Pokus o utok na mikrotik, ako zakazat IP utocnika

radocicala

V urcitych hodinach denne mi clovek z ip 211.154.164.109 skusa hesla na mikrotik, stale ho to bavi a zbytocne vytazuje mikrtotik. (Mam verejnu ip). Viete poradit ako by som zakazal jeho ip, aby nemohol skusat tie hesla alebo nejake riesenie, nic ma nenapada. Vopred dakujem

czatlantis

covece, me to dela ten stejnej clovek taky(teda delal : ) ja to mam udelany ze mam ve firewallu povoleny vsechno jen z LAN+1IP jinak mam vsechno nastaveny na "drop"

petrvlasic

V urcitych hodinach denne mi clovek z ip 211.154.164.109 skusa hesla na mikrotik, stale ho to bavi a zbytocne vytazuje mikrtotik. (Mam verejnu ip). Viete poradit ako by som zakazal jeho ip, aby nemohol skusat tie hesla alebo nejake riesenie, nic ma nenapada. Vopred dakujem

Nejlepší řešení by asi bylo:

1)Zakázat adresu útočníka

/ip firewall filter add chain=input src-address=211.154.164.109 action=drop

2)Přesunou standartní SSH port z 22 (předpokládam ,že se pokuší zalogovat přez SSH) na některý jiný méně standartní

/ip service set ssh port=XXX

3)Pokud umíte čínsky ,tak pošlete na adresu Betsy.du@bj.datadragon.net e-mail že uživatel s danou IP využívá jejich servery jakožto scanovacího robota a ,že by potřeboval pár za uši

gorila

V urcitych hodinach denne mi clovek z ip 211.154.164.109 skusa hesla na mikrotik, stale ho to bavi a zbytocne vytazuje mikrtotik. (Mam verejnu ip). Viete poradit ako by som zakazal jeho ip, aby nemohol skusat tie hesla alebo nejake riesenie, nic ma nenapada. Vopred dakujem

Nejlepší řešení by asi bylo:

1)Zakázat adresu útočníka

/ip firewall filter add chain=input src-address=211.154.164.109 action=drop

2)Přesunou standartní SSH port z 22 (předpokládam ,že se pokuší zalogovat přez SSH) na některý jiný méně standartní

/ip service set ssh port=XXX

3)Pokud umíte čínsky ,tak pošlete na adresu Betsy.du@bj.datadragon.net e-mail že uživatel s danou IP využívá jejich servery jakožto scanovacího robota a ,že by potřeboval pár za uši

Dakujem aj ja za tuto pomoc.tiez som tam mal nejakeho debila,co sa snazil pripojit.

radocicala

Dik za rady, pomohlo

net_work

zdrawim, chci se zeptat, ohledne tech utoku, jak nakonfigurovat FW, aby kdyz utocnik 5x behem treba minuty zadal spatne heslo, aby mu to treba na 1 hod. bloklo IP? Vim ze se to tu nekde resilo, ale nemohl jsem to nikde najit......

jirk

<--- l -->viewtopic.php?t=2070<--- l -->

petrvlasic

Jinak pokud vás to trochu zajímá kdo se vám snaží připojovat ,tak si udělejte pravidlo které při novém spojení na SSH port na WAN interface přidá uživatele do nějakého access-listu(kupř. ssh-con) a čas od času tento access list projděte a pokud se vám nějaká IP nebude zdát tak ji přesuňte do blacklistu a pokud se často připojujete zvenku z nějaké IP tak ji naopak hoïte do whitelistu a je vyřešeno.

Jo a pokud vám na bezpečnosti kór zaleží a nevíte co s výkonem na Routeru ,tak si klidně můžete poskládat pravidla do podoby nějakého IDS ,který pokud se někdo bude pingovat či otvírat port 22 přejde do Address-listu Level1 a pokud se bude v určitém časovém rozssahu připojovat znovu(či obecně kuit něco podezřelého) přejde do Levelu2 kde bude blokován třeba na hoïku a pokud se bude připojovat znovu tak přejde rovnou do Levelu3 kde bude permanentně blokován...možné je vše.Jeden čas jsem se dokonce s takovýma blblosama hrál.

ice_mann

jejda mě se tam taky snaží dostat 211.154.164.109 :-)

dvcompt

a jak prosim to pravidlo z prikazove radky vymazat, zadal jsem to spatne a nemohu se uz na nej dostat vzdalene, prosim o prikaz. diky

lada

Měl jsem podobný problém. Vždy, když jsem IP zakázal, začal zkoušet z jiné IP. Zakazováním jsem se dopracoval k cca 20 zakázaným IP. Zkoušel porty 21,22,23,80. Ve firewallu jsem zakázal přístup na uvedené porty z venku a je po problému. Zakázal jsem i ping na moji IP z venku a pak ho to přestalo bavit. Mám to takhle nastaveno téměř měsíc a vše OK. Není to asi to pravé, ale jako "první pomoc" to stačí.

