MikroTik DNS - Allow Remote Request

Myslel jsem že už je to tak profláknutá chyba/vlastnost, že už si na to dávají všichni pozor.
A ono nee.

O co jde.

 Pokud nechcete používat DNS Vašeho poskytovatele, nebo potřebujete z nějakého důvodu používat vlastní DNS server, tak si zapnete na MikroTiku v položce DNS funkci  Allow Remote Request viz. obrázek.

A ono to funguje, tj. máte "svůj DNS" a můžete si např. dopsat vlastní požadavky do položky Static a pod.
Problém je v tom, že to přijímá požadavky nejen v Vaší vnitřní sítě, ale i zvenčí. Takže pokud máte veřejnou IP tak ji klidně dáte kamarádovi, ten si ji nastaví jako DNS a ono mu to bude fungovat.
A tady se nachází onen zakopaný pes. Na internetu jsou mraky robotů které hledají právě takové chyby a poté je zneužívají k útokům.

O těchto hrozbách informoval CZ.NIC již v roce 2006 https://www.nic.cz/page/384/varovani-pred-otevrenymi-rekurzivnimi-nameservery/  a větší množství MikroTiků bylo zneužito např. při útocích v roce 2012 viz. https://csirt.cz/page/1077/csirt.cz-upozornuje-na-rizikovou-konfiguraci-operacniho-systemu-routeros/

Co s tím

1. vypnout a používat DNS poskytovatele

2. nechat zapnuté a do firewalu dopsat pravidlo kterým zakážete zvenčí port 53.

Pro stejně líné jako jsem já zde uvádím pravidla které stačí pouze vložit do terminálu

ip firewall filter add action=drop chain=input dst-port=53 protocol=udp
ip firewall filter add action=drop chain=input dst-port=53 protocol=tcp

A takto to potom vypadá v reálu. Toto je screen od reálného zákazníka. Podívejte se na počet zahozených paketů na řádku s pravidlem pro UDP.  To je stav po cca 10 hodinách od přidání pravidla. Mimochodem před aplikováním pravidla se vytížení CPU pohybovalo mezi 96 - 100%, po zavření portu je to při běžném provozu do 15%.

Edit:
Pro toho kdo nemá jinak nastavený FW, je potřeba povolit adresy ze kterých je daný provoz žádoucí, :-).
Pravidla jsou pak:

 /ip firewall filter
 add action=drop chain=input dst-port=53 protocol=udp src-address-list=!povolene
 add action=drop chain=input dst-port=53 protocol=tcp src-address-list=!povolene
 

/ip firewall address-list
 add address=primarni dns vaseho ISP list=povolene
 add address=sekundarni DNS vaseho poskytovatele list=povolene
 add address=192.168.0.0/16 list=povolene
 add address=169.254.0.0/16 list=povolene
 add address=172.16.0.0/12 list=povolene
 add address=127.0.0.0/8 list=povolene

NAS D-Link DNS-315 - instalace nového HDD

Jedná se o obyčejný jedno diskový NAS umožňující instalaci až 3 TB HDD. Má klasické webové rozhraní pro základní ovládání a možnost připojit přes USB tiskárnu nebo třeba flahku.
Až potud obyčejná nudná NASka vyjímečná snad jen tím, že od svého uvedení na trh na ni nebyl vytvořen novější firmware a na webu je dostupný (k 5.10.2017)stále jen ve verzi 1.00 z roku 2011. Nu což na základní věci stačí a se stabilitou jsem za celou dobu běhu žádný problém nezaznamenal.

Ta pravá legrace začíná v okamžiku když na stávajícím HDD začne docházet místo a je potřeba ho vyměnit za větší.

Řeklo by se - obyčejná věc. Stáhnu data - vypnu - vyhodím starý HDD - namontuji nový - zapnu a ve webovém rozhraní na mě vyskočí info, že byl detekován nový HDD - zkontroluji název svazku - naformátuji a nakopíruji zpět data. Jednoduché.

No a přesně takhle to nefunguje.

Po výměně disku a zapnutí NASky se totiž nestane vůbec nic. Není dostupná na své původní IP adrese ani si nevyžádá novou z DHCP.
Můžete tak vrazit jiný HDD v domnění, že si s novými disky nerozumí. Můžete ji zapnout úplně bez disku. Výsledek je stejný - ŽÁDNÝ.

Nastává čas na čtení manuálu a zjištění jednoduché skutečnosti - instalace nové NAS nebo i její oprava se vždy dělá přes dodávanou sw utilitu. To jako fakt.

Proč to tak je zjišťuji za malý okamžik. Pro instalaci je potřeba při zapínání NAS přidržet tlačítko Reset dokud se nerozsvítí kontrolka HDD, dál už postupovat dle obrázkového návodu v daném sw. Zpočátku vše funguje, NASka si sosne novou IP, sw si ji vyhledá, člověk ji potvrdí, vše je OK a zhruba za 2 minuty  vyskočí hezká hláška, že TFTP přenos selhal.

Tím pádem jsme doma. Vyřešíme nefunkční TFTP přenos který blokuje ESET a rázem vše funguje. Tedy samozřejmě až poté co si NAS stáhne sw pro své fungování a nainstaluje ho. Kam? No samozřejmě na nový HDD.

Ano. Naši asijští soudruzi zřejmě v rámci šetření usoudili že je zbytečné cpát tam tak velkou paměť aby se tam vešel celý systém, když stačí nějaký bootloader se základem kdy se stisknutím tlačítka Reset ve správné chvíli aktivuje ftp klient a zbytek systému se instaluje na HDD.

Řešení je to funkční byť trochu pracné a zdlouhavé ale člověk to nedělá zas tak často a je potřeba brát v potaz daná NASka patří cenově spíše ke dnu, takže opět se jen potvrzuje staré přísloví - něco za něco.

Profesionální slepota

Občas se stávají věci takřka neuvěřitelné. Před několika lety jsem dělal na jedné školní budově síť. Všechny nové prvky už samozřejmě gigabitové ať to běhá. Loni dostali z dotací nové PC a časem si stěžovali že při práci s NASkou je výrazně pomalejší než všechny ostatní. Šetřením na místě činu se závada skutečně projevila, a já strávil vtipnou půlhodinku zkoušením kde je chyba a porovnáváním rychlostí přenosu přes SMB a FTP novými ovladači kontrolou trasy a pod. protože síť běžela tvrdohlavě pouze na 100Mbit.
Musím si vypůjčit citát sira Arthura Conana Doyleho:

„Je to má stará zásada, že jakmile vyloučíte nemožné, všechno ostatní, co zbude, ať je to jakkoli nepravděpodobné, musí být pravda.“

Ano. Ač je to stěží uvěřitelné, i v roce 2016 existují výrobci kteří (snad v rámci ušetření několika centů) osadí nový PC pouze 100Mbit síťovou kartou a najdou se tvorové kteří toto pc koupí a v rámci dotačního programu (a svých zisků) vrazí kamkoliv kde to projde, ale nic s tím nenadělám. Minimálně do doby než danému PC skončí záruka a já tam budu moci vrazit gigabitovou kartu.