Sipl Posted March 22, 2015 · Report post Mikrotik ктото пытается подобрать пароль? Захожу в log и вижу следующее! Чем я рискую, что мне с этим делать? Share this post Link to post Share on other sites
alibek Posted March 22, 2015 · Report post С этим ничего не сделать, только привыкать. Если нет необходимости, то SSH можно отключить или перевесить на нестандартный порт. Share this post Link to post Share on other sites
Sipl Posted March 22, 2015 · Report post С этим ничего не сделать, только привыкать. Если нет необходимости, то SSH можно отключить или перевесить на нестандартный порт. Как его отключить? Как вообще отключить все возможные способы подключения к микротику, чтоб можно было только через винбокс подключатся? Share this post Link to post Share on other sites
JoeDoe Posted March 22, 2015 · Report post Написать фильтры, чтоб на неделю банило ip после 3х неверных попыток входа. Share this post Link to post Share on other sites
alibek Posted March 22, 2015 · Report post чтоб можно было только через винбокс подключатся Ты думаешь, что WinBox безопаснее SSH? Отключать в разделе Services. Написать фильтры, чтоб на неделю банило ip после 3х неверных попыток входа. Ну это перебор, можно и самому на это наткнуться. Достаточно блокировки на час. Share this post Link to post Share on other sites
Sipl Posted March 22, 2015 · Report post Решил сделать так: Share this post Link to post Share on other sites
vop Posted March 22, 2015 · Report post Решил сделать так: Лучше перевесить ssh на верх, куда-нибудь, например, 8022. Share this post Link to post Share on other sites
Sipl Posted March 22, 2015 · Report post если я не пользуюсь ssh нечего страшного что я его выключил? Share this post Link to post Share on other sites
oneem Posted March 22, 2015 · Report post Добавил фильтры и забыл давно об этом Share this post Link to post Share on other sites
vop Posted March 22, 2015 (edited) · Report post если я не пользуюсь ssh нечего страшного что я его выключил? Да не трагедия, я думаю. Просто удобный инструмент. :) Edited March 22, 2015 by vop Share this post Link to post Share on other sites
Saab95 Posted March 22, 2015 · Report post Написать фильтры, чтоб на неделю банило ip после 3х неверных попыток входа. Ага, что бы зря ресурсы оборудования занимать на всякую ненужную фильтрацию. Share this post Link to post Share on other sites
myst Posted March 22, 2015 · Report post 1. Копипастим вот это: /ip firewall filter add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers" /ip firewall filter add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m /ip firewall filter add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h /ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no /ip firewall filter add chain=input action=drop protocol=tcp src-address-list=telnet_blacklist dst-port=23 comment="drop telnet brute forcers" /ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage3 address-list=telnet_blacklist address-list-timeout=1w3d dst-port=23 /ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage2 address-list=telnet_stage3 address-list-timeout=1m dst-port=23 /ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage1 address-list=telnet_stage2 address-list-timeout=1m dst-port=23 /ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=telnet_stage1 address-list-timeout=1m dst-port=23 /ip firewall filter add chain=input action=drop protocol=tcp src-address-list=winbox_blacklist dst-port=8291 comment="drop winbox brute forcers" /ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=winbox_stage3 address-list=winbox_blacklist address-list-timeout=1w3d dst-port=8291 /ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=winbox_stage2 address-list=winbox_stage3 address-list-timeout=1m dst-port=8291 /ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=winbox_stage1 address-list=winbox_stage2 address-list-timeout=1m dst-port=8291 /ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=winbox_stage1 address-list-timeout=1m dst-port=8291 2. ... 3. PROFIT Share this post Link to post Share on other sites
AKim Posted March 22, 2015 · Report post Я в ответ на такое посылаю 200k pps. Баловство конечно, но всё же некоторые отваливаются) Share this post Link to post Share on other sites
myst Posted March 23, 2015 · Report post Я в ответ на такое посылаю 200k pps. Баловство конечно, но всё же некоторые отваливаются) Обработка неверной аутентификацией сервисом sshd в разы тяжелее нежели отлуп фаерволом. так что микротик сдохнет уже на 20k а не на 200 Share this post Link to post Share on other sites
bomberman Posted March 23, 2015 · Report post Откройте досутп к нужному сервису для своего ip, если он постоянен. Иначе как уже объяснили выше. Share this post Link to post Share on other sites
Gromozeka Posted March 23, 2015 · Report post А кто мешает вбить диапазон с которых разрешен заход Share this post Link to post Share on other sites
myst Posted March 23, 2015 · Report post А кто мешает вбить диапазон с которых разрешен заход 1) Это не всегда возможно ибо не всегда возможно определить этот самый диапазон 2) Чем это принципиально отличается от анти-брутфорс правил фаервола? Share this post Link to post Share on other sites
Sipl Posted March 23, 2015 · Report post Сегодня зашел в логи, там пусто. значит вопрос решен! Share this post Link to post Share on other sites
Diamont Posted March 23, 2015 · Report post Решил сделать так: Всё правильно сделал, у меня также. А долбятся как правило, китайцы. Share this post Link to post Share on other sites
Gromozeka Posted March 24, 2015 · Report post А кто мешает вбить диапазон с которых разрешен заход 1) Это не всегда возможно ибо не всегда возможно определить этот самый диапазон 2) Чем это принципиально отличается от анти-брутфорс правил фаервола? С точки зрения ресурсов, так именно лучше, чем прописывать в IP\Firewall\Filters так как там любой пакет будет проверяться на это правило. А когда прописано именно в IP-диапазоне сервиса только когда когда именно кто то долбиться именно в сервис. Share this post Link to post Share on other sites
Sipl Posted March 25, 2015 (edited) · Report post Всё правильно сделал, у меня также. А долбятся как правило, китайцы. А зачем Китайцам мой микротик? Какие цели они преследуют? Edited March 25, 2015 by Sipl Share this post Link to post Share on other sites
Ivan_83 Posted March 25, 2015 · Report post С точки зрения ресурсов, так именно лучше, чем прописывать в IP\Firewall\Filters так как там любой пакет будет проверяться на это правило. А когда прописано именно в IP-диапазоне сервиса только когда когда именно кто то долбиться именно в сервис. Какое то мутное описание матчинга пакетов в фаерволе. У меня для вас новость: пакет сначала проходит фаервол а уже потом уходит дальше по сетевому стёку и попадает (или нет) на конкретный сокет сервиса/приложения. Это в любой ОС так. А зачем Китайцам мой микротик? Какие цели они преследуют? Так, до кучи. Однажды им может понадобится чтобы ты - злобный русский хакер, устроил атаку на пентагон, за то что он мешает добрым китайцам чего то там делать, а хотя бы и в тебете. Или вдруг у тебя что то интересное найдётся. Share this post Link to post Share on other sites
dIMbI4 Posted March 25, 2015 · Report post отвечу картинкой) Share this post Link to post Share on other sites