czatlantis

nejlepsi je asi mit zakazany zvenku vsechno krome urcitych IP, problem je kdyz se clovek potrebuje zalogovat a zrovna neni u toho netu z kteryho to ma povoleny

leeonek

Měl jsem podobný problém. Vždy, když jsem IP zakázal, začal zkoušet z jiné IP. Zakazováním jsem se dopracoval k cca 20 zakázaným IP. Zkoušel porty 21,22,23,80. Ve firewallu jsem zakázal přístup na uvedené porty z venku a je po problému. Zakázal jsem i ping na moji IP z venku a pak ho to přestalo bavit. Mám to takhle nastaveno téměř měsíc a vše OK. Není to asi to pravé, ale jako "první pomoc" to stačí.

Tak se mrkni z jakého rozsahu je ten útočník a zakaž ho celý, ne? Jednoduché a účinné

czatlantis

no jo ale on muze mit k dispozici vic rozsahu(treba prace/skola, doma, u kamose, nejaky proxy, anonymizery...)

leeonek

no jo ale on muze mit k dispozici vic rozsahu(treba prace/skola, doma, u kamose, nejaky proxy, anonymizery...)

On to není jednotlivec který se zrovna Tobě snaží nabourat do MK, a proto to nebude zkoušet z víc míst, je to kompl který sebral někde ip adresu z tvého routeru a zkouší to, pokud se mu to nepovede, zkusí to z jiné ip adresy, pokud nemáš nějaké lamerské profláknuté heslo tak nemá šanci se tam dostat. Ikdyby se tam dostal je otázka co s tím dovede udělat, zná,mý měl půl roku na mk admin bez hesla, kařdý týden zkruba 1000 pokusů o přihlášení ale to je asi tak všechno :) neřešil bych to

czatlantis

no jo ale kdyby se me dostal do PC-routeru a zmenil heslo tak akorat preinstaluju OS a obnovim zalohu, horsi by to bylo do routerboardu co mam na strese, to bych tam musel vylezt :

radocicala

Tu je velmi pekne fungujuce pravidlo na blokovanie skusacov hesiel pomocou ftp(zakaze pristup vsetkym ip adresam ktore sa skusia prihlasit viac ako 4 krat v priebehu minuty)

zaciatok

/ ip firewall filter

add chain=input in-interface=ether1 protocol=tcp dst-port=21 action=add-src-to-address-list \

address-list=ftp_stage1 address-list-timeout=1m comment="auto-firewall ftp - stage 1" disabled=no

prvy pokus o prihlasenie(v priebehu minuty)

/ ip firewall filter

add chain=output content="530 Login incorrect" dst-address-list=ftp_stage1 action=add-dst-to-address-list \

address-list=ftp_stage2 address-list-timeout=1m comment="auto-firewall ftp - stage 2" disabled=no

Druhy pokus o prihlasenie(v priebehu minuty)

/ ip firewall filter

add chain=output content="530 Login incorrect" dst-address-list=ftp_stage2 action=add-dst-to-address-list \

address-list=ftp_stage3 address-list-timeout=1m comment="auto-firewall ftp - stage 3" disabled=no

Treti pokus o prihlasenie(v prebehu minuty)

/ ip firewall filter

add chain=output content="530 Login incorrect" dst-address-list=ftp_stage3 action=add-dst-to-address-list \

address-list=ftp_stage4 address-list-timeout=1m comment="auto-firewall ftp - stage 4" disabled=no

toto pravidlo da utocnikovu ip do blacklistu(utocnika ktory sa prihlasil 4 krat v priebehu minuty)

/ ip firewall filter

add chain=output content="530 Login incorrect" dst-address-list=ftp_stage4 action=add-dst-to-address-list \

address-list=ftp_blacklist address-list-timeout=1w comment="auto-firewall ftp - stage 5" disabled=no

toto pravidlo zakaze pristup vsetkym ip ktore sa predchadzajucim mechanizmom zapisali do blacklistu

/ ip firewall filter

add chain=input in-interface=ether1 protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \

comment="drop ftp brute forcers" disabled=no

ssh pristup povolte v ip service len na urcitu ip adresu alebo na skupinu, tym zablokujete pokusy cez ssh

petrvlasic

/ ip firewall filter

add chain=input in-interface=ether1 protocol=tcp dst-port=21 action=add-src-to-address-list \

address-list=ftp_stage1 address-list-timeout=1m comment="auto-firewall ftp - stage 1" disabled=no

prvy pokus o prihlasenie(v priebehu minuty)

