grifin.ru Posted April 21, 2018 Posted April 21, 2018 Не хватает знаний, подскажите пожалуйста: Соединение становится "established" когда на отправленный пакет пришел ответ, но ведь ответ может быть в том числе "пшелвжопу" ? Можно ли firewall'ом отсекать хулиганов, которые брутфорсят openvpn сервер? Вроде как эксперимент показывает что можно, но хочется полного понимания. В процессе хендшейка ведь пакеты в обе стороны идут, значит соединение станет established еще до авторизации ? Или как оно работает ? Вставить ник Quote
pppoetest Posted April 22, 2018 Posted April 22, 2018 https://ru.wikipedia.org/wiki/Transmission_Control_Protocol#Установка_соединения Вставить ник Quote
s.lobanov Posted April 22, 2018 Posted April 22, 2018 @grifin.ru Если вы про tcp, то да, авторизация идет после того как tcp.state==established Типичная защита от брутфорса это fail2ban, который парсит логи и блокирует ip-шники через iptables Ну и да, если тупо поменять порт на нестандартный, то боты будут долбится намного меньше (но это ни в коем случае не замена других способов защиты), просто чтобы ipset у вас был поменьше и нагрузка Вставить ник Quote
grifin.ru Posted April 22, 2018 Author Posted April 22, 2018 @s.lobanov Я пытаюсь на микротике сделать самодельный fail2ban через address list'ы Пробую отталкиваться от FIN, которые шлет Ovpn Сервер при неудачной попытке авторизации. Логика простая: если часто идут FINы - значит брутфорс. Но вот думаю, на плохом канале ложных срабатываний не будет ? @pppoetest Очень полезный ответ ;) Вставить ник Quote
s.lobanov Posted April 22, 2018 Posted April 22, 2018 Хватит изобретать велосипеды. Как вы отловите FIN? Делайте тоже самое что делает fail2ban - парсить логи и вносить ip в ipset Заготовки тут - https://wiki.mikrotik.com/wiki/Log_Parser_-_Event_Trigger_Script Вставить ник Quote
grifin.ru Posted April 22, 2018 Author Posted April 22, 2018 2 минуты назад, s.lobanov сказал: Как вы отловите FIN? TCP Flags Вставить ник Quote
s.lobanov Posted April 22, 2018 Posted April 22, 2018 Т.е. анализировать копию трафика или постоянно смотреть на таблицу коннтрек? Вставить ник Quote
grifin.ru Posted April 22, 2018 Author Posted April 22, 2018 @s.lobanov Вот по такому принципу: https://hd.zp.ua/fail2ban-dlya-mikrotik-skriptovaya-zamena/ Только смотрим не входящий state=NEW а на исходящий TCP Flags = FIN Вставить ник Quote
grifin.ru Posted April 22, 2018 Author Posted April 22, 2018 Но что-то я смотрю по ЛОГам, даже при установке туннеля полномочным клинетом - все равно в логе куча FINов. Как бы так сделать красиво и надежно ? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.