Jump to content
Калькуляторы

Что или кто долбится мне в дверь

Reply to this topic

ssjerat   

ssjerat
Posted

Всем привет. Тут в логах микротика обнаружил что кто-то или что-то постоянно долбится на него. С помощью правил защитил микротик от брута. И уже за 30 мин 4 разных ip попали в бан. Для интереса проверил эти адреса в 2ip.ru, показывает что айпи принадлежат разным странам. Что впринципе вообще это может быть?

post-129627-038141600 1442397214_thumb.jpg

post-129627-044650300 1442397222_thumb.jpg

Share this post

Link to post
Share on other sites

snvoronkov   

snvoronkov
Posted

Что впринципе вообще это может быть?

С открытием скан-ботов Вас! Они еще и telnet регулярно щупают. :-)

Share this post

Link to post
Share on other sites

alks   

alks
Posted

Что впринципе вообще это может быть?

С открытием скан-ботов Вас! Они еще и telnet регулярно щупают. :-)

 

Пустил скупую мужскую слезу ... /*всхлипывая*/

ностальгия - все мы были такими, когда-то

Share this post

Link to post
Share on other sites

snvoronkov   

snvoronkov
Posted

Так что лучше делать порты на другие поменять или фаерволом защититься?

Фаером, конечно. Пускать соединения только оттуда, откуда можно.

Share this post

Link to post
Share on other sites

optimous   

optimous
Posted (edited)

Да заметил что и на telnet долбятся. Так что лучше делать порты на другие поменять или фаерволом защититься?

 

ставлю галку напротив пункта "порты" )

ну и конечно файервол никто не отменял ...

Edited by optimous

Share this post

Link to post
Share on other sites

NikAlexAn   

NikAlexAn
Posted (edited)

Да заметил что и на telnet долбятся. Так что лучше делать порты на другие поменять или фаерволом защититься?

А вам нужно чтоб была возможность управления с интернета микротиком?

Если нет то пропишите разрешённые для удалённого управления сетки в IP/Services или в файрволле правила запрещающие управление с внешнего интерфейса пропишите.

Edited by NikAlexAn

Share this post

Link to post
Share on other sites

Ivan_83   

Ivan_83
Posted
Всем привет. Тут в логах микротика обнаружил что кто-то или что-то постоянно долбится на него. С помощью правил защитил микротик от брута. И уже за 30 мин 4 разных ip попали в бан. Для интереса проверил эти адреса в 2ip.ru, показывает что айпи принадлежат разным странам. Что впринципе вообще это может быть?

Это в африке у тебя умер дядя-король и теперь тебе пытаются перечислить его богатства и гарем :)

 

Долбятся да долбятся, обычное дело, как и сканирование портов.

У меня даже до подбора пароля не доходят, ибо криптографию согласовать не могут: я все старое отключил, оставил только несколько самых надёжных алгоритмов.

Для самого себя это не мешает, ибо у меня последний OpenSSH, с винды только тератерм может подключится.

Раньше была чуть более жёсткая политика на число попыток ввода пароля.

 

Банилки по IP не работают: иногда брутит большой ботнет распределённо, и логины/пароли идут в алфавитном порядке но с разных IP которые редко повторяются.

 

### CRYPTO

Protocol 2

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes256-ctr

MACs hmac-sha2-256-etm@openssh.com,hmac-sha2-256

RekeyLimit 1G 30d

 

 

 

### AUTHENTICATION

# HostKeys for protocol version 2

HostKey /etc/ssh/ssh_host_ed25519_key

#HostKey /etc/ssh/ssh_host_ecdsa_key

#HostKey /etc/ssh/ssh_host_rsa_key

#HostKey /etc/ssh/ssh_host_dsa_key

#HostCertificate /etc/ssh/...

#TrustedUserCAKeys /etc/ssh/...

 

KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521

 

LoginGraceTime 2m

MaxStartups 3:50:10

MaxAuthTries 3

 

 

hmac-sha2-256-etm@openssh.com,hmac-sha2-256 - нужны только для aes256-ctr

ecdh-sha2-nistp521 - используется для пересогласования ключей, хз, без него не работает, хотя должно.

Share this post

Link to post
Share on other sites

snvoronkov   

snvoronkov
Posted

Долбятся да долбятся, обычное дело, как и сканирование портов.

У меня даже до подбора пароля не доходят, ибо криптографию согласовать не могут: я все старое отключил, оставил только несколько самых надёжных алгоритмов.

...

Раньше была чуть более жёсткая политика на число попыток ввода пароля.

Зачем такие сложности? Оставить авторизацию ТОЛЬКО на ключе и пусть 2048 ключь хоть до позеленения подбирают. :-)

 

Только не поможет это - у ТС на Микротик ломятся.

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted

Микротик можно вообще не закрывать, ломятся и ломятся, все равно пароль не подберут, а если подберут, зайдут и увидят болт, т.к. те команды, что будут пытаться влить, микротик не понимает.

Share this post

Link to post
Share on other sites

Ivan_83   

Ivan_83
Posted
Зачем такие сложности? Оставить авторизацию ТОЛЬКО на ключе и пусть 2048 ключь хоть до позеленения подбирают. :-)

1. У него не такая уж и большая безопасность. см стр 2: http://tools.ietf.org/html/rfc4492

2. У тика грузит проц, когда хэндшейк делается, и RSA только усугубляет ситуацию.

Share this post

Link to post
Share on other sites

snvoronkov   

snvoronkov
Posted

2. У тика грузит проц, когда хэндшейк делается, и RSA только усугубляет ситуацию.

Тогда зачем плохое советуете? :-) Закрыть фаером все лишнее и дело с концом.

 

Микротик можно вообще не

Так лучше. :))

 

1. У него не такая уж и большая безопасность. см стр 2: http://tools.ietf.org/html/rfc4492

Это про скорость подбора. И пока элиптику еще не акселерировали. Подбору 2048 DSA на удаленном шеле никак не способствует.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...