/ ip firewall filter

add chain=output content="530 Login incorrect" dst-address-list=ftp_stage1 action=add-dst-to-address-list \

address-list=ftp_stage2 address-list-timeout=1m comment="auto-firewall ftp - stage 2" disabled=no

Druhy pokus o prihlasenie(v priebehu minuty)

/ ip firewall filter

add chain=output content="530 Login incorrect" dst-address-list=ftp_stage2 action=add-dst-to-address-list \

address-list=ftp_stage3 address-list-timeout=1m comment="auto-firewall ftp - stage 3" disabled=no

Treti pokus o prihlasenie(v prebehu minuty)

/ ip firewall filter

add chain=output content="530 Login incorrect" dst-address-list=ftp_stage3 action=add-dst-to-address-list \

address-list=ftp_stage4 address-list-timeout=1m comment="auto-firewall ftp - stage 4" disabled=no

toto pravidlo da utocnikovu ip do blacklistu(utocnika ktory sa prihlasil 4 krat v priebehu minuty)

/ ip firewall filter

add chain=output content="530 Login incorrect" dst-address-list=ftp_stage4 action=add-dst-to-address-list \

address-list=ftp_blacklist address-list-timeout=1w comment="auto-firewall ftp - stage 5" disabled=no

toto pravidlo zakaze pristup vsetkym ip ktore sa predchadzajucim mechanizmom zapisali do blacklistu

/ ip firewall filter

add chain=input in-interface=ether1 protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \

comment="drop ftp brute forcers" disabled=no

Pěkné ,ale není prostě jednodušší vypnout FTP a používat SCP(SFTP)?

belmorfeus

horší je že u RB133tky to neúměrně přetíží CPU, proto taky řeším nějakou šikovnou blokaci. Nejraději bych to co tu bylo zmiňované ale nebylu tu napsané jak to uděla - Po několika neúspěšných zadáních adress list block a byl by klid

net_work

Tu je velmi pekne fungujuce pravidlo na blokovanie skusacov hesiel pomocou ftp(zakaze pristup vsetkym ip adresam ktore sa skusia prihlasit viac ako 4 krat v priebehu minuty)

zaciatok

/ ip firewall filter

add chain=input in-interface=ether1 protocol=tcp dst-port=21 action=add-src-to-address-list \

address-list=ftp_stage1 address-list-timeout=1m comment="auto-firewall ftp - stage 1" disabled=no

prvy pokus o prihlasenie(v priebehu minuty)

/ ip firewall filter

add chain=output content="530 Login incorrect" dst-address-list=ftp_stage1 action=add-dst-to-address-list \

address-list=ftp_stage2 address-list-timeout=1m comment="auto-firewall ftp - stage 2" disabled=no

Druhy pokus o prihlasenie(v priebehu minuty)

/ ip firewall filter

add chain=output content="530 Login incorrect" dst-address-list=ftp_stage2 action=add-dst-to-address-list \

address-list=ftp_stage3 address-list-timeout=1m comment="auto-firewall ftp - stage 3" disabled=no

Treti pokus o prihlasenie(v prebehu minuty)

/ ip firewall filter

add chain=output content="530 Login incorrect" dst-address-list=ftp_stage3 action=add-dst-to-address-list \

address-list=ftp_stage4 address-list-timeout=1m comment="auto-firewall ftp - stage 4" disabled=no

toto pravidlo da utocnikovu ip do blacklistu(utocnika ktory sa prihlasil 4 krat v priebehu minuty)

/ ip firewall filter

add chain=output content="530 Login incorrect" dst-address-list=ftp_stage4 action=add-dst-to-address-list \

address-list=ftp_blacklist address-list-timeout=1w comment="auto-firewall ftp - stage 5" disabled=no

toto pravidlo zakaze pristup vsetkym ip ktore sa predchadzajucim mechanizmom zapisali do blacklistu

/ ip firewall filter

add chain=input in-interface=ether1 protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \

comment="drop ftp brute forcers" disabled=no

ssh pristup povolte v ip service len na urcitu ip adresu alebo na skupinu, tym zablokujete pokusy cez ssh

Zdrawicko,

mam k tomuhle nastaveni jeden dotaz - zkousel sem to aplikovat a problem je v tom ze MT nepostupuje od stage 1 do stage 5, ale zapise do address listu rovnou vsech 5 stage - takze po 1 neuspesnem pokusu se to blokne.. Neumite poradit co je v tom spatne?

ThX

Další stránka »