Como enviar comandos a diversos Mikrotiks em sua rede.

Todos sabemos da necessidade, da obrigação do administrador em fazer o dever de casa (Atualizar os equipamentos, aplicar patch de segurança, alterar portas padrão de acesso, usar senhas fortes, criar restrição via ACL ou Firewall).

Quem não o faz, provavelmente enfrenta problemas.

Abaixo listo as Vulnerabilidades recentes da Mikrotik:

  • Vulnerability VPNFilter afeta MK nas versões até a 6.37.4 (Bugfix) ou 6.38.4 (Current).
  • Vulnerability SMB Buffer Overflow afeta MK nas versões até a 6.40.6 (Bugfix) ou 6.41.2 (Current).
  • Vulnerability Exploiting the Winbox Port afeta MK nas versões até a 6.40.7 (Bugfix) ou 6.42 (Current).
  • Vulnerability Winbox Authentication Bypass afeta todas as versões da 6.29 até a 6.42 (Current).

Quando se tem 1, 5, 10 equipamentos…. fica fácil atualizar.
O problema é quando se tem 50, 100 ou mais equipamentos.
O processo é demorado e cansativo.

Segue um script para atualização em massa.

O script desativa alguns serviços raramente usados (ftp,www-ssl,api-ssl), desativa alguns pacotes raramente usados (calea, gps, ups, tr069-client).
Desativa o “bandwidth-server”, “DNS Server”, “proxy”, “socks” e “UPNP”.
E principalmente, ativa o rp-filter como loose (caso deseje saber mais sobre o rp-filter, leia https://bcp.nic.br/antispoofing)
Por fim, verifica se precisa atualizar o Mikrotik ou não.

Para usar o script, siga os passos abaixo:

  1. Descompacte o arquivo “AutoUpdate Mikrotik (SSH).zip”
  2. Com o bloco de notas, edite o arquivo “start update mikrotik.bat”
  3. Substitua:
    • – PORTASSHAQUI pela porta ssh que você usa em sua rede
    • – USERAQUI pelo seu usuario FULL que você usa para acesso
    • – SENHAAQUI pela senha desse usuario FULL.

  4. Com o bloco de notas, edite o arquivo “hosts.ini”, e coloque o IP de acesso aos seus Mikrotik. (Um IP por linha)
  5. Execute o arquivo “start update mikrotik.bat”
  6. Pronto… o script cuidara de acessar cada um desses IPs configurados e irá aplicar o script.

Eu poderia ter acrescentado nesse script algumas outras configurações avançadas, tais como:
– desativar serviços n usados e alterar portas dos demais serviços.
– ativar rp-filter strict nos CE ao invés de loose,
– colocar acl de acesso aos serviços,
– firewall bloqueando portas vulneráveis ou amplificadoras,
– bloqueio externo a portas de gerencia,
– outros….

Mas isso depende de rede para rede.
Então optei por colocar apenas algumas config padrão que considero semelhante na maioria das redes.

Notas da versão (atualizada):
– Não precisa mais abrir o cmd para executar o script, depois de editar o host.ini com seus IPs e de alterar a porta/usuario/senha (conforme descrito acima), ai basta executar o “start update mikrotik.bat”.
– Adicionado no script o parâmetro para aceitar o HostKey SSH automaticamente.
– Corrigido um erro na verificação de versão do Mikrotik.
Clique aqui para baixar o MassUpdate MK (SSH)

Fonte: Underlinux

Administrador AcessoWi-Fi.com – Gerente UnicoHost Soluções Web – Engenheiro de Redes

Julio Rossoni

Administrador AcessoWi-Fi.com - Gerente UnicoHost Soluções Web - Engenheiro de Redes

This site uses Akismet to reduce spam. Learn how your comment data is processed.