Jump to content
Калькуляторы

Брутфорс на роутере.

Коллеги, кто как борется с попытками подбора паролей к бордеру? Сия картина уже напрягает:
 

001383: Jan 12 22:40:29.787: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:40:29 Moscow Sun Jan 12 2020
001384: Jan 12 22:40:32.793: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:40:32 Moscow Sun Jan 12 2020
001385: Jan 12 22:40:45.690: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: support] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:40:45 Moscow Sun Jan 12 2020
001386: Jan 12 22:40:49.218: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:40:49 Moscow Sun Jan 12 2020
001387: Jan 12 22:40:52.226: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:40:52 Moscow Sun Jan 12 2020
001388: Jan 12 22:41:03.677: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:03 Moscow Sun Jan 12 2020
001389: Jan 12 22:41:06.700: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:06 Moscow Sun Jan 12 2020
001390: Jan 12 22:41:09.714: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:09 Moscow Sun Jan 12 2020
001391: Jan 12 22:41:16.582: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:16 Moscow Sun Jan 12 2020
001392: Jan 12 22:41:19.817: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:19 Moscow Sun Jan 12 2020
001393: Jan 12 22:41:22.838: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:22 Moscow Sun Jan 12 2020
001394: Jan 12 22:41:29.938: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:29 Moscow Sun Jan 12 2020
001395: Jan 12 22:41:33.303: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:33 Moscow Sun Jan 12 2020
001396: Jan 12 22:41:36.316: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:36 Moscow Sun Jan 12 2020
001397: Jan 12 22:41:43.198: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:43 Moscow Sun Jan 12 2020
001398: Jan 12 22:41:46.454: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: enable] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:46 Moscow Sun Jan 12 2020
001399: Jan 12 22:41:49.473: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: shell] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 22:41:49 Moscow Sun Jan 12 2020
001400: Jan 12 22:46:16.770: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET /admin/conf] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:46:16 Moscow Sun Jan 12 2020
001401: Jan 12 22:46:19.855: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: Connection: TE,] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:46:19 Moscow Sun Jan 12 2020
001402: Jan 12 22:46:22.948: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: User-Agent: lib] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:46:22 Moscow Sun Jan 12 2020
001403: Jan 12 22:57:34.677: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET / HTTP/1.0] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:57:34 Moscow Sun Jan 12 2020
001404: Jan 12 22:59:44.978: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET /admin/conf] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:59:44 Moscow Sun Jan 12 2020
001405: Jan 12 22:59:48.063: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: Connection: TE,] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:59:48 Moscow Sun Jan 12 2020
001406: Jan 12 22:59:51.144: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: User-Agent: lib] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 22:59:51 Moscow Sun Jan 12 2020
001407: Jan 12 23:25:06.266: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET /admin/conf] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:25:06 Moscow Sun Jan 12 2020
001408: Jan 12 23:25:09.358: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: Connection: TE,] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:25:09 Moscow Sun Jan 12 2020
001409: Jan 12 23:25:12.436: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: User-Agent: lib] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:25:12 Moscow Sun Jan 12 2020
001410: Jan 12 23:43:49.034: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET /admin/conf] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:43:49 Moscow Sun Jan 12 2020
001411: Jan 12 23:43:52.163: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: Connection: TE,] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:43:52 Moscow Sun Jan 12 2020
001412: Jan 12 23:43:55.246: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: User-Agent: lib] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 23:43:55 Moscow Sun Jan 12 2020
001413: Jan 13 00:14:52.871: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET / HTTP/1.1] [Source: UNKNOWN] [localport: 6001] [Reason: Login Authentication Failed] at 00:14:52 Moscow Mon Jan 13 2020
001414: Jan 13 00:18:03.362: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: UNKNOWN] [localport: 9001] [Reason: Login Authentication Failed] at 00:18:03 Moscow Mon Jan 13 2020
001415: Jan 13 00:21:27.949: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: GET / HTTP/1.1] [Source: UNKNOWN] [localport: 2001] [Reason: Login Authentication Failed] at 00:21:27 Moscow Mon Jan 13 2020

Так-то понимаю, что не подберут, но все равно активность надоедает.

Share this post


Link to post
Share on other sites
6 минут назад, ayf сказал:

Коллеги, кто как борется с попытками подбора паролей к бордеру?

Firewall.

 

Типа, есть варианты?

Share this post


Link to post
Share on other sites
1 минуту назад, snvoronkov сказал:

Firewall.

 

Типа, есть варианты?

У меня закрыто аксесслистами. Просто думаю, есть ли способы, чтобы решить этот вопрос более кардинально. По принципу fail2ban, чтобы айпишники банило автоматом.

Share this post


Link to post
Share on other sites

А почему у Вас вообще CP доступен извне? О_о Положите его в отдельный VRF и все. Но это конечно не отменяет ACL на VTY

Share this post


Link to post
Share on other sites

Разновидности fail2ban.

