Jump to content
Калькуляторы

Mikrotik ктото пытается подобрать пароль? Захожу в log и вижу следующее!

Reply to this topic

alibek   

alibek
Posted · Report post

С этим ничего не сделать, только привыкать.

Если нет необходимости, то SSH можно отключить или перевесить на нестандартный порт.

Share this post

Link to post
Share on other sites

Sipl   

Sipl
Posted · Report post

С этим ничего не сделать, только привыкать.

Если нет необходимости, то SSH можно отключить или перевесить на нестандартный порт.

Как его отключить? Как вообще отключить все возможные способы подключения к микротику, чтоб можно было только через винбокс подключатся?

Share this post

Link to post
Share on other sites

alibek   

alibek
Posted · Report post

чтоб можно было только через винбокс подключатся

Ты думаешь, что WinBox безопаснее SSH?

Отключать в разделе Services.

 

Написать фильтры, чтоб на неделю банило ip после 3х неверных попыток входа.

Ну это перебор, можно и самому на это наткнуться.

Достаточно блокировки на час.

Share this post

Link to post
Share on other sites

vop   

vop
Posted (edited) · Report post

если я не пользуюсь ssh нечего страшного что я его выключил?

 

Да не трагедия, я думаю. Просто удобный инструмент. :)

Edited by vop

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted · Report post

Написать фильтры, чтоб на неделю банило ip после 3х неверных попыток входа.

 

Ага, что бы зря ресурсы оборудования занимать на всякую ненужную фильтрацию.

Share this post

Link to post
Share on other sites

myst   

myst
Posted · Report post

1. Копипастим вот это:

/ip firewall filter add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers"
/ip firewall filter add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
/ip firewall filter add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h
/ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no
/ip firewall filter add chain=input action=drop protocol=tcp src-address-list=telnet_blacklist dst-port=23 comment="drop telnet brute forcers"
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage3 address-list=telnet_blacklist address-list-timeout=1w3d dst-port=23
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage2 address-list=telnet_stage3 address-list-timeout=1m dst-port=23
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage1 address-list=telnet_stage2 address-list-timeout=1m dst-port=23
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=telnet_stage1 address-list-timeout=1m dst-port=23
/ip firewall filter add chain=input action=drop protocol=tcp src-address-list=winbox_blacklist dst-port=8291 comment="drop winbox brute forcers"
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=winbox_stage3    address-list=winbox_blacklist address-list-timeout=1w3d dst-port=8291
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=winbox_stage2 address-list=winbox_stage3 address-list-timeout=1m dst-port=8291
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=winbox_stage1 address-list=winbox_stage2 address-list-timeout=1m dst-port=8291
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=winbox_stage1 address-list-timeout=1m dst-port=8291

2. ...

3. PROFIT

Share this post

Link to post
Share on other sites

AKim   

AKim
Posted · Report post

Я в ответ на такое посылаю 200k pps. Баловство конечно, но всё же некоторые отваливаются)

Share this post

Link to post
Share on other sites

myst   

myst
Posted · Report post

Я в ответ на такое посылаю 200k pps. Баловство конечно, но всё же некоторые отваливаются)

Обработка неверной аутентификацией сервисом sshd в разы тяжелее нежели отлуп фаерволом.

так что микротик сдохнет уже на 20k а не на 200

Share this post

Link to post
Share on other sites

bomberman   

bomberman
Posted · Report post

Откройте досутп к нужному сервису для своего ip, если он постоянен.

Иначе как уже объяснили выше.

Share this post

Link to post
Share on other sites

myst   

myst
Posted · Report post

А кто мешает вбить диапазон с которых разрешен заход

1) Это не всегда возможно ибо не всегда возможно определить этот самый диапазон

2) Чем это принципиально отличается от анти-брутфорс правил фаервола?

Share this post

Link to post
Share on other sites

Gromozeka   

Gromozeka
Posted · Report post

А кто мешает вбить диапазон с которых разрешен заход

1) Это не всегда возможно ибо не всегда возможно определить этот самый диапазон

2) Чем это принципиально отличается от анти-брутфорс правил фаервола?

 

С точки зрения ресурсов, так именно лучше, чем прописывать в IP\Firewall\Filters

так как там любой пакет будет проверяться на это правило.

А когда прописано именно в IP-диапазоне сервиса только когда когда

именно кто то долбиться именно в сервис.

Share this post

Link to post
Share on other sites

Sipl   

Sipl
Posted (edited) · Report post

Всё правильно сделал, у меня также. А долбятся как правило, китайцы.

А зачем Китайцам мой микротик? Какие цели они преследуют?

Edited by Sipl

Share this post

Link to post
Share on other sites

Ivan_83   

Ivan_83
Posted · Report post
С точки зрения ресурсов, так именно лучше, чем прописывать в IP\Firewall\Filters так как там любой пакет будет проверяться на это правило. А когда прописано именно в IP-диапазоне сервиса только когда когда именно кто то долбиться именно в сервис.

Какое то мутное описание матчинга пакетов в фаерволе.

У меня для вас новость: пакет сначала проходит фаервол а уже потом уходит дальше по сетевому стёку и попадает (или нет) на конкретный сокет сервиса/приложения. Это в любой ОС так.

 

А зачем Китайцам мой микротик? Какие цели они преследуют?

Так, до кучи.

Однажды им может понадобится чтобы ты - злобный русский хакер, устроил атаку на пентагон, за то что он мешает добрым китайцам чего то там делать, а хотя бы и в тебете.

Или вдруг у тебя что то интересное найдётся.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Mikrotik коммутаторы и маршрутизаторы