ssjerat Posted September 16, 2015 · Report post Всем привет. Тут в логах микротика обнаружил что кто-то или что-то постоянно долбится на него. С помощью правил защитил микротик от брута. И уже за 30 мин 4 разных ip попали в бан. Для интереса проверил эти адреса в 2ip.ru, показывает что айпи принадлежат разным странам. Что впринципе вообще это может быть? Share this post Link to post Share on other sites
snvoronkov Posted September 16, 2015 · Report post Что впринципе вообще это может быть? С открытием скан-ботов Вас! Они еще и telnet регулярно щупают. :-) Share this post Link to post Share on other sites
alks Posted September 16, 2015 · Report post Что впринципе вообще это может быть? С открытием скан-ботов Вас! Они еще и telnet регулярно щупают. :-) Пустил скупую мужскую слезу ... /*всхлипывая*/ ностальгия - все мы были такими, когда-то Share this post Link to post Share on other sites
ilili Posted September 16, 2015 · Report post ssh на какой-нибудь другой порт перенесите, пусть дальше вслепую щупают ) Share this post Link to post Share on other sites
ssjerat Posted September 16, 2015 · Report post Да заметил что и на telnet долбятся. Так что лучше делать порты на другие поменять или фаерволом защититься? Share this post Link to post Share on other sites
snvoronkov Posted September 16, 2015 · Report post Так что лучше делать порты на другие поменять или фаерволом защититься? Фаером, конечно. Пускать соединения только оттуда, откуда можно. Share this post Link to post Share on other sites
optimous Posted September 16, 2015 (edited) · Report post Да заметил что и на telnet долбятся. Так что лучше делать порты на другие поменять или фаерволом защититься? ставлю галку напротив пункта "порты" ) ну и конечно файервол никто не отменял ... Edited September 16, 2015 by optimous Share this post Link to post Share on other sites
NikAlexAn Posted September 16, 2015 (edited) · Report post Да заметил что и на telnet долбятся. Так что лучше делать порты на другие поменять или фаерволом защититься? А вам нужно чтоб была возможность управления с интернета микротиком? Если нет то пропишите разрешённые для удалённого управления сетки в IP/Services или в файрволле правила запрещающие управление с внешнего интерфейса пропишите. Edited September 16, 2015 by NikAlexAn Share this post Link to post Share on other sites
Ivan_83 Posted September 16, 2015 · Report post Всем привет. Тут в логах микротика обнаружил что кто-то или что-то постоянно долбится на него. С помощью правил защитил микротик от брута. И уже за 30 мин 4 разных ip попали в бан. Для интереса проверил эти адреса в 2ip.ru, показывает что айпи принадлежат разным странам. Что впринципе вообще это может быть? Это в африке у тебя умер дядя-король и теперь тебе пытаются перечислить его богатства и гарем :) Долбятся да долбятся, обычное дело, как и сканирование портов. У меня даже до подбора пароля не доходят, ибо криптографию согласовать не могут: я все старое отключил, оставил только несколько самых надёжных алгоритмов. Для самого себя это не мешает, ибо у меня последний OpenSSH, с винды только тератерм может подключится. Раньше была чуть более жёсткая политика на число попыток ввода пароля. Банилки по IP не работают: иногда брутит большой ботнет распределённо, и логины/пароли идут в алфавитном порядке но с разных IP которые редко повторяются. ### CRYPTO Protocol 2 Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes256-ctr MACs hmac-sha2-256-etm@openssh.com,hmac-sha2-256 RekeyLimit 1G 30d ### AUTHENTICATION # HostKeys for protocol version 2 HostKey /etc/ssh/ssh_host_ed25519_key #HostKey /etc/ssh/ssh_host_ecdsa_key #HostKey /etc/ssh/ssh_host_rsa_key #HostKey /etc/ssh/ssh_host_dsa_key #HostCertificate /etc/ssh/... #TrustedUserCAKeys /etc/ssh/... KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521 LoginGraceTime 2m MaxStartups 3:50:10 MaxAuthTries 3 hmac-sha2-256-etm@openssh.com,hmac-sha2-256 - нужны только для aes256-ctr ecdh-sha2-nistp521 - используется для пересогласования ключей, хз, без него не работает, хотя должно. Share this post Link to post Share on other sites
snvoronkov Posted September 16, 2015 · Report post Долбятся да долбятся, обычное дело, как и сканирование портов. У меня даже до подбора пароля не доходят, ибо криптографию согласовать не могут: я все старое отключил, оставил только несколько самых надёжных алгоритмов. ... Раньше была чуть более жёсткая политика на число попыток ввода пароля. Зачем такие сложности? Оставить авторизацию ТОЛЬКО на ключе и пусть 2048 ключь хоть до позеленения подбирают. :-) Только не поможет это - у ТС на Микротик ломятся. Share this post Link to post Share on other sites
Saab95 Posted September 16, 2015 · Report post Микротик можно вообще не закрывать, ломятся и ломятся, все равно пароль не подберут, а если подберут, зайдут и увидят болт, т.к. те команды, что будут пытаться влить, микротик не понимает. Share this post Link to post Share on other sites
Diman_xxxx Posted September 16, 2015 · Report post Пошел за попкорн-ом... Share this post Link to post Share on other sites
stas_k Posted September 16, 2015 · Report post подписался на комменты Share this post Link to post Share on other sites
Ivan_83 Posted September 16, 2015 · Report post Зачем такие сложности? Оставить авторизацию ТОЛЬКО на ключе и пусть 2048 ключь хоть до позеленения подбирают. :-) 1. У него не такая уж и большая безопасность. см стр 2: http://tools.ietf.org/html/rfc4492 2. У тика грузит проц, когда хэндшейк делается, и RSA только усугубляет ситуацию. Share this post Link to post Share on other sites
snvoronkov Posted September 17, 2015 · Report post 2. У тика грузит проц, когда хэндшейк делается, и RSA только усугубляет ситуацию. Тогда зачем плохое советуете? :-) Закрыть фаером все лишнее и дело с концом. Микротик можно вообще не Так лучше. :)) 1. У него не такая уж и большая безопасность. см стр 2: http://tools.ietf.org/html/rfc4492 Это про скорость подбора. И пока элиптику еще не акселерировали. Подбору 2048 DSA на удаленном шеле никак не способствует. Share this post Link to post Share on other sites
