Napsání scriptu na MikroTik

krakonos · 2021-08-21T17:14:04+00:00

EDIT: Již vyřešeno, prosím o smazání. Děkuji

dacesilian

Upravit (smazat) text původní otázky není moc ok, ale chápu - blacklistování IP. Myslím si, že je vhodné dočasné filtrování, jako to dělá fail2ban - tak rovnou na routeru drop pro IP adresy, které v mojí síti někde zkoušely hesla (mailserver,...).

krakonos

dacesilian Ano, script má fungovat na základě ip blacklistů vytvořeních převážně z fail2ban, které se každý den automaticky aktualizují. Uvedený blacklist od projektu Turris byl pouze jako příklad, ale funguje i s abuseipdb, spamhaus a monoho dalšími.

@jchudoba
Ačkoli si vážím Vašich znalostí, tak nemám sil reagovat na tyto slohové práce. Můj požadavek zde byl na úpravu skriptu a o tom diskuse nebyla. Pokud byste chtěl opravdu poradit a pomoci, tak mi prosím uveďte konkrétně, jak mohu vyřešit lépe. Využíváme síťové ochrany od ČRA a dodatečně přes cloudflare, ale stejně to nestačí. Děkuji

jchudoba

myghael U toho lokála se dá identifikovat odpovědnou osobu a dát příslušnému ISP nebo "ISP" příležitost projevit svou odbornost/neodbornost.

Identifikovat odpovědnou hospodu lze i když mi ve vesnické čtyřce předhodí polosyrový blaf z týden plesnivého masa. Obávám se ovšem že i kdybych tam zaplatil a poslal na týden Pohlreicha, moc se toho nezmění-navíc k té čtyřce to tak nějak patří a bylo by pošetilé to měnit. U "ISP" kde jedinou kvalifikací je "umím přivrtat anténu a konfiguruji ji dle random vygooglených návodů, pro důchodce dobrý" by to dopadlo podobně-své místo na trhu má stejně tako ta čtyřka, jen se holt segmentově míjíme.

myghael velká trojka už na tom blacklistu dávno je.

Asi máš štěstí na region když trojka vychází hůře než vesničani.

Byla by tam u i mne kdybych měl přísný threshold, ale zase od někoho konektivitu odebírat musím :-) Takže velká trojka je nejmenší zlo.

krakonos Pokud byste chtěl opravdu poradit a pomoci, tak mi prosím uveďte konkrétně, jak mohu vyřešit lépe. Využíváme síťové ochrany od ČRA a dodatečně přes cloudflare, ale stejně to nestačí.

Pokud to takto nestačí (a za předpokladu že jsou ty ochrany správně), pojďme na to otevřít extra téma, které bude "Jak se bránit DDoS" a které by bylo rozumné otevřít popisem co se vlastně děje. Tahat to do vlákna na úpravu skriptu je skutečně špatně. Stejně tak je špatně ovšem i myšlenka že ten blacklist zabrání DDoSu (pokud to nebude dle principu "i rozbité hodiny ukazují dvakrát denně správný čas").

Myslet si že v tom turrisím (nebo jakémkoli jiném) blacklistu jsou všechno možné zdroje DDoS útoků je poněkud naivní, a pokud se nevymaníš z tohoto předpokladu, problém s DDoS nevyřešíš nikdy. Začal bych tím že ochrana musí být dynamická a musí být schopna odolat i cílenému útoku ze směru který se doposud nikterak neprojevil.

Navíc, něco mi říká že to s čím máš problém nebude ani omylem cílený DDoS, možná tak sloužíš jako nástroj pro nějaké amplifikace, nedostatečná kapacita v síti nebo nějaká hrubá konfigurační chyba. Vede mne k tomu to že tvrdíš že ti na to pomáhá tato primitivní turrisí filtrace - ta na cílený kvalitní DDoS útok pomáhat nemůže ani omylem. Pokud pomáhá, tak je to buď extrémní náhoda, nebo je tam něco jiného. Zjednodušeně řečeno, pokud na problém pomáhá takto primitivní blacklist, potom bude samotný problém také dost primitivní (a potom je tam třeba zbytečný ten cloudflare).

