ssjerat Опубликовано 16 сентября, 2015 · Жалоба Всем привет. Тут в логах микротика обнаружил что кто-то или что-то постоянно долбится на него. С помощью правил защитил микротик от брута. И уже за 30 мин 4 разных ip попали в бан. Для интереса проверил эти адреса в 2ip.ru, показывает что айпи принадлежат разным странам. Что впринципе вообще это может быть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 16 сентября, 2015 · Жалоба Что впринципе вообще это может быть? С открытием скан-ботов Вас! Они еще и telnet регулярно щупают. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 16 сентября, 2015 · Жалоба Что впринципе вообще это может быть? С открытием скан-ботов Вас! Они еще и telnet регулярно щупают. :-) Пустил скупую мужскую слезу ... /*всхлипывая*/ ностальгия - все мы были такими, когда-то Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilili Опубликовано 16 сентября, 2015 · Жалоба ssh на какой-нибудь другой порт перенесите, пусть дальше вслепую щупают ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ssjerat Опубликовано 16 сентября, 2015 · Жалоба Да заметил что и на telnet долбятся. Так что лучше делать порты на другие поменять или фаерволом защититься? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 16 сентября, 2015 · Жалоба Так что лучше делать порты на другие поменять или фаерволом защититься? Фаером, конечно. Пускать соединения только оттуда, откуда можно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
optimous Опубликовано 16 сентября, 2015 (изменено) · Жалоба Да заметил что и на telnet долбятся. Так что лучше делать порты на другие поменять или фаерволом защититься? ставлю галку напротив пункта "порты" ) ну и конечно файервол никто не отменял ... Изменено 16 сентября, 2015 пользователем optimous Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 16 сентября, 2015 (изменено) · Жалоба Да заметил что и на telnet долбятся. Так что лучше делать порты на другие поменять или фаерволом защититься? А вам нужно чтоб была возможность управления с интернета микротиком? Если нет то пропишите разрешённые для удалённого управления сетки в IP/Services или в файрволле правила запрещающие управление с внешнего интерфейса пропишите. Изменено 16 сентября, 2015 пользователем NikAlexAn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 16 сентября, 2015 · Жалоба Всем привет. Тут в логах микротика обнаружил что кто-то или что-то постоянно долбится на него. С помощью правил защитил микротик от брута. И уже за 30 мин 4 разных ip попали в бан. Для интереса проверил эти адреса в 2ip.ru, показывает что айпи принадлежат разным странам. Что впринципе вообще это может быть? Это в африке у тебя умер дядя-король и теперь тебе пытаются перечислить его богатства и гарем :) Долбятся да долбятся, обычное дело, как и сканирование портов. У меня даже до подбора пароля не доходят, ибо криптографию согласовать не могут: я все старое отключил, оставил только несколько самых надёжных алгоритмов. Для самого себя это не мешает, ибо у меня последний OpenSSH, с винды только тератерм может подключится. Раньше была чуть более жёсткая политика на число попыток ввода пароля. Банилки по IP не работают: иногда брутит большой ботнет распределённо, и логины/пароли идут в алфавитном порядке но с разных IP которые редко повторяются. ### CRYPTO Protocol 2 Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes256-ctr MACs hmac-sha2-256-etm@openssh.com,hmac-sha2-256 RekeyLimit 1G 30d ### AUTHENTICATION # HostKeys for protocol version 2 HostKey /etc/ssh/ssh_host_ed25519_key #HostKey /etc/ssh/ssh_host_ecdsa_key #HostKey /etc/ssh/ssh_host_rsa_key #HostKey /etc/ssh/ssh_host_dsa_key #HostCertificate /etc/ssh/... #TrustedUserCAKeys /etc/ssh/... KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521 LoginGraceTime 2m MaxStartups 3:50:10 MaxAuthTries 3 hmac-sha2-256-etm@openssh.com,hmac-sha2-256 - нужны только для aes256-ctr ecdh-sha2-nistp521 - используется для пересогласования ключей, хз, без него не работает, хотя должно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 16 сентября, 2015 · Жалоба Долбятся да долбятся, обычное дело, как и сканирование портов. У меня даже до подбора пароля не доходят, ибо криптографию согласовать не могут: я все старое отключил, оставил только несколько самых надёжных алгоритмов. ... Раньше была чуть более жёсткая политика на число попыток ввода пароля. Зачем такие сложности? Оставить авторизацию ТОЛЬКО на ключе и пусть 2048 ключь хоть до позеленения подбирают. :-) Только не поможет это - у ТС на Микротик ломятся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 сентября, 2015 · Жалоба Микротик можно вообще не закрывать, ломятся и ломятся, все равно пароль не подберут, а если подберут, зайдут и увидят болт, т.к. те команды, что будут пытаться влить, микротик не понимает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diman_xxxx Опубликовано 16 сентября, 2015 · Жалоба Пошел за попкорн-ом... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 16 сентября, 2015 · Жалоба подписался на комменты Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 16 сентября, 2015 · Жалоба Зачем такие сложности? Оставить авторизацию ТОЛЬКО на ключе и пусть 2048 ключь хоть до позеленения подбирают. :-) 1. У него не такая уж и большая безопасность. см стр 2: http://tools.ietf.org/html/rfc4492 2. У тика грузит проц, когда хэндшейк делается, и RSA только усугубляет ситуацию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 17 сентября, 2015 · Жалоба 2. У тика грузит проц, когда хэндшейк делается, и RSA только усугубляет ситуацию. Тогда зачем плохое советуете? :-) Закрыть фаером все лишнее и дело с концом. Микротик можно вообще не Так лучше. :)) 1. У него не такая уж и большая безопасность. см стр 2: http://tools.ietf.org/html/rfc4492 Это про скорость подбора. И пока элиптику еще не акселерировали. Подбору 2048 DSA на удаленном шеле никак не способствует. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...