Jump to content
Калькуляторы

бан адресов бан адресов товарищей - адцих хацкеров

переодически возникоет вот такая ситуация:

jun/08/2012 14:29:34 system,error,critical login failure for user gamme from 218.78.187.14 via ssh

блокирую этих товарищей правилом на фильтре

chain=input action=drop src-address-list=ban_in in-interface=eth1-Internet

и соответственно заношу в address-list=ban_in

 

вопрос:

1.Правильно ли делаю правило?

2. Можно ли автоматизировать данный процесс?

3. Если есть несколько микротиков 2,3 и более как синхронизировать бан-листы?

Edited by arastegaev

Share this post


Link to post
Share on other sites

А не проще ли отключить доступ по SSH, или если он нужен, создать правило, которое разрешает подключение по SSH только с определенных адресов или подсети?

 

 

Share this post


Link to post
Share on other sites

А не проще ли отключить доступ по SSH, или если он нужен, создать правило, которое разрешает подключение по SSH только с определенных адресов или подсети?

 

не совсем проще: бывает подключаюсь с других операторов (когда на выезде) и в добавок с разных компов (в том числе *nix'овых).

а по портам не только ssh, и по разным долбятся и ftp и telnet

а особенно бывает прикольно когда только железку поставил, ченить отвлекли, приходишь через 10мин. а там уже целый экран таких запросов.

 

А на самом деле просто интересно можно ли данный процесс автоматизировать и подключаешь потом новую железку, а она автоматом адреса заливает.

Share this post


Link to post
Share on other sites

Обычно в сети используют центральный сервер, с которого администратор и заходит на устройства. Подключаться к нему можно по VPN из любого места мира.

В этом случае у него адрес всегда постоянный.

Share this post


Link to post
Share on other sites

Обычно в сети используют центральный сервер, с которого администратор и заходит на устройства. Подключаться к нему можно по VPN из любого места мира.

В этом случае у него адрес всегда постоянный.

 

Что за центральный сервер? На микротике?

Share this post


Link to post
Share on other sites

Оставьте подключение на 8291.остальное input drop

Share this post


Link to post
Share on other sites

Оставьте подключение на 8291.остальное input drop

 

это если только winbox подключать.

а как быть с подключением по командной строке через ssh с юниксовых машин?

 

да и гляжу я начнут скора и с winbox пытаться, железо микротика все больше популярность набирает :-)

Edited by arastegaev

Share this post


Link to post
Share on other sites

/ip service и меняйте порт на другой

Share this post


Link to post
Share on other sites

Обычно в сети используют центральный сервер, с которого администратор и заходит на устройства. Подключаться к нему можно по VPN из любого места мира.

В этом случае у него адрес всегда постоянный.

 

Что за центральный сервер? На микротике?

 

Обычный комп/маршрутизатор, на котором заведена учетная запись для администратора. При подключении по VPN ему дается уникальный адрес, например 10.10.10.10 и на этот адрес не ставится никаких ограничений на всех устройствах в сети, запросы же со всех других адресов блокируются. Тогда никто не сможет попасть в настройки устройств.

Share this post


Link to post
Share on other sites

/ip firewall filter

add action=drop chain=input comment="drop ssh brute forcers" disabled=no \

src-address-list=ssh_blacklist

add action=add-src-to-address-list address-list=ssh_blacklist \

address-list-timeout=7d chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp src-address-list=ssh_stage2

add action=add-src-to-address-list address-list=ssh_stage2 \

address-list-timeout=1m chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 \

address-list-timeout=1m chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp

 

Более 2 попыток в 1 минуту бан на неделю...

Share this post


Link to post
Share on other sites

/ip firewall filter

add action=drop chain=input comment="drop ssh brute forcers" disabled=no \

src-address-list=ssh_blacklist

add action=add-src-to-address-list address-list=ssh_blacklist \

address-list-timeout=7d chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp src-address-list=ssh_stage2

add action=add-src-to-address-list address-list=ssh_stage2 \

address-list-timeout=1m chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 \

address-list-timeout=1m chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp

 

Более 2 попыток в 1 минуту бан на неделю...

 

Интересная автоматика спс.

только момент если сам вдруг неправильно сконнектился (раскладку перепутал) то тоже пипец.

но впринципе отовсего не убережешся.

Share this post


Link to post
Share on other sites

/ip firewall filter

add action=drop chain=input comment="drop ssh brute forcers" disabled=no \

src-address-list=ssh_blacklist

add action=add-src-to-address-list address-list=ssh_blacklist \

address-list-timeout=7d chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp src-address-list=ssh_stage2

add action=add-src-to-address-list address-list=ssh_stage2 \

address-list-timeout=1m chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 \

address-list-timeout=1m chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp

 

Более 2 попыток в 1 минуту бан на неделю...

 

Интересная автоматика спс.

только момент если сам вдруг неправильно сконнектился (раскладку перепутал) то тоже пипец.

но впринципе отовсего не убережешся.

можешь сделать N раз в минуту после чего бан на N1 время

советую сменить порт на нестандартный и использовать эту защиту.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this