Jump to content

Брутфорс на роутере.

ayf
 Share

Recommended Posts

ayf

ayf

Posted
Posted

Коллеги, кто как борется с попытками подбора паролей к бордеру? Сия картина уже напрягает:
  

001383: Jan 12 22:40:29.787: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:40:29 Moscow Sun Jan 12 2020
001384: Jan 12 22:40:32.793: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:40:32 Moscow Sun Jan 12 2020
001385: Jan 12 22:40:45.690: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: support] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:40:45 Moscow Sun Jan 12 2020
001386: Jan 12 22:40:49.218: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:40:49 Moscow Sun Jan 12 2020
001387: Jan 12 22:40:52.226: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:40:52 Moscow Sun Jan 12 2020
001388: Jan 12 22:41:03.677: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:03 Moscow Sun Jan 12 2020
001389: Jan 12 22:41:06.700: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:06 Moscow Sun Jan 12 2020
001390: Jan 12 22:41:09.714: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:09 Moscow Sun Jan 12 2020
001391: Jan 12 22:41:16.582: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:16 Moscow Sun Jan 12 2020
001392: Jan 12 22:41:19.817: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:19 Moscow Sun Jan 12 2020
001393: Jan 12 22:41:22.838: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:22 Moscow Sun Jan 12 2020
001394: Jan 12 22:41:29.938: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:29 Moscow Sun Jan 12 2020
001395: Jan 12 22:41:33.303: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:33 Moscow Sun Jan 12 2020
001396: Jan 12 22:41:36.316: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:36 Moscow Sun Jan 12 2020
001397: Jan 12 22:41:43.198: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:43 Moscow Sun Jan 12 2020
001398: Jan 12 22:41:46.454: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:46 Moscow Sun Jan 12 2020
001399: Jan 12 22:41:49.473: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:49 Moscow Sun Jan 12 2020
001400: Jan 12 22:46:16.770: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET /admin/conf] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:46:16 Moscow Sun Jan 12 2020
001401: Jan 12 22:46:19.855: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: Connection: TE,] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:46:19 Moscow Sun Jan 12 2020
001402: Jan 12 22:46:22.948: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: User-Agent: lib] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:46:22 Moscow Sun Jan 12 2020
001403: Jan 12 22:57:34.677: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET / HTTP/1.0] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:57:34 Moscow Sun Jan 12 2020
001404: Jan 12 22:59:44.978: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET /admin/conf] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:59:44 Moscow Sun Jan 12 2020
001405: Jan 12 22:59:48.063: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: Connection: TE,] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:59:48 Moscow Sun Jan 12 2020
001406: Jan 12 22:59:51.144: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: User-Agent: lib] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:59:51 Moscow Sun Jan 12 2020
001407: Jan 12 23:25:06.266: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET /admin/conf] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:25:06 Moscow Sun Jan 12 2020
001408: Jan 12 23:25:09.358: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: Connection: TE,] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:25:09 Moscow Sun Jan 12 2020
001409: Jan 12 23:25:12.436: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: User-Agent: lib] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:25:12 Moscow Sun Jan 12 2020
001410: Jan 12 23:43:49.034: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET /admin/conf] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:43:49 Moscow Sun Jan 12 2020
001411: Jan 12 23:43:52.163: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: Connection: TE,] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:43:52 Moscow Sun Jan 12 2020
001412: Jan 12 23:43:55.246: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: User-Agent: lib] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:43:55 Moscow Sun Jan 12 2020
001413: Jan 13 00:14:52.871: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET / HTTP/1.1] [Source: UNKNOWN] [localport: 6001] [Reason: Login Authentication Failed] at 00:14:52 Moscow Mon Jan 13 2020
001414: Jan 13 00:18:03.362: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 00:18:03 Moscow Mon Jan 13 2020
001415: Jan 13 00:21:27.949: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET / HTTP/1.1] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 00:21:27 Moscow Mon Jan 13 2020

Так-то понимаю, что не подберут, но все равно активность надоедает.

ayf

ayf

Posted
  • Author
Posted
1 минуту назад, snvoronkov сказал:

Firewall.

 

Типа, есть варианты?

У меня закрыто аксесслистами. Просто думаю, есть ли способы, чтобы решить этот вопрос более кардинально. По принципу fail2ban, чтобы айпишники банило автоматом.

ayf

ayf

Posted
  • Author
Posted
18 минут назад, VolanD666 сказал:

А почему у Вас вообще CP доступен извне? О_о Положите его в отдельный VRF и все. Но это конечно не отменяет ACL на VTY

Он доступен, на самом деле, только с определенных сетей. А вот такой перебор я наблюдаю не только у себя. По роду работы делаю временные сети в разных городах. Как только подключаю оборудование к магистралу - сразу начинается такая же картина. Китайские боты работают без устали.

