Перейти к содержимому
Калькуляторы

Брутфорс на роутере.

Коллеги, кто как борется с попытками подбора паролей к бордеру? Сия картина уже напрягает:
 

001383: Jan 12 22:40:29.787: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:40:29 Moscow Sun Jan 12 2020
001384: Jan 12 22:40:32.793: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:40:32 Moscow Sun Jan 12 2020
001385: Jan 12 22:40:45.690: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: support] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:40:45 Moscow Sun Jan 12 2020
001386: Jan 12 22:40:49.218: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:40:49 Moscow Sun Jan 12 2020
001387: Jan 12 22:40:52.226: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:40:52 Moscow Sun Jan 12 2020
001388: Jan 12 22:41:03.677: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:03 Moscow Sun Jan 12 2020
001389: Jan 12 22:41:06.700: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:06 Moscow Sun Jan 12 2020
001390: Jan 12 22:41:09.714: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:09 Moscow Sun Jan 12 2020
001391: Jan 12 22:41:16.582: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:16 Moscow Sun Jan 12 2020
001392: Jan 12 22:41:19.817: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:19 Moscow Sun Jan 12 2020
001393: Jan 12 22:41:22.838: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:22 Moscow Sun Jan 12 2020
001394: Jan 12 22:41:29.938: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:29 Moscow Sun Jan 12 2020
001395: Jan 12 22:41:33.303: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:33 Moscow Sun Jan 12 2020
001396: Jan 12 22:41:36.316: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:36 Moscow Sun Jan 12 2020
001397: Jan 12 22:41:43.198: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:43 Moscow Sun Jan 12 2020
001398: Jan 12 22:41:46.454: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:46 Moscow Sun Jan 12 2020
001399: Jan 12 22:41:49.473: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:49 Moscow Sun Jan 12 2020
001400: Jan 12 22:46:16.770: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET /admin/conf] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:46:16 Moscow Sun Jan 12 2020
001401: Jan 12 22:46:19.855: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: Connection: TE,] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:46:19 Moscow Sun Jan 12 2020
001402: Jan 12 22:46:22.948: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: User-Agent: lib] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:46:22 Moscow Sun Jan 12 2020
001403: Jan 12 22:57:34.677: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET / HTTP/1.0] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:57:34 Moscow Sun Jan 12 2020
001404: Jan 12 22:59:44.978: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET /admin/conf] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:59:44 Moscow Sun Jan 12 2020
001405: Jan 12 22:59:48.063: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: Connection: TE,] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:59:48 Moscow Sun Jan 12 2020
001406: Jan 12 22:59:51.144: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: User-Agent: lib] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:59:51 Moscow Sun Jan 12 2020
001407: Jan 12 23:25:06.266: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET /admin/conf] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:25:06 Moscow Sun Jan 12 2020
001408: Jan 12 23:25:09.358: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: Connection: TE,] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:25:09 Moscow Sun Jan 12 2020
001409: Jan 12 23:25:12.436: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: User-Agent: lib] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:25:12 Moscow Sun Jan 12 2020
001410: Jan 12 23:43:49.034: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET /admin/conf] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:43:49 Moscow Sun Jan 12 2020
001411: Jan 12 23:43:52.163: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: Connection: TE,] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:43:52 Moscow Sun Jan 12 2020
001412: Jan 12 23:43:55.246: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: User-Agent: lib] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:43:55 Moscow Sun Jan 12 2020
001413: Jan 13 00:14:52.871: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET / HTTP/1.1] [Source: UNKNOWN] [localport: 6001] [Reason: Login Authentication Failed] at 00:14:52 Moscow Mon Jan 13 2020
001414: Jan 13 00:18:03.362: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 00:18:03 Moscow Mon Jan 13 2020
001415: Jan 13 00:21:27.949: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET / HTTP/1.1] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 00:21:27 Moscow Mon Jan 13 2020

Так-то понимаю, что не подберут, но все равно активность надоедает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, ayf сказал:

Коллеги, кто как борется с попытками подбора паролей к бордеру?

Firewall.

 

Типа, есть варианты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, snvoronkov сказал:

Firewall.

 

Типа, есть варианты?

У меня закрыто аксесслистами. Просто думаю, есть ли способы, чтобы решить этот вопрос более кардинально. По принципу fail2ban, чтобы айпишники банило автоматом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А почему у Вас вообще CP доступен извне? О_о Положите его в отдельный VRF и все. Но это конечно не отменяет ACL на VTY

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разновидности fail2ban.