Или просто вход по логину заменить на вход по ключу и забить.

Share this post


Link to post
Share on other sites
18 минут назад, VolanD666 сказал:

А почему у Вас вообще CP доступен извне? О_о Положите его в отдельный VRF и все. Но это конечно не отменяет ACL на VTY

Он доступен, на самом деле, только с определенных сетей. А вот такой перебор я наблюдаю не только у себя. По роду работы делаю временные сети в разных городах. Как только подключаю оборудование к магистралу - сразу начинается такая же картина. Китайские боты работают без устали.

Share this post


Link to post
Share on other sites
6 минут назад, ayf сказал:

Он доступен, на самом деле, только с определенных сетей. А вот такой перебор я наблюдаю не только у себя. По роду работы делаю временные сети в разных городах. Как только подключаю оборудование к магистралу - сразу начинается такая же картина. Китайские боты работают без устали.

Ну как вариант временно вешать ssh на другой порт

Share this post


Link to post
Share on other sites

Если в логе это есть, то значит ваше правило пропускает это.

Share this post


Link to post
Share on other sites

Ну смотря что подразумевать под ACL.

Если ACL на транзит пакетов (обычный firewall), то да.

Но на MGMT обычно специальный ACL вешают, который управляет не транзитом пакетов, а разрешением или отказом логина.

Share this post


Link to post
Share on other sites
8 часов назад, ayf сказал:

Так-то понимаю, что не подберут, но все равно активность надоедает.

если на железке не очень бодрый проц то обязательно надо закрывать

так мх80 с открытым в мир ссш может получать от 50 до 90% нагрузки по цпу из-за ботов. и даже мх960 с re1800 может не кисло так офигевать

Share this post


Link to post
Share on other sites

Генерячишь SSH RSA ключ на 16384 бита или ещё больше и боты сами дохнут как мухи :)

Остальные ключи надо отключать.

Share this post


Link to post
Share on other sites
21 минуту назад, Ivan_83 сказал:

Генерячишь SSH RSA ключ на 16384 бита или ещё больше и боты сами дохнут как мухи :)

Остальные ключи надо отключать.

А также дохнет роутер при попытке зайти на него с таким ключом:)

 

Share this post


Link to post
Share on other sites

У нас на сетях такое решается за сущие копейки - установка рядом самого дешевого микротика вида RB750, который имеет доступ в интернет для подключения, а все остальное оборудование закрыто извне. На него подключение по VPN и уже после можно попасть на оборудование внутри этой части сети. Никаких переборов паролей не бывает.

Share this post


Link to post
Share on other sites
50 минут назад, Saab95 сказал:

У нас на сетях такое решается за сущие копейки - установка рядом самого дешевого микротика вида RB750, который имеет доступ в интернет для подключения, а все остальное оборудование закрыто извне. На него подключение по VPN и уже после можно попасть на оборудование внутри этой части сети. Никаких переборов паролей не бывает.

Ну да, дырявый микротик с дырявым впн - отличное решение.

Share this post


Link to post
Share on other sites
On 1/13/2020 at 3:34 PM, VolanD666 said:

Ну либо если надо таки доступ извне, тогда ВПН

Именно так. Единственное что к этому можно добавить, так это то что и изнутри доступ только из отдельного Management VLAN , к которому кроме технического сетевого персонала нет доступа ни кому. И всё это базовые прописные истины, с которых начинают постройку сети и не важно временная она ли или постоянная. 

Edited by dvb2000

Share this post


Link to post
Share on other sites
3 часа назад, dvb2000 сказал:

Именно так. Единственное что к этому можно добавить, так это то что и изнутри доступ только из отдельного Management VLAN , к которому кроме технического сетевого персонала нет доступа ни кому. И всё это базовые прописные истины, с которых начинают постройку сети и не важно временная она ли или постоянная. 

 

Мы в таком случае делали ВПН, при подключении к этому ВПНу появлялся доступ до опредленного сервера (у нас это был мониторинг) и с него уже был доступ на железо.

Share this post


Link to post
Share on other sites
12 minutes ago, VolanD666 said:

Мы в таком случае делали ВПН, при подключении к этому ВПНу появлялся доступ до опредленного сервера (у нас это был мониторинг) и с него уже был доступ на железо.

Я делаю проще. VPN пользователь на основе своего SSL сертификата получает доступ только к релевантным ему ресурсам, так например сетевой персонал получает доступ к Management VLAN после того как VPN сервер выдал такому клиенту IP для которого есть правило разрешающее подключение к Management VLAN.

Share this post


Link to post
Share on other sites
On 1/13/2020 at 6:22 PM, jffulcrum said:

Единственный ответ по существу вопроса.

Эта фича не только в IOS XE есть, но и с давних времен в классическом IOS.

https://www.cisco.com/c/en/us/td/docs/ios/sec_user_services/configuration/guide/12_2sr/sec_securing_user_services_12-2sr_book/sec_login_enhance.html

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this