VolanD666

VolanD666

Posted
Posted
6 минут назад, ayf сказал:

Он доступен, на самом деле, только с определенных сетей. А вот такой перебор я наблюдаю не только у себя. По роду работы делаю временные сети в разных городах. Как только подключаю оборудование к магистралу - сразу начинается такая же картина. Китайские боты работают без устали.

Ну как вариант временно вешать ssh на другой порт

alibek

alibek

Posted
Posted

Ну смотря что подразумевать под ACL.

Если ACL на транзит пакетов (обычный firewall), то да.

Но на MGMT обычно специальный ACL вешают, который управляет не транзитом пакетов, а разрешением или отказом логина.

GrandPr1de

GrandPr1de

Posted
Posted
8 часов назад, ayf сказал:

Так-то понимаю, что не подберут, но все равно активность надоедает.

если на железке не очень бодрый проц то обязательно надо закрывать

так мх80 с открытым в мир ссш может получать от 50 до 90% нагрузки по цпу из-за ботов. и даже мх960 с re1800 может не кисло так офигевать

ayf

ayf

Posted
  • Author
Posted
21 минуту назад, Ivan_83 сказал:

Генерячишь SSH RSA ключ на 16384 бита или ещё больше и боты сами дохнут как мухи :)

Остальные ключи надо отключать.

А также дохнет роутер при попытке зайти на него с таким ключом:)

 

Saab95

Saab95

Posted
Posted

У нас на сетях такое решается за сущие копейки - установка рядом самого дешевого микротика вида RB750, который имеет доступ в интернет для подключения, а все остальное оборудование закрыто извне. На него подключение по VPN и уже после можно попасть на оборудование внутри этой части сети. Никаких переборов паролей не бывает.

Ivan_83

Ivan_83

Posted
Posted
50 минут назад, Saab95 сказал:

У нас на сетях такое решается за сущие копейки - установка рядом самого дешевого микротика вида RB750, который имеет доступ в интернет для подключения, а все остальное оборудование закрыто извне. На него подключение по VPN и уже после можно попасть на оборудование внутри этой части сети. Никаких переборов паролей не бывает.

Ну да, дырявый микротик с дырявым впн - отличное решение.

dvb2000

dvb2000

Posted
Posted (edited)
On 1/13/2020 at 3:34 PM, VolanD666 said:

Ну либо если надо таки доступ извне, тогда ВПН

Именно так. Единственное что к этому можно добавить, так это то что и изнутри доступ только из отдельного Management VLAN , к которому кроме технического сетевого персонала нет доступа ни кому. И всё это базовые прописные истины, с которых начинают постройку сети и не важно временная она ли или постоянная. 

Edited by dvb2000
VolanD666

VolanD666

Posted
Posted
3 часа назад, dvb2000 сказал:

Именно так. Единственное что к этому можно добавить, так это то что и изнутри доступ только из отдельного Management VLAN , к которому кроме технического сетевого персонала нет доступа ни кому. И всё это базовые прописные истины, с которых начинают постройку сети и не важно временная она ли или постоянная. 

 

Мы в таком случае делали ВПН, при подключении к этому ВПНу появлялся доступ до опредленного сервера (у нас это был мониторинг) и с него уже был доступ на железо.

dvb2000

dvb2000

Posted
Posted
12 minutes ago, VolanD666 said:

Мы в таком случае делали ВПН, при подключении к этому ВПНу появлялся доступ до опредленного сервера (у нас это был мониторинг) и с него уже был доступ на железо.

Я делаю проще. VPN пользователь на основе своего SSL сертификата получает доступ только к релевантным ему ресурсам, так например сетевой персонал получает доступ к Management VLAN после того как VPN сервер выдал такому клиенту IP для которого есть правило разрешающее подключение к Management VLAN.

ShyLion

ShyLion

Posted
Posted
On 1/13/2020 at 6:22 PM, jffulcrum said:

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_cfg/configuration/xe-16/sec-usr-cfg-xe-16-book/sec-login-enhance.html

 

Классика, не?

Единственный ответ по существу вопроса.

Эта фича не только в IOS XE есть, но и с давних времен в классическом IOS.

https://www.cisco.com/c/en/us/td/docs/ios/sec_user_services/configuration/guide/12_2sr/sec_securing_user_services_12-2sr_book/sec_login_enhance.html

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.