Jump to content
Калькуляторы

Mikrotik ктото пытается подобрать пароль? Захожу в log и вижу следующее!

Mikrotik ктото пытается подобрать пароль?

 

Захожу в log и вижу следующее!

 

Чем я рискую, что мне с этим делать?

post-52693-023398300 1427041750_thumb.jpg

Share this post


Link to post
Share on other sites

С этим ничего не сделать, только привыкать.

Если нет необходимости, то SSH можно отключить или перевесить на нестандартный порт.

Share this post


Link to post
Share on other sites

С этим ничего не сделать, только привыкать.

Если нет необходимости, то SSH можно отключить или перевесить на нестандартный порт.

Как его отключить? Как вообще отключить все возможные способы подключения к микротику, чтоб можно было только через винбокс подключатся?

Share this post


Link to post
Share on other sites

Написать фильтры, чтоб на неделю банило ip после 3х неверных попыток входа.

Share this post


Link to post
Share on other sites

чтоб можно было только через винбокс подключатся

Ты думаешь, что WinBox безопаснее SSH?

Отключать в разделе Services.

 

Написать фильтры, чтоб на неделю банило ip после 3х неверных попыток входа.

Ну это перебор, можно и самому на это наткнуться.

Достаточно блокировки на час.

Share this post


Link to post
Share on other sites

Решил сделать так:

 

Лучше перевесить ssh на верх, куда-нибудь, например, 8022.

Share this post


Link to post
Share on other sites

если я не пользуюсь ssh нечего страшного что я его выключил?

Share this post


Link to post
Share on other sites

Добавил фильтры и забыл давно об этом

Share this post


Link to post
Share on other sites

если я не пользуюсь ssh нечего страшного что я его выключил?

 

Да не трагедия, я думаю. Просто удобный инструмент. :)

Edited by vop

Share this post


Link to post
Share on other sites

Написать фильтры, чтоб на неделю банило ip после 3х неверных попыток входа.

 

Ага, что бы зря ресурсы оборудования занимать на всякую ненужную фильтрацию.

Share this post


Link to post
Share on other sites

1. Копипастим вот это:

/ip firewall filter add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers"
/ip firewall filter add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
/ip firewall filter add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h
/ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no
/ip firewall filter add chain=input action=drop protocol=tcp src-address-list=telnet_blacklist dst-port=23 comment="drop telnet brute forcers"
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage3 address-list=telnet_blacklist address-list-timeout=1w3d dst-port=23
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage2 address-list=telnet_stage3 address-list-timeout=1m dst-port=23
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage1 address-list=telnet_stage2 address-list-timeout=1m dst-port=23
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=telnet_stage1 address-list-timeout=1m dst-port=23
/ip firewall filter add chain=input action=drop protocol=tcp src-address-list=winbox_blacklist dst-port=8291 comment="drop winbox brute forcers"
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=winbox_stage3    address-list=winbox_blacklist address-list-timeout=1w3d dst-port=8291
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=winbox_stage2 address-list=winbox_stage3 address-list-timeout=1m dst-port=8291
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=winbox_stage1 address-list=winbox_stage2 address-list-timeout=1m dst-port=8291
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=winbox_stage1 address-list-timeout=1m dst-port=8291

2. ...

3. PROFIT

Share this post


Link to post
Share on other sites

Я в ответ на такое посылаю 200k pps. Баловство конечно, но всё же некоторые отваливаются)

Share this post


Link to post
Share on other sites

Я в ответ на такое посылаю 200k pps. Баловство конечно, но всё же некоторые отваливаются)

Обработка неверной аутентификацией сервисом sshd в разы тяжелее нежели отлуп фаерволом.

так что микротик сдохнет уже на 20k а не на 200

Share this post


Link to post
Share on other sites

Откройте досутп к нужному сервису для своего ip, если он постоянен.

Иначе как уже объяснили выше.

Share this post


Link to post
Share on other sites

А кто мешает вбить диапазон с которых разрешен заход

post-10676-022271000 1427090095_thumb.png

Share this post


Link to post
Share on other sites

А кто мешает вбить диапазон с которых разрешен заход

1) Это не всегда возможно ибо не всегда возможно определить этот самый диапазон

2) Чем это принципиально отличается от анти-брутфорс правил фаервола?

Share this post


Link to post
Share on other sites

Сегодня зашел в логи, там пусто.

значит вопрос решен!

Share this post


Link to post
Share on other sites

Решил сделать так:

Всё правильно сделал, у меня также. А долбятся как правило, китайцы.

Share this post


Link to post
Share on other sites

А кто мешает вбить диапазон с которых разрешен заход

1) Это не всегда возможно ибо не всегда возможно определить этот самый диапазон

2) Чем это принципиально отличается от анти-брутфорс правил фаервола?

 

С точки зрения ресурсов, так именно лучше, чем прописывать в IP\Firewall\Filters

так как там любой пакет будет проверяться на это правило.

А когда прописано именно в IP-диапазоне сервиса только когда когда

именно кто то долбиться именно в сервис.

Share this post


Link to post
Share on other sites

Всё правильно сделал, у меня также. А долбятся как правило, китайцы.

А зачем Китайцам мой микротик? Какие цели они преследуют?

Edited by Sipl

Share this post


Link to post
Share on other sites
С точки зрения ресурсов, так именно лучше, чем прописывать в IP\Firewall\Filters так как там любой пакет будет проверяться на это правило. А когда прописано именно в IP-диапазоне сервиса только когда когда именно кто то долбиться именно в сервис.

Какое то мутное описание матчинга пакетов в фаерволе.

У меня для вас новость: пакет сначала проходит фаервол а уже потом уходит дальше по сетевому стёку и попадает (или нет) на конкретный сокет сервиса/приложения. Это в любой ОС так.

 

А зачем Китайцам мой микротик? Какие цели они преследуют?

Так, до кучи.

Однажды им может понадобится чтобы ты - злобный русский хакер, устроил атаку на пентагон, за то что он мешает добрым китайцам чего то там делать, а хотя бы и в тебете.

Или вдруг у тебя что то интересное найдётся.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this