Za mne je nasazování turrisího blacklistu střelba totálně naslepo. Takže ještě jednou - pomoc nabízím, nakonec nejsem tu jediný schopný poradit, ale předpokladem je popis kde začíná problém - nikoli prosba o pomoc s dotažením náhodně vybraného řešení.

a ad "Využíváme síťové ochrany od ČRA" - ta ochrana má nějaké slibované parametry - buď je plní nebo ne, potom bych zvážil buď výpověď, reklamaci, nebo reformulaci zadání. Vsadil bych ovšem spíše na reformulacu zadání, tedy vrátit se k otázce kde vlastně ten řešený problém začíná. To se podle mne nestalo, místo toho se random zkouší [ČRa, cloudflare, turris] ..., zítra to bude něco dalšího, ale pořád random. Je třeba ten řetězec náhodně losovaných "řešení" zastavit.

myghael

jchudoba Asi máš štěstí na region když trojka vychází hůře než vesničani.

Byla by tam u i mne kdybych měl přísný threshold, ale zase od někoho konektivitu odebírat musím :-) Takže velká trojka je nejmenší zlo.

Možná bohužel, možná bohudík. Aplikace zákazníka nemá úplně specifické nároky, pouze jsou ty nároky poměrně přísné (ne zase tak moc, ale víc než "doochodce" jak to označuješ). Moje požadavky na ISP zase tak složité nejsou, pouze logická nějak rozumně vypadající smlouva a plnění předem dohodnutých a zasmluvněných parametrů. To první u velké trojky zpravidla problém nebývá, s tím druhým už to často tak slavné nebývá a zákazník chce aby to fungovalo, ne seriál o přetahované s plejádou zaměstnanců subdodavatele. Popravdě řečeno v tomhle mám rád ty vesničany, ti často rovnou řeknou, že si na to netroufají a můžu jít rovnou bez provokování zákazníka špatnou službou. To už je lepší třeba (a nejen) Nordic, tam je všechno OK, pokud zrovna netrefím nějakou "průserovou" lokalitu, ale těch časem zdá se ubývá. Ale tím bych tento off-topic již uzavřel.

krakonos Využíváme síťové ochrany od ČRA a dodatečně přes cloudflare

Sice to není váš požadavek, ale nebylo by lepší řešit to s podporou ČRa?

ludvik

jchudoba Ha turrisí hrůza ale nemá s DDoS ochranou nic společného.

Já o Turrisovi nenapsal ani čárku! Dokonce ani o tom, jestli mne u toho zajímá SRC, nebo DST. A pojem DOS je dost široký na to, aby pobral i portscan a bruteforce testy.
Tvůj problém je taková klasika - jsou jen bílé a černé strany. A kdo vyznává jinou, než ty neví o čem mluví a je blbec.

jchudoba

ludvik A pojem DOS je dost široký na to, aby pobral i portscan a bruteforce testy.

To jistě ano, ale to je takový malinkatý neškodný sub-DDoS, který se vůbec nevyplatí řešit. Pokud zde tazatel píše že má s DDoS natolik problém že má potřebu to řešit a vyrábět kvůli tomu skripty, potom se bavíme o něčem větším - a zcela jistě zcela mimoběžném vůči tomu co řeší ten turrisí seznam.

myghael

jchudoba A to je vtipné, že přesně ze stejného důvodu já všude naopak nahrazuju "velkou trojku" někým místním, taktéž preventivně. Sice to chápu, protože jakýkoliv jeden z popsaných excesů by takového "ISP" u mě automaticky zařadil na blacklist (blacklist firem, ne ve firewallu), ale velká trojka už na tom blacklistu dávno je. U toho lokála se dá identifikovat odpovědnou osobu a dát příslušnému ISP nebo "ISP" příležitost projevit svou odbornost/neodbornost.

jchudoba

myghael Sice to není váš požadavek, ale nebylo by lepší řešit to s podporou ČRa?

To jsem chtěl říct větou " ta ochrana má nějaké slibované parametry - buď je plní nebo ne, potom bych zvážil buď výpověď, reklamaci, nebo reformulaci zadání." Rozhodně mi nedává smysl současně platit ČRa za antiDDoS a současně se snažit něco partyzánsky pytlíkovat na Mikrotiku. Už jen ekonomicky vzato - buď za to dávám peníze ČRa nebo do toho dávám můj čas a něco pytlíkuju - ale oboje dohromady je plýtvání zdroji.

