ssjerat Posted September 16, 2015 Всем привет. Тут в логах микротика обнаружил что кто-то или что-то постоянно долбится на него. С помощью правил защитил микротик от брута. И уже за 30 мин 4 разных ip попали в бан. Для интереса проверил эти адреса в 2ip.ru, показывает что айпи принадлежат разным странам. Что впринципе вообще это может быть? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted September 16, 2015 Что впринципе вообще это может быть? С открытием скан-ботов Вас! Они еще и telnet регулярно щупают. :-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alks Posted September 16, 2015 Что впринципе вообще это может быть? С открытием скан-ботов Вас! Они еще и telnet регулярно щупают. :-) Пустил скупую мужскую слезу ... /*всхлипывая*/ ностальгия - все мы были такими, когда-то Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ilili Posted September 16, 2015 ssh на какой-нибудь другой порт перенесите, пусть дальше вслепую щупают ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ssjerat Posted September 16, 2015 Да заметил что и на telnet долбятся. Так что лучше делать порты на другие поменять или фаерволом защититься? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted September 16, 2015 Так что лучше делать порты на другие поменять или фаерволом защититься? Фаером, конечно. Пускать соединения только оттуда, откуда можно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
optimous Posted September 16, 2015 (edited) Да заметил что и на telnet долбятся. Так что лучше делать порты на другие поменять или фаерволом защититься? ставлю галку напротив пункта "порты" ) ну и конечно файервол никто не отменял ... Edited September 16, 2015 by optimous Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted September 16, 2015 (edited) Да заметил что и на telnet долбятся. Так что лучше делать порты на другие поменять или фаерволом защититься? А вам нужно чтоб была возможность управления с интернета микротиком? Если нет то пропишите разрешённые для удалённого управления сетки в IP/Services или в файрволле правила запрещающие управление с внешнего интерфейса пропишите. Edited September 16, 2015 by NikAlexAn Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted September 16, 2015 Всем привет. Тут в логах микротика обнаружил что кто-то или что-то постоянно долбится на него. С помощью правил защитил микротик от брута. И уже за 30 мин 4 разных ip попали в бан. Для интереса проверил эти адреса в 2ip.ru, показывает что айпи принадлежат разным странам. Что впринципе вообще это может быть? Это в африке у тебя умер дядя-король и теперь тебе пытаются перечислить его богатства и гарем :) Долбятся да долбятся, обычное дело, как и сканирование портов. У меня даже до подбора пароля не доходят, ибо криптографию согласовать не могут: я все старое отключил, оставил только несколько самых надёжных алгоритмов. Для самого себя это не мешает, ибо у меня последний OpenSSH, с винды только тератерм может подключится. Раньше была чуть более жёсткая политика на число попыток ввода пароля. Банилки по IP не работают: иногда брутит большой ботнет распределённо, и логины/пароли идут в алфавитном порядке но с разных IP которые редко повторяются. ### CRYPTO Protocol 2 Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes256-ctr MACs hmac-sha2-256-etm@openssh.com,hmac-sha2-256 RekeyLimit 1G 30d ### AUTHENTICATION # HostKeys for protocol version 2 HostKey /etc/ssh/ssh_host_ed25519_key #HostKey /etc/ssh/ssh_host_ecdsa_key #HostKey /etc/ssh/ssh_host_rsa_key #HostKey /etc/ssh/ssh_host_dsa_key #HostCertificate /etc/ssh/... #TrustedUserCAKeys /etc/ssh/... KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521 LoginGraceTime 2m MaxStartups 3:50:10 MaxAuthTries 3 hmac-sha2-256-etm@openssh.com,hmac-sha2-256 - нужны только для aes256-ctr ecdh-sha2-nistp521 - используется для пересогласования ключей, хз, без него не работает, хотя должно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted September 16, 2015 Долбятся да долбятся, обычное дело, как и сканирование портов. У меня даже до подбора пароля не доходят, ибо криптографию согласовать не могут: я все старое отключил, оставил только несколько самых надёжных алгоритмов. ... Раньше была чуть более жёсткая политика на число попыток ввода пароля. Зачем такие сложности? Оставить авторизацию ТОЛЬКО на ключе и пусть 2048 ключь хоть до позеленения подбирают. :-) Только не поможет это - у ТС на Микротик ломятся. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 16, 2015 Микротик можно вообще не закрывать, ломятся и ломятся, все равно пароль не подберут, а если подберут, зайдут и увидят болт, т.к. те команды, что будут пытаться влить, микротик не понимает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diman_xxxx Posted September 16, 2015 Пошел за попкорн-ом... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stas_k Posted September 16, 2015 подписался на комменты Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted September 16, 2015 Зачем такие сложности? Оставить авторизацию ТОЛЬКО на ключе и пусть 2048 ключь хоть до позеленения подбирают. :-) 1. У него не такая уж и большая безопасность. см стр 2: http://tools.ietf.org/html/rfc4492 2. У тика грузит проц, когда хэндшейк делается, и RSA только усугубляет ситуацию. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted September 17, 2015 2. У тика грузит проц, когда хэндшейк делается, и RSA только усугубляет ситуацию. Тогда зачем плохое советуете? :-) Закрыть фаером все лишнее и дело с концом. Микротик можно вообще не Так лучше. :)) 1. У него не такая уж и большая безопасность. см стр 2: http://tools.ietf.org/html/rfc4492 Это про скорость подбора. И пока элиптику еще не акселерировали. Подбору 2048 DSA на удаленном шеле никак не способствует. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...