Pokus o utok na mikrotik, ako zakazat IP utocnika

zdrawim, chci se zeptat, ohledne tech utoku, jak nakonfigurovat FW, aby kdyz utocnik 5x behem treba minuty zadal spatne heslo, aby mu to treba na 1 hod. bloklo IP? Vim ze se to tu nekde resilo, ale nemohl jsem to nikde najit......

Jinak pokud vás to trochu zajímá kdo se vám snaží připojovat ,tak si udělejte pravidlo které při novém spojení na SSH port na WAN interface přidá uživatele do nějakého access-listu(kupř. ssh-con) a čas od času tento access list projděte a pokud se vám nějaká IP nebude zdát tak ji přesuňte do blacklistu a pokud se často připojujete zvenku z nějaké IP tak ji naopak hoïte do whitelistu a je vyřešeno.

Jo a pokud vám na bezpečnosti kór zaleží a nevíte co s výkonem na Routeru ,tak si klidně můžete poskládat pravidla do podoby nějakého IDS ,který pokud se někdo bude pingovat či otvírat port 22 přejde do Address-listu Level1 a pokud se bude v určitém časovém rozssahu připojovat znovu(či obecně kuit něco podezřelého) přejde do Levelu2 kde bude blokován třeba na hoïku a pokud se bude připojovat znovu tak přejde rovnou do Levelu3 kde bude permanentně blokován...možné je vše.Jeden čas jsem se dokonce s takovýma blblosama hrál.

jejda mě se tam taky snaží dostat 211.154.164.109 :-)

a jak prosim to pravidlo z prikazove radky vymazat, zadal jsem to spatne a nemohu se uz na nej dostat vzdalene, prosim o prikaz. diky

Měl jsem podobný problém. Vždy, když jsem IP zakázal, začal zkoušet z jiné IP. Zakazováním jsem se dopracoval k cca 20 zakázaným IP. Zkoušel porty 21,22,23,80. Ve firewallu jsem zakázal přístup na uvedené porty z venku a je po problému. Zakázal jsem i ping na moji IP z venku a pak ho to přestalo bavit. Mám to takhle nastaveno téměř měsíc a vše OK. Není to asi to pravé, ale jako "první pomoc" to stačí.

nejlepsi je asi mit zakazany zvenku vsechno krome urcitych IP, problem je kdyz se clovek potrebuje zalogovat a zrovna neni u toho netu z kteryho to ma povoleny

Měl jsem podobný problém. Vždy, když jsem IP zakázal, začal zkoušet z jiné IP. Zakazováním jsem se dopracoval k cca 20 zakázaným IP. Zkoušel porty 21,22,23,80. Ve firewallu jsem zakázal přístup na uvedené porty z venku a je po problému. Zakázal jsem i ping na moji IP z venku a pak ho to přestalo bavit. Mám to takhle nastaveno téměř měsíc a vše OK. Není to asi to pravé, ale jako "první pomoc" to stačí.

Tak se mrkni z jakého rozsahu je ten útočník a zakaž ho celý, ne? Jednoduché a účinné

no jo ale on muze mit k dispozici vic rozsahu(treba prace/skola, doma, u kamose, nejaky proxy, anonymizery...)

no jo ale on muze mit k dispozici vic rozsahu(treba prace/skola, doma, u kamose, nejaky proxy, anonymizery...)

On to není jednotlivec který se zrovna Tobě snaží nabourat do MK, a proto to nebude zkoušet z víc míst, je to kompl který sebral někde ip adresu z tvého routeru a zkouší to, pokud se mu to nepovede, zkusí to z jiné ip adresy, pokud nemáš nějaké lamerské profláknuté heslo tak nemá šanci se tam dostat. Ikdyby se tam dostal je otázka co s tím dovede udělat, zná,mý měl půl roku na mk admin bez hesla, kařdý týden zkruba 1000 pokusů o přihlášení ale to je asi tak všechno :) neřešil bych to

no jo ale kdyby se me dostal do PC-routeru a zmenil heslo tak akorat preinstaluju OS a obnovim zalohu, horsi by to bylo do routerboardu co mam na strese, to bych tam musel vylezt :

horší je že u RB133tky to neúměrně přetíží CPU, proto taky řeším nějakou šikovnou blokaci. Nejraději bych to co tu bylo zmiňované ale nebylu tu napsané jak to uděla - Po několika neúspěšných zadáních adress list block a byl by klid

Tu je velmi pekne fungujuce pravidlo na blokovanie skusacov hesiel pomocou ftp(zakaze pristup vsetkym ip adresam ktore sa skusia prihlasit viac ako 4 krat v priebehu minuty)

zaciatok

/ ip firewall filter

add chain=input in-interface=ether1 protocol=tcp dst-port=21 action=add-src-to-address-list \

address-list=ftp_stage1 address-list-timeout=1m comment="auto-firewall ftp - stage 1" disabled=no

prvy pokus o prihlasenie(v priebehu minuty)

/ ip firewall filter

add chain=output content="530 Login incorrect" dst-address-list=ftp_stage1 action=add-dst-to-address-list \

address-list=ftp_stage2 address-list-timeout=1m comment="auto-firewall ftp - stage 2" disabled=no

Druhy pokus o prihlasenie(v priebehu minuty)

/ ip firewall filter

add chain=output content="530 Login incorrect" dst-address-list=ftp_stage2 action=add-dst-to-address-list \

address-list=ftp_stage3 address-list-timeout=1m comment="auto-firewall ftp - stage 3" disabled=no

Treti pokus o prihlasenie(v prebehu minuty)

/ ip firewall filter

add chain=output content="530 Login incorrect" dst-address-list=ftp_stage3 action=add-dst-to-address-list \

address-list=ftp_stage4 address-list-timeout=1m comment="auto-firewall ftp - stage 4" disabled=no

toto pravidlo da utocnikovu ip do blacklistu(utocnika ktory sa prihlasil 4 krat v priebehu minuty)

/ ip firewall filter

add chain=output content="530 Login incorrect" dst-address-list=ftp_stage4 action=add-dst-to-address-list \

address-list=ftp_blacklist address-list-timeout=1w comment="auto-firewall ftp - stage 5" disabled=no

toto pravidlo zakaze pristup vsetkym ip ktore sa predchadzajucim mechanizmom zapisali do blacklistu

/ ip firewall filter

add chain=input in-interface=ether1 protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \

comment="drop ftp brute forcers" disabled=no

ssh pristup povolte v ip service len na urcitu ip adresu alebo na skupinu, tym zablokujete pokusy cez ssh

Zdrawicko,

mam k tomuhle nastaveni jeden dotaz - zkousel sem to aplikovat a problem je v tom ze MT nepostupuje od stage 1 do stage 5, ale zapise do address listu rovnou vsech 5 stage - takze po 1 neuspesnem pokusu se to blokne.. Neumite poradit co je v tom spatne?

ThX