Divné ovšem je že tazatel píše "Po nasazení blacklistu z projektu Turris mám klid" - to mne vede k závěru že to s čím má problém není klasický DDoS, ale něco špatně na straně koncových zákazníků (což sám tazatel píše "Ne všichni klienti jsou vzorní a zabezpečení jejich serverů není valné").

Potom ale sorryjako, někdo si tu dost plete antiDDoS (tak jak to chápe ČRa) a cosi jiného, co by si měli řešit klienti. Myslím že celý problém je od začátku uchopen zcela špatně. AntiDDoS ochrana neslouží jako náhrada mizerného zabezpečení koncových bodů-a dokud si tazatel bude myslet že ano, nedosáhne výsledku. Cítím v kostech že bude muset dojít na reformulaci zadání.

krakonos

myghael DDoS není můj problém, to zde vzniklo z detektivních úvah jchudoba.
Síťová ochrana od ČRa funguje poměrně dobře, od té doby pojem DDoS neznám. Řešil jsem zde script který stahuje IP adresy z blacklistů proto, že někteří klienti mají u mě staré neaktualizované servery na které běží nejčastěji brute force útoky, typu sasl, ftp,ssh apod. až se jim podaří ten server prolomit. Od doby co jsem nasadil blacklist, tak mám klid, protože velké zdroje brute force tam jsou většinou zalistované. Nikde také neříkám, že je to super řešení a vlastně to není vůbec ideální, ale v tento okamžik to funguje a dává to "neposlušným" klientům čas na upgrade jejich zabezpečení na serveru.

ekrajnak

Nemam vela casu sa tu rozpisovat - musim dopisat konecne diplomovku... Takze idem aj tu edukativnym sposobom 😃 Ak niekto chcete pochopit co sa skryva pod pismenkami DDoS, odporucam citanie na volne chvile https://blog.cloudflare.com/tag/ddos/ ... od roku 2012 trendy, principy, vysvetlenia, grafy, ...

myghael

krakonos Tomu rozumím. My jsme to řešili upozorňováním klienta, kdo to po třech týdnech nevyřešil ani nepřišel s něčím ve stylu "hele fakt nevím čím to je" (na což se dá reagovat nabídkou vhodných služeb) tak prostě odstřižení z důvodu bezpečnosti. Pár zákazníkům jsme ty servery dali dohromady nic, firma kde nás poslali někam už dnes neexistuje - tam ale bylo špatně víc věcí než jen kritická data na stroji s Windows NT vystaveném do internetu.

jchudoba

Cesta do pekla bývá dlážděna dobrými úmysly. Pochopím možná ještě přátelské upozornění a "nabídku vhodných služeb", ale cokoli dalšího je už za hranou.

ISP má dodávat konektivitu a co se na ní přenáší nemá co řešit, pokud to po něm není vyžadováno smlouvou nebo právním předpisem (např. hazardní weby). Chápu že je to někdy tristní pohled na to že se tam přenáší zjevné útoky, ale ... nevyřeším všechno zlo světa. Nevezmu si domů všechny hladové černoušky, nevezmu si domů všechny pejskya kočicky z útulků, stejně tak nezabráním všem provozovatelům NT serverů aby ty kostlivce vystavovali do internetu.

Analogicky když provozuji hospodu, mám dodávat objednané jídlo a není mou úlohou řešit že tenhle tlusťoch by si deset knedlíků dávat neměl, protože to zvýší riziko předčasné smrti. Mám zákonnou povinnost nenalévat podnapilým-nemám ale povinnost řešit kolik si kdo dal knedlíků. Přijde špekoun kterému bych měl prodat leda salát s vodou a chce bůček a dvacet knedlíků? Proč ne. Přijde provozovatel NT serveru a koupí stomageabit a potom si přes to nechá vykrádat data? Proč ne...v čem je mezi těmito situacemi rozdíl? ISP je kulové do toho zda je ta linka vytěžována torrentem nebo portscanem-zákazník si konektivitu zaplatil, stejně jako si tlušťoch v hospodě zaplatil svůj bůček s dvaceti. Neříkám že je to krakonosova motivace, ale kdykoli jsem se já v praxi setkal s tím že isp "řešil bezpečnost", bylo to nakonec jen a pouze proto aby neměl velké náklady na konektivitu. O bezpečnost nešlo, takže to byla navíc vždy falešná dobročinnost.

