classic.ISPforum.cz

Řešíte někdo útoky na UBNT antény pokud mají veřejku? Napadlo mě posunout porty 443 a 80 jinam, ale tím to nepřestalo. Možná pokud se někde dá definovat maximální počet špatných přihlášení že by z té IP toho usera soft v anténě nepovolil. Našel jsem hlášku:

dropbear[22479]: Exit before auth: Max auth tries reached - user 'is invalid' from 122.225.109.201:8644

Ale nevím jestli to někde je - v menu asi ne, leda v příkazové řádce možná. Pokud někdo dáváte veřejky na UBNT radia jak se těm útokům bráníte ono to dost zpomaluje vlastní chod netu.

Ahoj, snad pomohu. Seřazeno dle mě podle nejvýhodnějších řešení, přičemž 1. řešení je dle mého úsudku nejlepší a 4 nejhorší

1.) Nedávat veřejky na síťovou infrastrukturu, nakopnout starý PC v síti za Natem a spravovat přes vzdálenou plochu
2.) Nastavit si jednu veřejnou IP adresu, natovat porty pro jednotlivá zařízení, nevyužité porty zahazovat (Zakázat SSH, nechat jenom WEB (-> tj. 1 otevřený port na každé zařízení))
3.) dát do cesty hrnaiční prvek, který odfiltruje cizí IP adresy (vytvořeni white listu)
4.) UBNT sedí na linuxu - zkusit do toho nacpat nějakej externí firewall a přes ten to spravovat - pokud ale na tvojí anténu někdo zkouší DDOS, tak pak bude ptořeba vytvořit skupiny filtrů atp..

Diky za hinty. Samosebou nepotrebuji mit hw na verejkach ,ale co jsem tedy opomnel napsat je ze to delam z duvody potreby pronatovani portu k zakaznikovi kdy ubnt bezi v rezimu router .

Jo, Voju odpověděl naprosto správně na naprosto jiný dotaz

Ono tomu moc nezabráníš. Ty pokusy budou vždy. Je tedy faktem, že na UBNT (rádiích) máš podstatně méně možností se bránit, než na mikrotiku (tím myslím jednoduše ...).

Ale základní chybu děláš v tom, že démon dropbear je SSH server. Tedy port 22.

Takže změnit ten port 22 na třeba 23222?

No prostě jinam než 22

Díky, vyzkouším a poreferuju.

Myslíš že má nějakej smysl to dát na nestandardní port? Možná si tak o deset minut oddálíš útok od dvanáctiletýho kluka kterej se zrovna nudí jinak to neřeší vůbec nic.

No uvidím, moc jiných možností nemám.

Já si myslím, že to smysl má ... jsou to většinou roboti. Je pro ně cennější kvantita - nějaké scanování portů (zvlášť desítek tisíc) jedné IP kvůli nalezení SSH serveru nebudou dělat.

goblajz píše:Myslíš že má nějakej smysl to dát na nestandardní port? Možná si tak o deset minut oddálíš útok od dvanáctiletýho kluka kterej se zrovna nudí jinak to neřeší vůbec nic.

Lepší je si pohrát s netfilterem a udělat to pořádně. Ale u UBNT je to prostě otrava. Přehození portu bohatě postačí (+netriviální heslo, samozřejmě).

Tak zatím díky, zdá se že ty útoky přestaly nebo nebudou snad tak časté.

Jojo ... Čína. Na to, že jsou za velkým firewallem, tak toho od nich chodí snad většina Já už dospěl u některých adres k tomu, že je sekám rovnou na bráně.

Ale jinak je to i o štěstí. Teď jsem koukal na jedno UBNT s veřejnou IP. Za patnáct dnů ani jeden pokus o připojení na SSH. Větší vzorek nemám, neboť díky elektrice nikdo asi nemá větší uptime.

David2006 píše:Diky za hinty. Samosebou nepotrebuji mit hw na verejkach ,ale co jsem tedy opomnel napsat je ze to delam z duvody potreby pronatovani portu k zakaznikovi kdy ubnt bezi v rezimu router .

ja tohle resil tak, ze na hlavnich branach (linux) se generuje firewall tak, ze implicitne zakazuje vsechno (krome ICMP apod samozrejme) na verejky za gateway. Jedinymi vyjimkami jsou IPcka zakazniku (vsichni maji verejku), ktere se dogenerovavaji automaticky z DB. Cili verejna IP gatewayi pro zakazniky jsou automaticky z venku nepristupna. Nemelo smysl to resit az na zarizeni u zakazniku (proc si ty scany vubec poustet dal do site, ze) a pridelavat si napriklad komplikace s nestandardnim portem pwo winbox/ssh atd

Jenže lowcost řešení je udělat router přímo z UBNT NanoStation ... Nedělá se to často, ale dělá. Pak tvoje řešení z principu nefunguje. Ale asi je jedno, co se snaží nabourat ... ubnt rádio, tplink router, windows.

A k čemu jsou pak zákazníkům veřejky, když je provoz zvenčí zaříznutý na GW? To už je skoro stejné, jako by byli za NATem.