SSH utok na RB Mikrotik

pitkin

Prosím o radu. Je možné nastaviť RB Mikrotik,aby odolával SSH útokom,ktoré o.i.vyťažujú procesor?

Skúšal som toto://wiki.mikrotik.com/wiki/Bruteforce_login_prevention

ale bez účinku. Útoky sú vždy z iných IP, v poslednej dobe trvajú aj niekoľko hodín. Alebo viete poradiť

inú účinnú obranu? Ďakujem za dobrú radu.

ludvik

Záleží na tom, jestli je problém ve vytížení díky SSH, nebo kvůli prostému provozu. Proti prvnímu firewall pomůže, proti druhému už nemusí. Jak ten paket přijde, tak ho máš ...

Zkus zakázat SSH kompletně z WAN strany. A uvidíš. Návody pomocí blacklistů atp. jsou myšleny tak, aby běžný SSH provoz neovlivňovaly. Tedy z principu toho musí hodně projít. Ale kdo potřebuje SSH přístup ze všech stran?

pitkin

Prichádza to na WAN, niekoľko minút/hodín z rovnakej IP adresy. Je to pokus o nalogovanie sa do RB. Niektoré IP sa mi podarilo vysledovať, je to Čína a okolie.

Ale na vysledovanie IP ja nemám, tak to môže byť inak. Myslíš, že ten návod na Wiki by mal fungovat ??

honzam

Povol si ssh pouze z vlastního IP rozsahu. Případně pouze z LAN strany

iTomB

Tak pouzij script ode me a nebo pouzij port knocking.

Tom

striker

Jak radí honzam.

Povoli si SSH jen ze svých rozsahů popřípadě nějaké zvláštní v IP - Services.

Před zhruba týdnem jsem stejný problém řešil přes tvrdý IP filtrování ale to prostě vydrží tak 10 minut.

Více IP rozsahů nejde nastavit v zastaralých firmwarech. Tuším, že ve 4 a nižších ale nejsem si jistej.

pitkin

Tak pouzij script ode me a nebo pouzij port knocking.

Tom

Dik za radu. Pouzil som tvoj script. Utok trva cca 25-40 s. Co je dobra zmena. IP adresy ktore sa opakovali v kratkej dobe casto, su vo vypise LOG len raz. A kedze neovladam ROS, port knocking pouzit neviem. Dik.

iTomB

Tak pouzij script ode me a nebo pouzij port knocking.

Tom

Mrkni na root.cz, tam je pekny clanek o tom. Najdes je i na netu. Celkem jednoduche.

V pripade pokusu o spojeni na nejaky extra port - treba 12345 TCP, pridas si do address listu SRC IP treba na 1 minutu. Druhe pravidlo pri new zjistuje, zda je v addresslistu a pokud ano, povoli spojeni, jinak DROP.

zvukarmiso

Ahoj

Ja som mal vcera to iste stale nejaky problem s ssh tak som nasiel na nete toto a celkom sa mi to pozdava

add action=drop chain=input comment="Zahodit ssh neziaducich" dst-port=22 protocol=tcp src-address-list=ssh_blacklist

add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=\

ssh_stage3

add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2

add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp

ak mate nieco lepsie, dajte vediet.

mladas

Pokud SSH nepotrebujes tak ho vypni uplne IP-Services a povypinej co nepotrebujes, pripadne zmen port

zvukarmiso

Ahojte mam pod. problem

uz dlhsiu dobu sa trapim s utokmi na ssh, skusal som vselico, zmenit port, vseliake firewall nastavenia, ale utoky sa stale opakuju. Moj posledny firewall vyzera takto

add action=jump chain=forward jump-target=icmp protocol=icmp

add chain=icmp comment="Limits pings ICMP" limit=50/5s,2

add chain=icmp comment="Accept ICMP - INPUT" log-prefix=ICMP

add action=log chain=icmp comment="Log: ICMP" log=yes log-prefix=ICMP

add action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d chain=input connection-limit=50,32 protocol=tcp

add action=tarpit chain=input connection-limit=3,32 protocol=tcp src-address-list=blocked-addr

add action=jump chain=forward comment="SYN Flood protect" connection-state=new disabled=yes jump-target=SYN-Protect protocol=tcp tcp-flags=syn

add chain=SYN-Protect connection-state=new limit=400,5 protocol=tcp tcp-flags=syn

add action=drop chain=SYN-Protect connection-state=new protocol=tcp tcp-flags=syn

add action=drop chain=input comment="Zahodit ssh neziaducich" dst-port=22 protocol=tcp src-address-list=ssh_blacklist

add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=\

ssh_stage3

add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2

add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp

add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 protocol=tcp src-address-list=ssh_blacklist

add action=drop chain=forward comment="Neoznacene packety" disabled=yes packet-mark=no-mark

Ale bohuzial za 2 dni pozriem adress list a je tam cca 200 ip bloknutych. viete mi poradit ako to poriesit ?

SSH v ip services ked vypnem tak mi nejde vobec ssh, bohuzial firemny zakaznici potrebuju.

Zmena portu nepomaha, po 2-3 dnoch to zacina opat.

