Řešíte někdo útoky na UBNT antény pokud mají veřejku? Napadlo mě posunout porty 443 a 80 jinam, ale tím to nepřestalo. Možná pokud se někde dá definovat maximální počet špatných přihlášení že by z té IP toho usera soft v anténě nepovolil. Našel jsem hlášku:
dropbear[22479]: Exit before auth: Max auth tries reached - user 'is invalid' from 122.225.109.201:8644
Ale nevím jestli to někde je - v menu asi ne, leda v příkazové řádce možná. Pokud někdo dáváte veřejky na UBNT radia jak se těm útokům bráníte ono to dost zpomaluje vlastní chod netu.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
UBNT a útoky na jeho správu.
Ahoj, snad pomohu. Seřazeno dle mě podle nejvýhodnějších řešení, přičemž 1. řešení je dle mého úsudku nejlepší a 4 nejhorší
1.) Nedávat veřejky na síťovou infrastrukturu, nakopnout starý PC v síti za Natem a spravovat přes vzdálenou plochu
2.) Nastavit si jednu veřejnou IP adresu, natovat porty pro jednotlivá zařízení, nevyužité porty zahazovat (Zakázat SSH, nechat jenom WEB (-> tj. 1 otevřený port na každé zařízení))
3.) dát do cesty hrnaiční prvek, který odfiltruje cizí IP adresy (vytvořeni white listu)
4.) UBNT sedí na linuxu - zkusit do toho nacpat nějakej externí firewall a přes ten to spravovat - pokud ale na tvojí anténu někdo zkouší DDOS, tak pak bude ptořeba vytvořit skupiny filtrů atp..
1.) Nedávat veřejky na síťovou infrastrukturu, nakopnout starý PC v síti za Natem a spravovat přes vzdálenou plochu
2.) Nastavit si jednu veřejnou IP adresu, natovat porty pro jednotlivá zařízení, nevyužité porty zahazovat (Zakázat SSH, nechat jenom WEB (-> tj. 1 otevřený port na každé zařízení))
3.) dát do cesty hrnaiční prvek, který odfiltruje cizí IP adresy (vytvořeni white listu)
4.) UBNT sedí na linuxu - zkusit do toho nacpat nějakej externí firewall a přes ten to spravovat - pokud ale na tvojí anténu někdo zkouší DDOS, tak pak bude ptořeba vytvořit skupiny filtrů atp..
0 x
Michal Vojáček, CC INTERNET s.r.o.
Diky za hinty. Samosebou nepotrebuji mit hw na verejkach ,ale co jsem tedy opomnel napsat je ze to delam z duvody potreby pronatovani portu k zakaznikovi kdy ubnt bezi v rezimu router .
0 x
Jo, Voju odpověděl naprosto správně na naprosto jiný dotaz 
Ono tomu moc nezabráníš. Ty pokusy budou vždy. Je tedy faktem, že na UBNT (rádiích) máš podstatně méně možností se bránit, než na mikrotiku (tím myslím jednoduše ...).
Ale základní chybu děláš v tom, že démon dropbear je SSH server. Tedy port 22.
Ono tomu moc nezabráníš. Ty pokusy budou vždy. Je tedy faktem, že na UBNT (rádiích) máš podstatně méně možností se bránit, než na mikrotiku (tím myslím jednoduše ...).
Ale základní chybu děláš v tom, že démon dropbear je SSH server. Tedy port 22.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
No prostě jinam než 22
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Myslíš že má nějakej smysl to dát na nestandardní port? Možná si tak o deset minut oddálíš útok od dvanáctiletýho kluka kterej se zrovna nudí jinak to neřeší vůbec nic.
0 x
Já si myslím, že to smysl má ... jsou to většinou roboti. Je pro ně cennější kvantita - nějaké scanování portů (zvlášť desítek tisíc) jedné IP kvůli nalezení SSH serveru nebudou dělat.
Lepší je si pohrát s netfilterem a udělat to pořádně. Ale u UBNT je to prostě otrava. Přehození portu bohatě postačí (+netriviální heslo, samozřejmě).
goblajz píše:Myslíš že má nějakej smysl to dát na nestandardní port? Možná si tak o deset minut oddálíš útok od dvanáctiletýho kluka kterej se zrovna nudí jinak to neřeší vůbec nic.
Lepší je si pohrát s netfilterem a udělat to pořádně. Ale u UBNT je to prostě otrava. Přehození portu bohatě postačí (+netriviální heslo, samozřejmě).
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Tak zatím díky, zdá se že ty útoky přestaly nebo nebudou snad tak časté.
0 x
Jojo ... Čína. Na to, že jsou za velkým firewallem, tak toho od nich chodí snad většina Já už dospěl u některých adres k tomu, že je sekám rovnou na bráně.
Ale jinak je to i o štěstí. Teď jsem koukal na jedno UBNT s veřejnou IP. Za patnáct dnů ani jeden pokus o připojení na SSH. Větší vzorek nemám, neboť díky elektrice nikdo asi nemá větší uptime.
Já už dospěl u některých adres k tomu, že je sekám rovnou na bráně.Ale jinak je to i o štěstí. Teď jsem koukal na jedno UBNT s veřejnou IP. Za patnáct dnů ani jeden pokus o připojení na SSH. Větší vzorek nemám, neboť díky elektrice nikdo asi nemá větší uptime.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
-
Dalibor Toman
- Příspěvky: 1246
- Registrován: 12 years ago
David2006 píše:Diky za hinty. Samosebou nepotrebuji mit hw na verejkach ,ale co jsem tedy opomnel napsat je ze to delam z duvody potreby pronatovani portu k zakaznikovi kdy ubnt bezi v rezimu router .
ja tohle resil tak, ze na hlavnich branach (linux) se generuje firewall tak, ze implicitne zakazuje vsechno (krome ICMP apod samozrejme) na verejky za gateway. Jedinymi vyjimkami jsou IPcka zakazniku (vsichni maji verejku), ktere se dogenerovavaji automaticky z DB. Cili verejna IP gatewayi pro zakazniky jsou automaticky z venku nepristupna. Nemelo smysl to resit az na zarizeni u zakazniku (proc si ty scany vubec poustet dal do site, ze) a pridelavat si napriklad komplikace s nestandardnim portem pwo winbox/ssh atd
0 x
Jenže lowcost řešení je udělat router přímo z UBNT NanoStation ... Nedělá se to často, ale dělá. Pak tvoje řešení z principu nefunguje. Ale asi je jedno, co se snaží nabourat ... ubnt rádio, tplink router, windows.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
A k čemu jsou pak zákazníkům veřejky, když je provoz zvenčí zaříznutý na GW? To už je skoro stejné, jako by byli za NATem.
0 x