Перейти к содержимому
Калькуляторы

Mikrotik ктото пытается подобрать пароль? Захожу в log и вижу следующее!

Ответить

Sipl   

Sipl
Опубликовано · Жалоба

Mikrotik ктото пытается подобрать пароль?

 

Захожу в log и вижу следующее!

 

Чем я рискую, что мне с этим делать?

post-52693-023398300 1427041750_thumb.jpg

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

alibek   

alibek
Опубликовано · Жалоба

С этим ничего не сделать, только привыкать.

Если нет необходимости, то SSH можно отключить или перевесить на нестандартный порт.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Sipl   

Sipl
Опубликовано · Жалоба

С этим ничего не сделать, только привыкать.

Если нет необходимости, то SSH можно отключить или перевесить на нестандартный порт.

Как его отключить? Как вообще отключить все возможные способы подключения к микротику, чтоб можно было только через винбокс подключатся?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

JoeDoe   

JoeDoe
Опубликовано · Жалоба

Написать фильтры, чтоб на неделю банило ip после 3х неверных попыток входа.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

alibek   

alibek
Опубликовано · Жалоба

чтоб можно было только через винбокс подключатся

Ты думаешь, что WinBox безопаснее SSH?

Отключать в разделе Services.

 

Написать фильтры, чтоб на неделю банило ip после 3х неверных попыток входа.

Ну это перебор, можно и самому на это наткнуться.

Достаточно блокировки на час.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

vop   

vop
Опубликовано · Жалоба

Решил сделать так:

 

Лучше перевесить ssh на верх, куда-нибудь, например, 8022.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Sipl   

Sipl
Опубликовано · Жалоба

если я не пользуюсь ssh нечего страшного что я его выключил?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

vop   

vop
Опубликовано (изменено) · Жалоба

если я не пользуюсь ssh нечего страшного что я его выключил?

 

Да не трагедия, я думаю. Просто удобный инструмент. :)

Изменено пользователем vop

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Saab95   

Saab95
Опубликовано · Жалоба

Написать фильтры, чтоб на неделю банило ip после 3х неверных попыток входа.

 

Ага, что бы зря ресурсы оборудования занимать на всякую ненужную фильтрацию.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

myst   

myst
Опубликовано · Жалоба

1. Копипастим вот это:

/ip firewall filter add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers"
/ip firewall filter add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
/ip firewall filter add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h
/ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no
/ip firewall filter add chain=input action=drop protocol=tcp src-address-list=telnet_blacklist dst-port=23 comment="drop telnet brute forcers"
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage3 address-list=telnet_blacklist address-list-timeout=1w3d dst-port=23
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage2 address-list=telnet_stage3 address-list-timeout=1m dst-port=23
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage1 address-list=telnet_stage2 address-list-timeout=1m dst-port=23
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=telnet_stage1 address-list-timeout=1m dst-port=23
/ip firewall filter add chain=input action=drop protocol=tcp src-address-list=winbox_blacklist dst-port=8291 comment="drop winbox brute forcers"
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=winbox_stage3    address-list=winbox_blacklist address-list-timeout=1w3d dst-port=8291
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=winbox_stage2 address-list=winbox_stage3 address-list-timeout=1m dst-port=8291
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=winbox_stage1 address-list=winbox_stage2 address-list-timeout=1m dst-port=8291
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=winbox_stage1 address-list-timeout=1m dst-port=8291

2. ...

3. PROFIT

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

AKim   

AKim
Опубликовано · Жалоба

Я в ответ на такое посылаю 200k pps. Баловство конечно, но всё же некоторые отваливаются)

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

myst   

myst
Опубликовано · Жалоба

Я в ответ на такое посылаю 200k pps. Баловство конечно, но всё же некоторые отваливаются)

Обработка неверной аутентификацией сервисом sshd в разы тяжелее нежели отлуп фаерволом.

так что микротик сдохнет уже на 20k а не на 200

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

bomberman   

bomberman
Опубликовано · Жалоба

Откройте досутп к нужному сервису для своего ip, если он постоянен.

Иначе как уже объяснили выше.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Gromozeka   

Gromozeka
Опубликовано · Жалоба

А кто мешает вбить диапазон с которых разрешен заход

post-10676-022271000 1427090095_thumb.png

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

myst   

myst
Опубликовано · Жалоба

А кто мешает вбить диапазон с которых разрешен заход

1) Это не всегда возможно ибо не всегда возможно определить этот самый диапазон

2) Чем это принципиально отличается от анти-брутфорс правил фаервола?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Sipl   

Sipl
Опубликовано · Жалоба

Сегодня зашел в логи, там пусто.

значит вопрос решен!

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Diamont   

Diamont
Опубликовано · Жалоба

Решил сделать так:

Всё правильно сделал, у меня также. А долбятся как правило, китайцы.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Gromozeka   

Gromozeka
Опубликовано · Жалоба

А кто мешает вбить диапазон с которых разрешен заход

1) Это не всегда возможно ибо не всегда возможно определить этот самый диапазон

2) Чем это принципиально отличается от анти-брутфорс правил фаервола?

 

С точки зрения ресурсов, так именно лучше, чем прописывать в IP\Firewall\Filters

так как там любой пакет будет проверяться на это правило.

А когда прописано именно в IP-диапазоне сервиса только когда когда

именно кто то долбиться именно в сервис.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Sipl   

Sipl
Опубликовано (изменено) · Жалоба

Всё правильно сделал, у меня также. А долбятся как правило, китайцы.

А зачем Китайцам мой микротик? Какие цели они преследуют?

Изменено пользователем Sipl

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Ivan_83   

Ivan_83
Опубликовано · Жалоба
С точки зрения ресурсов, так именно лучше, чем прописывать в IP\Firewall\Filters так как там любой пакет будет проверяться на это правило. А когда прописано именно в IP-диапазоне сервиса только когда когда именно кто то долбиться именно в сервис.

Какое то мутное описание матчинга пакетов в фаерволе.

У меня для вас новость: пакет сначала проходит фаервол а уже потом уходит дальше по сетевому стёку и попадает (или нет) на конкретный сокет сервиса/приложения. Это в любой ОС так.

 

А зачем Китайцам мой микротик? Какие цели они преследуют?

Так, до кучи.

Однажды им может понадобится чтобы ты - злобный русский хакер, устроил атаку на пентагон, за то что он мешает добрым китайцам чего то там делать, а хотя бы и в тебете.

Или вдруг у тебя что то интересное найдётся.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Mikrotik коммутаторы и маршрутизаторы