Zatial som zisil len tolko ze to ide z vonku nie z vnutra siete

Za kazdu radu vopred Ďakujem

ludvik

Nevěřím tomu, že pokračují útoky na SSH i po změně portu ...

striker

A proč si teda nedáš v IP Services to omezení přístupu na SSH mikrotiku jen z tvých veřejných IP adres? To mi zablokovalo kompletně všechny útoky a práce je to tak na 2 minuty.

ludvik

Ještě mi není moc jasné:

a) řeší se útoky na SSH mikrotiku. Tedy předpokládám routeru na hranici sítě. Proč tam zákazníci potřebují SSH přístup? Notabene z veřejných IP? Ne, že bych si to neuměl představit, ale zároveň mi to přijde silně nepravděpodobné. Vypnutí v IP services ho vypne v tom mikrotiku, nikoliv na forwardovaném provozu.

b) pokud ten tvůj firewall funguje a útočníky blokuje, tak co je potřeba ještě řešit? Ten paket, minimálně jeden, prostě vždy přijde ... pokud to vadí, musí se to blokovat někde dřív po jeho cestě.

zvukarmiso

Nevěřím tomu, že pokračují útoky na SSH i po změně portu ...

Proste pokracuju. Po hod, niekedy dvoch opat na dany port napr 2212 sa objavia nové utoky. Vobec tomu nechapem preco sa to deje.

A proč si teda nedáš v IP Services to omezení přístupu na SSH mikrotiku jen z tvých veřejných IP adres? To mi zablokovalo kompletně všechny útoky a práce je to tak na 2 minuty.

Protože utok je vzdy na na verejne IP

a) řeší se útoky na SSH mikrotiku. Tedy předpokládám routeru na hranici sítě. Proč tam zákazníci potřebují SSH přístup? Notabene z veřejných IP? Ne, že bych si to neuměl představit, ale zároveň mi to přijde silně nepravděpodobné. Vypnutí v IP services ho vypne v tom mikrotiku, nikoliv na forwardovaném provozu.

No neviem, ako to myslis. Ak vypnem IP services SSH tak vsetci zakaznici co maju verejnu IP a potrebuju ssh tak im to nejde.

Forwoard napr. mam na localnej IP radius server. Z venku port 2232 na 22 daneho servera. Vypnem IP services tiez na to nepridem.

Možno mam niečo zle nastavene, ja uz fakt neviem.

b) pokud ten tvůj firewall funguje a útočníky blokuje, tak co je potřeba ještě řešit? Ten paket, minimálně jeden, prostě vždy přijde ... pokud to vadí, musí se to blokovat někde dřív po jeho cestě.

No prejst to prejde, nieco. Ako prve veci zachyti. len problem je v tom ze do 4 hod tam mam v liste cca 300 adries, ako mam donutit poskytovatela aby to on blokoval ?

Podla mna ma nieco spatne. Dokonca z mojho MK vidim skoro celu jeho siet.

takto to vyzera z logu

01:36:31 system,error,critical login failure for user root from 93.174.93.33 via ssh

03:28:13 system,error,critical login failure for user admin from 94.131.14.102 via ssh

05:04:15 system,error,critical login failure for user root from 89.248.171.19 via ssh

05:04:16 system,error,critical login failure for user ubnt from 89.248.171.19 via ssh

05:04:17 system,error,critical login failure for user admin from 89.248.171.18 via ssh

Neviem co s tym, v urcitych hodinach je to tak velke množstvo že konektivita 200M mi klesne na 30 M

ludvik

IP services vypíná/zapíná SSH jen na tom JEDNOM routeru. Stejně tak si tam můžeš nastavit omezení - přístup na router většinou stačí z interní sítě (libovolnou službou). Je to omezení v rámci služby, firewallu se to netýká.

Pokud změníš port a neřekneš to útočníkovi, on nebude hledat jestli ti nesedí SSH někde jinde. Musel by proscanovat prakticky všech 65536 portů a na to se ti vykašle. Čili pokud to dělá i potom, zbývají dvě možnosti: dělá ti to nějaký zákazník (nebo admin) který o tom prostě ví, nebo to měníš nějak "špatně". Sice tě pořádně nechápu, ale skoro bych řekl, že změníš SSH port někde uvnitř sítě na jiném serveru/routeru a na tomto uděláš jen přesměrování - To je logicky útočníkovi naprosto fuk, neboť mu pořád stačí použít port 22 který zná. Případně to sice přesměruješ z neznámého na známý port, ale necháš funkční i ten původní.

Ale útoků se stejně nezbavíš. Pořád bude někdo, kdo to bude zkoušet. Prostě musíš mít dostatečně silné heslo (nebo lépe klíč) a k tomu ochranu proti DOS, tak jak máš. Třista adres v address-listu není nic co by tě mělo vzrušovat.

striker

A proč si teda nedáš v IP Services to omezení přístupu na SSH mikrotiku jen z tvých veřejných IP adres? To mi zablokovalo kompletně všechny útoky a práce je to tak na 2 minuty.

Protože utok je vzdy na na verejne IP

No ale to je jedno snad. Na mikrotiku v Services povolíš pro přístup k SSH jen tvůj rozsah veřejných IP který máš. Nikdo jinej se na to nedostane, pokud budeš potřebovat přístup z jinýho veřejnýho rozsahu, tak si ho prostě povolíš jako další rozsah.

Pak útoky přestanou. Viz. obrázek, kde mám povolený dva veřejný rozsahy, který máme v síti a jednu veřejnou IP.

A SSH útoky přestaly.

lwq

Pokud nechces riskovat s implementaci port knockingu v prostredi RouterOS, tak zmen port na nejaky vysoky tj. 20000+ alespon tam je sance, ze te naskenuji miziva. Nicmene - pokud nekdo cilene jde po tvych verejkach, tak za relativne kratky cas ti sluzbu naskenuje vsude. Docela valka mno ... :

shooter

jak velky máte utoky ja po tomto skriptu mám v databazi 32tis adres

je tedy pravda že tam mam pravidla upraveny na forward abych filtroval celou sít

lwq

Doporucuji tento zdroj statistik o utocich ...

https://www.turris.cz/cs/portrend/tcp/32222?period=y

Další stránka »