Що таке WebFig?
WebFig — це графічний вебінтерфейс для керування пристроями MikroTik, доступний через браузер за IP-адресою пристрою (наприклад, http://192.168.88.1
). Він дозволяє налаштовувати всі параметри роутера, від мережі до брандмауера.
Навіщо аналізувати трафік WebFig?
-
Для виявлення вразливостей або підозрілих дій.
-
Для діагностики проблем із доступом.
-
Для навчання або тестування мережевої безпеки.
1. Захоплення HTTP/HTTPS трафіку
Налаштування Wireshark:
-
Запустіть Wireshark і виберіть інтерфейс, через який йде трафік (зазвичай
Ethernet
абоWi-Fi
). -
У фільтрі захоплення введіть:
або використовуйте фільтр відображення:
Що видно в HTTP:
Якщо WebFig використовується через HTTP, весь трафік відкритий. Ви можете бачити:
-
Запити GET/POST
-
Передані логіни і паролі (у відкритому вигляді!)
-
Структуру сторінок
⚠️ Небезпека: WebFig через HTTP — це серйозна вразливість. Дані легко перехопити.
2. HTTPS та розшифрування трафіку
Чому HTTPS не видно одразу?
HTTPS трафік шифрується. Ви побачите лише зашифровані TLS пакети.
Як розшифрувати?
Для локального аналізу можливо використати SSLKEYLOGFILE, якщо у вас є доступ до браузера, з якого йде трафік:
-
Увімкніть змінну середовища:
-
Запустіть браузер і відкрийте WebFig через HTTPS.
-
У Wireshark:
Edit → Preferences → Protocols → TLS → (Pre)-Master-Secret log filename → вкажітьsslkeys.log
. -
Wireshark покаже розшифровані дані HTTPS, включно з формами авторизації, відповідями сервера тощо.
3. Як захиститися?
-
Використовуйте тільки HTTPS для доступу до WebFig.
-
Встановіть сертифікат або самопідписаний, або від Let's Encrypt.
-
Обмежте доступ до WebFig лише з внутрішньої мережі.
-
Вимикайте WebFig, якщо використовуєте Winbox або CLI.
Висновок
Аналіз трафіку WebFig через Wireshark — потужний спосіб зрозуміти, як працює взаємодія між адміністратором та MikroTik. Але це також наочна демонстрація, наскільки важливо використовувати захищене з'єднання. Не забувайте: HTTP — це відкрита книга, HTTPS — це замок.
🔒Безпека — понад усе. Навіть найзручніший інтерфейс не вартий ризику, якщо його трафік читається кожним у мережі.