbeiträge
Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 2 StundenInternet1 Kommentar

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registierunf von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 9 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 20 StundenWindows 103 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 22 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless15 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...