Перейти к содержимому
Калькуляторы

бан адресов бан адресов товарищей - адцих хацкеров

переодически возникоет вот такая ситуация:

jun/08/2012 14:29:34 system,error,critical login failure for user gamme from 218.78.187.14 via ssh

блокирую этих товарищей правилом на фильтре

chain=input action=drop src-address-list=ban_in in-interface=eth1-Internet

и соответственно заношу в address-list=ban_in

 

вопрос:

1.Правильно ли делаю правило?

2. Можно ли автоматизировать данный процесс?

3. Если есть несколько микротиков 2,3 и более как синхронизировать бан-листы?

Изменено пользователем arastegaev

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А не проще ли отключить доступ по SSH, или если он нужен, создать правило, которое разрешает подключение по SSH только с определенных адресов или подсети?

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А не проще ли отключить доступ по SSH, или если он нужен, создать правило, которое разрешает подключение по SSH только с определенных адресов или подсети?

 

не совсем проще: бывает подключаюсь с других операторов (когда на выезде) и в добавок с разных компов (в том числе *nix'овых).

а по портам не только ssh, и по разным долбятся и ftp и telnet

а особенно бывает прикольно когда только железку поставил, ченить отвлекли, приходишь через 10мин. а там уже целый экран таких запросов.

 

А на самом деле просто интересно можно ли данный процесс автоматизировать и подключаешь потом новую железку, а она автоматом адреса заливает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Обычно в сети используют центральный сервер, с которого администратор и заходит на устройства. Подключаться к нему можно по VPN из любого места мира.

В этом случае у него адрес всегда постоянный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Обычно в сети используют центральный сервер, с которого администратор и заходит на устройства. Подключаться к нему можно по VPN из любого места мира.

В этом случае у него адрес всегда постоянный.

 

Что за центральный сервер? На микротике?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Оставьте подключение на 8291.остальное input drop

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Оставьте подключение на 8291.остальное input drop

 

это если только winbox подключать.

а как быть с подключением по командной строке через ssh с юниксовых машин?

 

да и гляжу я начнут скора и с winbox пытаться, железо микротика все больше популярность набирает :-)

Изменено пользователем arastegaev

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/ip service и меняйте порт на другой

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Обычно в сети используют центральный сервер, с которого администратор и заходит на устройства. Подключаться к нему можно по VPN из любого места мира.

В этом случае у него адрес всегда постоянный.

 

Что за центральный сервер? На микротике?

 

Обычный комп/маршрутизатор, на котором заведена учетная запись для администратора. При подключении по VPN ему дается уникальный адрес, например 10.10.10.10 и на этот адрес не ставится никаких ограничений на всех устройствах в сети, запросы же со всех других адресов блокируются. Тогда никто не сможет попасть в настройки устройств.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/ip firewall filter

add action=drop chain=input comment="drop ssh brute forcers" disabled=no \

src-address-list=ssh_blacklist

add action=add-src-to-address-list address-list=ssh_blacklist \

address-list-timeout=7d chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp src-address-list=ssh_stage2

add action=add-src-to-address-list address-list=ssh_stage2 \

address-list-timeout=1m chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 \

address-list-timeout=1m chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp

 

Более 2 попыток в 1 минуту бан на неделю...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/ip firewall filter

add action=drop chain=input comment="drop ssh brute forcers" disabled=no \

src-address-list=ssh_blacklist

add action=add-src-to-address-list address-list=ssh_blacklist \

address-list-timeout=7d chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp src-address-list=ssh_stage2

add action=add-src-to-address-list address-list=ssh_stage2 \

address-list-timeout=1m chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 \

address-list-timeout=1m chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp

 

Более 2 попыток в 1 минуту бан на неделю...

 

Интересная автоматика спс.

только момент если сам вдруг неправильно сконнектился (раскладку перепутал) то тоже пипец.

но впринципе отовсего не убережешся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/ip firewall filter

add action=drop chain=input comment="drop ssh brute forcers" disabled=no \

src-address-list=ssh_blacklist

add action=add-src-to-address-list address-list=ssh_blacklist \

address-list-timeout=7d chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp src-address-list=ssh_stage2

add action=add-src-to-address-list address-list=ssh_stage2 \

address-list-timeout=1m chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 \

address-list-timeout=1m chain=input connection-state=new disabled=no \

dst-port=22,23 protocol=tcp

 

Более 2 попыток в 1 минуту бан на неделю...

 

Интересная автоматика спс.

только момент если сам вдруг неправильно сконнектился (раскладку перепутал) то тоже пипец.

но впринципе отовсего не убережешся.

можешь сделать N раз в минуту после чего бан на N1 время

советую сменить порт на нестандартный и использовать эту защиту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас