La Fibre
Datacenter et équipements réseaux => Routeurs => 
MikroTik RouterOS => Discussion démarrée par: tucs le 22 mai 2023 à 14:03:25
-
Le firmware 7.9.1 est disponible pour patcher une vulnérabilité CVE-2023-32154 :
Détail:
https://blog.mikrotik.com/security/cve-2023-32154.html (https://blog.mikrotik.com/security/cve-2023-32154.html)
Firmware:
https://mikrotik.com/download (https://mikrotik.com/download)
-
C’est fortement recommandé pour ceux qui ont remplacé leur Livebox par un routeur Mikrotik et qui utilisent IPv6.
La vulnérabilité concerne ceux qui acceptent des RA :
ipv6/settings/ set accept-router-advertisements=yes
-
Ouaip , faut avoir une sacrée infra pour accepter les RA sur un routeur quand même ...
-
Bin la route par défaut chez Orange...
Chez moi elle est statique mais à la base la box l'apprend grâce aux RA.
-
Non il me semble que dans un Mikrotik la route est ajoutée quand "add default route" est cochée dans le client DHCP. C'est le client DHCP qui ajoute la route, pas une écoute de RA.
-
Ouaip , faut avoir une sacrée infra pour accepter les RA sur un routeur quand même ...
Bah ça concerne du monde. La route par défaut côté WAN déjà. Et c'est la mécanique normale. Il faut lever la protection standard qui bloque l'acceptation des RA dès que l'équipement forward (un routeur quoi) et accepter les RA/lancer un RTSOL.
Non il me semble que dans un Mikrotik la route est ajoutée quand "add default route" est cochée dans le client DHCP. C'est le client DHCP qui ajoute la route, pas une écoute de RA.
En vrai il écoutera les RA. Y a zéro standard pour la route par default en DHCPv6
-
Je confirme que les mikrotik en dhcpv6-client n'utilisent pas les RA pour ajouter la route par défaut, donc je doute que ce soit exploitable dans ce cas
-
Je confirme que les mikrotik en dhcpv6-client n'utilisent pas les RA pour ajouter la route par défaut, donc je doute que ce soit exploitable dans ce cas
Et ils font comment ? sans rtsol/ra ?
-
Et ils font comment ? sans rtsol/ra ?
Je pense qu'ils bypassent le paramètre accept-router-advertisements=no dans ce cas-là uniquement.
Faudrait tester en fait :-D
-
Et ils font comment ? sans rtsol/ra ?
Ils mettent comme gateway l'ip locale qui leur a délivré le DHCP, ça permet notamment de faire marcher DHCPv6-PD en L2TP/PPPoE :)
-
Je pense qu'ils bypassent le paramètre accept-router-advertisements=no dans ce cas-là uniquement.
Non, vraiment pas :D
-
Ils mettent comme gateway l'ip locale qui leur a délivré le DHCP, ça permet notamment de faire marcher DHCPv6-PD en L2TP/PPPoE :)
Tu veux dire refabriquer l'IPv6 link-local depuis la MAC qui contenant la réponse DHCP ?
-
Non, le routeur il te répond bien avec une IP.
Ben voila
-
Merci pour l’info @Hugues, même si en fait je m’en doutais un peu vu les configurations Mikrotik qu’on trouve pour remplacer la LB où le paramètre « add default route » est activé dans la config dhcp.
Je vais ajuster ma conf en conséquence sur mon CCR qui n’est toujours pas en prod… et où j’avais activé l’écoute des RA…
-
Je confirme que les mikrotik en dhcpv6-client n'utilisent pas les RA pour ajouter la route par défaut, donc je doute que ce soit exploitable dans ce cas
Le client DHCPv6 de RouterOS fixe une route par défaut (l'adresse du serveur DHCPv6) si l'option "Add Default Route" est activée. Sinon, le router va écouter les RA.
On peut tout à fait avoir l'option add default route et ne pas accepter les RA pour sécuriser le routeur.
-
Le client DHCPv6 de RouterOS fixe une route par défaut (l'adresse du serveur DHCPv6) si l'option "Add Default Route" est activée. Sinon, le router va écouter les RA.
On peut tout à fait avoir l'option add default route et ne pas accepter les RA pour sécuriser le routeur.
les RA sont inroutables et uniquement dans le scope link-local. Si tu reçois des réponses de RA rogues c'est que le réseau de l'opérateur à un problème beaucoup plus grave. (Cf les fuites dans le 91 avec le dégueuli des routeur K-Net... et la non isolation du réseau.)
-
Il dit qu'il voit pas le rapport avec le message que tu cites
-
"...et ne pas accepter les RA pour sécuriser le routeur."
-
Mais mais mais
Tu as lu le premier post du thread ?? ???
-
Mais mais mais
Tu as lu le premier post du thread ?? ???
ça concerne les RA reçus via n'importe quelle interface. Dont ton LAN. Les chances que le RA de ton FAI conduise à l'exécution de code arbitraire de sa part son faible à nulle.
-
"...et ne pas accepter les RA pour sécuriser le routeur."
Je voulais dire qu'il est possible de sécuriser son routeur (même si la possibilité de se faire avoir utilisant cette faille est très faible, en raison du setup nécessaire pour arriver en link-local au routeur) en désactivant l'option accept-router-advertisements (https://blog.mikrotik.com/security/cve-2023-32154.html (https://blog.mikrotik.com/security/cve-2023-32154.html)).
ipv6/settings/ set accept-router-advertisements=no
-
Ce qui est la config de base d'un routeur mikrotik, rappelons le.
-
Ce qui est la config de base d'un routeur mikrotik, rappelons le.
Ça doit être à cause de la RFC 6204 au W-3 pour les "Customer Edge Routers"
W-3: Absent other routing information, the IPv6 CE router MUST use
Router Discovery as specified in [RFC4861] to discover a
default router(s) and install default route(s) in its routing
table with the discovered router's address as the next hop.
La RFC 4861 c'est les Neighbor Discovery for IP version 6 (IPv6) dont les RTSOL/RA. Mais chez Mikrotik c'est pas discriminant sur l'interface à ouvrir aux RA.
Les autres routeurs "normaux" dès que le forwarding est enclenché ça ignore les RA.
-
Ben chez Mikrotik c'est désactivé (et je trouve ça très bien) si le forwarding est activé :)
-
Bon, je découvre ce fil hyper tard, mais j'ai une circonstance atténuante, j'ai déménagé le 23 mai ::)
Je vais éditer le fil Orange 2Gbps, pour indiquer la faille. Le tuto IPv6 indiquait du RA mais en dhcp add-default-route=yes, donc ouf.