Kdybych šel ještě dále, kdy začnete sledovat zda si zákazníkova dcera nedomlouvá rande s úchylákama, abyste taky zákazníka "v zájmu vyššího dobra" blokli? A co když bude zákazník často navštěvovat eshop s tabákem - také ho střihnete, aby neumřel na rakovinu plic? ISP má dodávat internet, ne si hrát na spasitele.

Tenhle aktivismus je zlo. Ostatně víte kulové zda tam klient nemá vědomě honeypot a moc dobře ví o tom že se na server útočí. Není to váš problém, nikdo nečeká že to budete řešit.

Pochopil bych kdyby ten blacklist krakonos začal nabízet jako službu, proč ne, O2 také nabízí jakýsi směšný DNS filtr. Ale dělá to transparentně.

myghael firma kde nás poslali někam už dnes neexistuje - tam ale bylo špatně víc věcí než jen kritická data na stroji s Windows NT vystaveném do internetu.

Tohle jsi napsal hezky. Vyřešil to trh, ne ingerence providera. A tak to má být. Kdybys té firmě tehdy pomohl-tak by to na výsledku nic nezměnilo. Každý svého štěstí strůjcem.

myghael

jchudoba Myslím, že už to dotahuješ do extrému. Jeden port scan u zákazníka není problém ISP, maximálně z toho pohledu, že si má ISP zabezpečit svoje zařízení a nes**t se do jiných.

Pokud mi na konkrétní IP adresu konkrétního zákazníka přijde 10+ abuse reportů denně a celé ASN kvůli tomu putuje na různé blacklisty už to ale problém ISP je a je více než vhodné klienta kontaktovat, jestli je vše v pořádku. Odstřihnout kvůli tomu klienta je extrémní krok ke kterému došlo jenom jednou, ale tehdy klienta od naší sítě odstřihla policie zabavením všeho, co bylo v zákazníkově budově a mělo na sobě konektor RJ-45 (včetně PoE adaptéru od našeho CPE).

Že ty ses setkal s podivným "ISP" co řeší proč lidi jeho 100 Mbps tarif využívají na víc jak 5% je úplně jiná otázka.

jchudoba

myghael maximálně z toho pohledu, že si má ISP zabezpečit svoje zařízení a nes**t se do jiných.

Přesně to se snažím od začátku tazateli vysvětlit, ale nechtěl jsem to napsat takto natvrdo. Ten jeho turrisí skript jde ovšem mimo tento popis - svévolně paušálně blokuje zákazníkovu komunikaci, aniž by si zákazník takovou filtraci objednal či s ní byl alespoň srozuměn.

myghael Pokud mi na konkrétní IP adresu konkrétního zákazníka přijde 10+ abuse reportů denně a celé ASN kvůli tomu putuje na různé blacklisty už to ale problém ISP je a je více než vhodné klienta kontaktovat, jestli je vše v pořádku.

S tím také souhlasím-pokud někdo přepošle abuse report zákazníkovi se zdvořilým dotazem co s tím a zdvořilou žádostí o nápravu v přiměřené lhůtě, případně nabídkou pomoci, je to OK. Zákazník to buď vyřeší nebo nevyřeší, tím to pro mne hasne. Pokud budu mít i poté dojem že mne zákazníkova přítomnost v mé síti ohrožuje, pošlu mu výpověď.

Ale nikdy nebudu paušálně zákazníkům za zády tvořit jakési obskurní filtrace a skripty "abych měl klid"-to je zcela mimo mantinely elementární slušnosti, i mimo ekonomickou logiku.

Tazatel nic nevyřešil, bezpečnost zákazníků nijak zásadně nezměnil (nic nebrání útočníkovi zaútočit z "čisté" adresy), jen sobecky "vyřešil" problém své vlatsní sítě, na úkor zákazníka (třeba mu zablokoval i sondy shodanu a zákazník si teď třeba díky tomu myslí že to má OK).

krakonos Ne všichni klienti jsou vzorní a zabezpečení jejich serverů není valné, denně jsem to s nimi řešil.

