ayf Опубликовано 13 января, 2020 · Жалоба Коллеги, кто как борется с попытками подбора паролей к бордеру? Сия картина уже напрягает: 001383: Jan 12 22:40:29.787: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:40:29 Moscow Sun Jan 12 2020 001384: Jan 12 22:40:32.793: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:40:32 Moscow Sun Jan 12 2020 001385: Jan 12 22:40:45.690: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: support] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:40:45 Moscow Sun Jan 12 2020 001386: Jan 12 22:40:49.218: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:40:49 Moscow Sun Jan 12 2020 001387: Jan 12 22:40:52.226: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:40:52 Moscow Sun Jan 12 2020 001388: Jan 12 22:41:03.677: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:03 Moscow Sun Jan 12 2020 001389: Jan 12 22:41:06.700: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:06 Moscow Sun Jan 12 2020 001390: Jan 12 22:41:09.714: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:09 Moscow Sun Jan 12 2020 001391: Jan 12 22:41:16.582: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:16 Moscow Sun Jan 12 2020 001392: Jan 12 22:41:19.817: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:19 Moscow Sun Jan 12 2020 001393: Jan 12 22:41:22.838: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:22 Moscow Sun Jan 12 2020 001394: Jan 12 22:41:29.938: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:29 Moscow Sun Jan 12 2020 001395: Jan 12 22:41:33.303: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:33 Moscow Sun Jan 12 2020 001396: Jan 12 22:41:36.316: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:36 Moscow Sun Jan 12 2020 001397: Jan 12 22:41:43.198: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:43 Moscow Sun Jan 12 2020 001398: Jan 12 22:41:46.454: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:46 Moscow Sun Jan 12 2020 001399: Jan 12 22:41:49.473: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:49 Moscow Sun Jan 12 2020 001400: Jan 12 22:46:16.770: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET /admin/conf] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:46:16 Moscow Sun Jan 12 2020 001401: Jan 12 22:46:19.855: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: Connection: TE,] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:46:19 Moscow Sun Jan 12 2020 001402: Jan 12 22:46:22.948: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: User-Agent: lib] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:46:22 Moscow Sun Jan 12 2020 001403: Jan 12 22:57:34.677: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET / HTTP/1.0] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:57:34 Moscow Sun Jan 12 2020 001404: Jan 12 22:59:44.978: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET /admin/conf] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:59:44 Moscow Sun Jan 12 2020 001405: Jan 12 22:59:48.063: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: Connection: TE,] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:59:48 Moscow Sun Jan 12 2020 001406: Jan 12 22:59:51.144: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: User-Agent: lib] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:59:51 Moscow Sun Jan 12 2020 001407: Jan 12 23:25:06.266: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET /admin/conf] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:25:06 Moscow Sun Jan 12 2020 001408: Jan 12 23:25:09.358: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: Connection: TE,] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:25:09 Moscow Sun Jan 12 2020 001409: Jan 12 23:25:12.436: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: User-Agent: lib] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:25:12 Moscow Sun Jan 12 2020 001410: Jan 12 23:43:49.034: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET /admin/conf] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:43:49 Moscow Sun Jan 12 2020 001411: Jan 12 23:43:52.163: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: Connection: TE,] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:43:52 Moscow Sun Jan 12 2020 001412: Jan 12 23:43:55.246: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: User-Agent: lib] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:43:55 Moscow Sun Jan 12 2020 001413: Jan 13 00:14:52.871: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET / HTTP/1.1] [Source: UNKNOWN] [localport: 6001] [Reason: Login Authentication Failed] at 00:14:52 Moscow Mon Jan 13 2020 001414: Jan 13 00:18:03.362: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 00:18:03 Moscow Mon Jan 13 2020 001415: Jan 13 00:21:27.949: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET / HTTP/1.1] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 00:21:27 Moscow Mon Jan 13 2020 Так-то понимаю, что не подберут, но все равно активность надоедает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 13 января, 2020 · Жалоба 6 минут назад, ayf сказал: Коллеги, кто как борется с попытками подбора паролей к бордеру? Firewall. Типа, есть варианты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 13 января, 2020 · Жалоба 1 минуту назад, snvoronkov сказал: Firewall. Типа, есть варианты? У меня закрыто аксесслистами. Просто думаю, есть ли способы, чтобы решить этот вопрос более кардинально. По принципу fail2ban, чтобы айпишники банило автоматом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 13 января, 2020 · Жалоба А почему у Вас вообще CP доступен извне? О_о Положите его в отдельный VRF и все. Но это конечно не отменяет ACL на VTY Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 13 января, 2020 · Жалоба https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_cfg/configuration/xe-16/sec-usr-cfg-xe-16-book/sec-login-enhance.html Классика, не? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 13 января, 2020 · Жалоба Разновидности fail2ban. Или просто вход по логину заменить на вход по ключу и забить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 13 января, 2020 · Жалоба Ну либо если надо таки доступ извне, тогда ВПН Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 13 января, 2020 · Жалоба 18 минут назад, VolanD666 сказал: А почему у Вас вообще CP доступен извне? О_о Положите его в отдельный VRF и все. Но это конечно не отменяет ACL на VTY Он доступен, на самом деле, только с определенных сетей. А вот такой перебор я наблюдаю не только у себя. По роду работы делаю временные сети в разных городах. Как только подключаю оборудование к магистралу - сразу начинается такая же картина. Китайские боты работают без устали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 13 января, 2020 · Жалоба 6 минут назад, ayf сказал: Он доступен, на самом деле, только с определенных сетей. А вот такой перебор я наблюдаю не только у себя. По роду работы делаю временные сети в разных городах. Как только подключаю оборудование к магистралу - сразу начинается такая же картина. Китайские боты работают без устали. Ну как вариант временно вешать ssh на другой порт Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 13 января, 2020 · Жалоба Если в логе это есть, то значит ваше правило пропускает это. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 13 января, 2020 · Жалоба Ну смотря что подразумевать под ACL. Если ACL на транзит пакетов (обычный firewall), то да. Но на MGMT обычно специальный ACL вешают, который управляет не транзитом пакетов, а разрешением или отказом логина. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 13 января, 2020 · Жалоба 8 часов назад, ayf сказал: Так-то понимаю, что не подберут, но все равно активность надоедает. если на железке не очень бодрый проц то обязательно надо закрывать так мх80 с открытым в мир ссш может получать от 50 до 90% нагрузки по цпу из-за ботов. и даже мх960 с re1800 может не кисло так офигевать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 14 января, 2020 · Жалоба Генерячишь SSH RSA ключ на 16384 бита или ещё больше и боты сами дохнут как мухи :) Остальные ключи надо отключать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 14 января, 2020 · Жалоба 21 минуту назад, Ivan_83 сказал: Генерячишь SSH RSA ключ на 16384 бита или ещё больше и боты сами дохнут как мухи :) Остальные ключи надо отключать. А также дохнет роутер при попытке зайти на него с таким ключом:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 января, 2020 · Жалоба У нас на сетях такое решается за сущие копейки - установка рядом самого дешевого микротика вида RB750, который имеет доступ в интернет для подключения, а все остальное оборудование закрыто извне. На него подключение по VPN и уже после можно попасть на оборудование внутри этой части сети. Никаких переборов паролей не бывает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 14 января, 2020 · Жалоба 50 минут назад, Saab95 сказал: У нас на сетях такое решается за сущие копейки - установка рядом самого дешевого микротика вида RB750, который имеет доступ в интернет для подключения, а все остальное оборудование закрыто извне. На него подключение по VPN и уже после можно попасть на оборудование внутри этой части сети. Никаких переборов паролей не бывает. Ну да, дырявый микротик с дырявым впн - отличное решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 14 января, 2020 (изменено) · Жалоба On 1/13/2020 at 3:34 PM, VolanD666 said: Ну либо если надо таки доступ извне, тогда ВПН Именно так. Единственное что к этому можно добавить, так это то что и изнутри доступ только из отдельного Management VLAN , к которому кроме технического сетевого персонала нет доступа ни кому. И всё это базовые прописные истины, с которых начинают постройку сети и не важно временная она ли или постоянная. Изменено 14 января, 2020 пользователем dvb2000 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 14 января, 2020 · Жалоба 3 часа назад, dvb2000 сказал: Именно так. Единственное что к этому можно добавить, так это то что и изнутри доступ только из отдельного Management VLAN , к которому кроме технического сетевого персонала нет доступа ни кому. И всё это базовые прописные истины, с которых начинают постройку сети и не важно временная она ли или постоянная. Мы в таком случае делали ВПН, при подключении к этому ВПНу появлялся доступ до опредленного сервера (у нас это был мониторинг) и с него уже был доступ на железо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 14 января, 2020 · Жалоба 12 minutes ago, VolanD666 said: Мы в таком случае делали ВПН, при подключении к этому ВПНу появлялся доступ до опредленного сервера (у нас это был мониторинг) и с него уже был доступ на железо. Я делаю проще. VPN пользователь на основе своего SSL сертификата получает доступ только к релевантным ему ресурсам, так например сетевой персонал получает доступ к Management VLAN после того как VPN сервер выдал такому клиенту IP для которого есть правило разрешающее подключение к Management VLAN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 15 января, 2020 · Жалоба On 1/13/2020 at 6:22 PM, jffulcrum said: https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_cfg/configuration/xe-16/sec-usr-cfg-xe-16-book/sec-login-enhance.html Классика, не? Единственный ответ по существу вопроса. Эта фича не только в IOS XE есть, но и с давних времен в классическом IOS. https://www.cisco.com/c/en/us/td/docs/ios/sec_user_services/configuration/guide/12_2sr/sec_securing_user_services_12-2sr_book/sec_login_enhance.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...