Или просто вход по логину заменить на вход по ключу и забить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

18 минут назад, VolanD666 сказал:

А почему у Вас вообще CP доступен извне? О_о Положите его в отдельный VRF и все. Но это конечно не отменяет ACL на VTY

Он доступен, на самом деле, только с определенных сетей. А вот такой перебор я наблюдаю не только у себя. По роду работы делаю временные сети в разных городах. Как только подключаю оборудование к магистралу - сразу начинается такая же картина. Китайские боты работают без устали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, ayf сказал:

Он доступен, на самом деле, только с определенных сетей. А вот такой перебор я наблюдаю не только у себя. По роду работы делаю временные сети в разных городах. Как только подключаю оборудование к магистралу - сразу начинается такая же картина. Китайские боты работают без устали.

Ну как вариант временно вешать ssh на другой порт

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если в логе это есть, то значит ваше правило пропускает это.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну смотря что подразумевать под ACL.

Если ACL на транзит пакетов (обычный firewall), то да.

Но на MGMT обычно специальный ACL вешают, который управляет не транзитом пакетов, а разрешением или отказом логина.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 часов назад, ayf сказал:

Так-то понимаю, что не подберут, но все равно активность надоедает.

если на железке не очень бодрый проц то обязательно надо закрывать

так мх80 с открытым в мир ссш может получать от 50 до 90% нагрузки по цпу из-за ботов. и даже мх960 с re1800 может не кисло так офигевать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Генерячишь SSH RSA ключ на 16384 бита или ещё больше и боты сами дохнут как мухи :)

Остальные ключи надо отключать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

21 минуту назад, Ivan_83 сказал:

Генерячишь SSH RSA ключ на 16384 бита или ещё больше и боты сами дохнут как мухи :)

Остальные ключи надо отключать.

А также дохнет роутер при попытке зайти на него с таким ключом:)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас на сетях такое решается за сущие копейки - установка рядом самого дешевого микротика вида RB750, который имеет доступ в интернет для подключения, а все остальное оборудование закрыто извне. На него подключение по VPN и уже после можно попасть на оборудование внутри этой части сети. Никаких переборов паролей не бывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

50 минут назад, Saab95 сказал:

У нас на сетях такое решается за сущие копейки - установка рядом самого дешевого микротика вида RB750, который имеет доступ в интернет для подключения, а все остальное оборудование закрыто извне. На него подключение по VPN и уже после можно попасть на оборудование внутри этой части сети. Никаких переборов паролей не бывает.

Ну да, дырявый микротик с дырявым впн - отличное решение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 1/13/2020 at 3:34 PM, VolanD666 said:

Ну либо если надо таки доступ извне, тогда ВПН

Именно так. Единственное что к этому можно добавить, так это то что и изнутри доступ только из отдельного Management VLAN , к которому кроме технического сетевого персонала нет доступа ни кому. И всё это базовые прописные истины, с которых начинают постройку сети и не важно временная она ли или постоянная. 

Изменено пользователем dvb2000

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, dvb2000 сказал:

Именно так. Единственное что к этому можно добавить, так это то что и изнутри доступ только из отдельного Management VLAN , к которому кроме технического сетевого персонала нет доступа ни кому. И всё это базовые прописные истины, с которых начинают постройку сети и не важно временная она ли или постоянная. 

 

Мы в таком случае делали ВПН, при подключении к этому ВПНу появлялся доступ до опредленного сервера (у нас это был мониторинг) и с него уже был доступ на железо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 minutes ago, VolanD666 said:

Мы в таком случае делали ВПН, при подключении к этому ВПНу появлялся доступ до опредленного сервера (у нас это был мониторинг) и с него уже был доступ на железо.

Я делаю проще. VPN пользователь на основе своего SSL сертификата получает доступ только к релевантным ему ресурсам, так например сетевой персонал получает доступ к Management VLAN после того как VPN сервер выдал такому клиенту IP для которого есть правило разрешающее подключение к Management VLAN.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 1/13/2020 at 6:22 PM, jffulcrum said:

Единственный ответ по существу вопроса.

Эта фича не только в IOS XE есть, но и с давних времен в классическом IOS.

https://www.cisco.com/c/en/us/td/docs/ios/sec_user_services/configuration/guide/12_2sr/sec_securing_user_services_12-2sr_book/sec_login_enhance.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.