Tady někde se stala chyba. Proč "denně"? Stačilo jednou, ale systémově - nabídnout pomoc, a potom to buď nechat plavat nebo (pokud to bylo ohrožující pro ISP) prostě vypovědět smlouvu. Místo toho jsi se vydal cestou jako "chytrá horákyně" - ani jsi to nevyřešil, ale ani jsi neměl koule se k tomu postavit jako chlap a (podle tebe) problematického zákazníka vypovědět. Kdosi mi tu vyčítal že řeším věci černobíle, možná je to pravda, ale nemusím se plácat se zákazníky jejichž samotná existence mne tlačí do vymýšlení takovýchto obskurností.

Z mé praxe si zákazník buď nechá poradit bez velkého přesvědčování, nebo je to beztak někdo na kým nebudu truchlit, když náš obchodní vztah skončí a slušně se rozejdeme (pokud jsme vůbec někdy začali spolupracovat - ono firmu která je schopná vystavit NT server do internetu není těžké prokouknout ještě před podpisem smlouvy). Ty píšeš že máš vysokou neúspěšnost při přesvědčování aby si nechali poradit a současně jsou pro tebe nepostradatelní, to mi přijde dost zvláštní.

krakonos

@jchudoba Ještě teda pro doplnění a upřesnění, ať zde nevznikají nějaké nesrovnalosti a konspirační teorie.
Script jsem řešil pouze pro pár dst-address, říkejme jim třeba děravé servery. Veškerý ostatní provoz bych si nedovolil jakkoliv omezovat nebo blokovat a rozhodně to nemělo sloužit jako standart na mé síti.

Klient v tomto případě třeba kamarád Franta, má u mě tři servery za almužnu co pokryje sotva náklady na elekřinu. Jasně jsem hloupý, ale je to "kamarád". Neznám obsah jeho serverů, nevím co dělá, ale servery jsou děravé jako cedník. Pokud je to honeypot, tak určitě ne úmyslně. Pomoc zabezpečit servery odemě nechce, řeší si to sám (asi se bojí, abych neviděl jeho super tajná data na serveru, netuším). Poslat do pr*ele ho nemůžu, je to přeci kamarád, takže domluva s ním je taková, že co nejdříve sjedná nápravu a já mám zatím zablokovat vše co se mi nezdá. Původně jsem chtěl na jeho dst-address zablokovat 0-65535, ale opět jsem se slitoval navrhl script na blokování IP adres zařazených na blacklistech.
Jemu to sice dodává falešné bezpečí a útok může přijít kdykoli a kdekoli, ale pravdou je, že to pravidlo zachytává neskutečné množství spojení a již dva měsíce jsem s ním nemusel řešit, že zase spamuje do světa a pomáhat mu promazávat jeho IP ze spamlistů apod.
Být to běžní klienti, tak jim po třech upozorněních zruším smlouvu, ale jak říkám, většinou se jedná o kamarády nebo o charitu pro místní organizace. Nejsem na to hrdý, ale rád těm lidem pomohu, když mám tu možnost. Ovšem i v tomto případě platí "pro dobrotu na žebrotu" a věřím, že mi trpělivost brzy dojde. No nic, to už jsme se opět dostali od napsání scriptu zase úplně někam jinam, tolik tedy z mé strany vše k tomuto tématu a děkuji za zájem o problematiku.

soban

krakonos
Když je to kamarád tak mu pomůžu, pokud pomoc nechce dám mu čas na nápravu a pokud ani to nepomůže tak ho odstřihnu.
Prostě kvůli kamarádovi nebudu v průseru.

To mi připomíná mého kamaráda který si pořídil vypalovačku CD a nedělal nic jiného jak vypaloval CD až mu to přerostlo přes hlavu a tak ji se slevou přeprodal mě a i mě začaly kamarádi chodit abych vypaloval CD a já na to bez problémů 1x CD 1000,- , ale jinde mi to udělají za 500,- a moje odpověď je tak si to nech udělat tam a měl jsem pokoj....
Samozřejmě semtam jsem někomu něco přepálil jak to fakt byl kamarád za cenu pouze nákladů......

jchudoba

krakonos Díky za upřesnění. Takto podané to nepůsobí tak hrůzně jako původní dotaz-tam jsem se lekl "proboha další ISP si jde hrát s blacklisty". Lidsky to tak nějak chápu, ale prakticky trvám na tom že je to špatně - kamarádovi bys paradoxně více pomohl kdybys s ním naložil jako s kterýmkoli jiným klientem.
Ale to už je mezi vámi.

Další stránka »