Pokus o utok na mikrotik, ako zakazat IP utocnika

[radocicala]

V urcitych hodinach denne mi clovek z ip 211.154.164.109 skusa hesla na mikrotik, stale ho to bavi a zbytocne vytazuje mikrtotik. (Mam verejnu ip). Viete poradit ako by som zakazal jeho ip, aby nemohol skusat tie hesla alebo nejake riesenie, nic ma nenapada. Vopred dakujem

[czatlantis]

covece, me to dela ten stejnej clovek taky(teda delal ) ja to mam udelany ze mam ve firewallu povoleny vsechno jen z LAN+1IP jinak mam vsechno nastaveny na "drop"

[Petr Vlašic]

V urcitych hodinach denne mi clovek z ip 211.154.164.109 skusa hesla na mikrotik, stale ho to bavi a zbytocne vytazuje mikrtotik. (Mam verejnu ip). Viete poradit ako by som zakazal jeho ip, aby nemohol skusat tie hesla alebo nejake riesenie, nic ma nenapada. Vopred dakujem

Nejlepší řešení by asi bylo:
1)Zakázat adresu útočníka

Kód: Vybrat vše

/ip firewall filter add chain=input src-address=211.154.164.109 action=drop


2)Přesunou standartní SSH port z 22 (předpokládam ,že se pokuší zalogovat přez SSH) na některý jiný méně standartní

Kód: Vybrat vše

/ip service set ssh port=XXX

3)Pokud umíte čínsky ,tak pošlete na adresu Betsy.du@bj.datadragon.net e-mail že uživatel s danou IP využívá jejich servery jakožto scanovacího robota a ,že by potřeboval pár za uši

[gorila]

V urcitych hodinach denne mi clovek z ip 211.154.164.109 skusa hesla na mikrotik, stale ho to bavi a zbytocne vytazuje mikrtotik. (Mam verejnu ip). Viete poradit ako by som zakazal jeho ip, aby nemohol skusat tie hesla alebo nejake riesenie, nic ma nenapada. Vopred dakujem

Nejlepší řešení by asi bylo:
1)Zakázat adresu útočníka

Kód: Vybrat vše

/ip firewall filter add chain=input src-address=211.154.164.109 action=drop


2)Přesunou standartní SSH port z 22 (předpokládam ,že se pokuší zalogovat přez SSH) na některý jiný méně standartní

Kód: Vybrat vše

/ip service set ssh port=XXX

3)Pokud umíte čínsky ,tak pošlete na adresu Betsy.du@bj.datadragon.net e-mail že uživatel s danou IP využívá jejich servery jakožto scanovacího robota a ,že by potřeboval pár za uši

Dakujem aj ja za tuto pomoc.tiez som tam mal nejakeho debila,co sa snazil pripojit.

[radocicala]

Dik za rady, pomohlo

[net.work]

zdrawim, chci se zeptat, ohledne tech utoku, jak nakonfigurovat FW, aby kdyz utocnik 5x behem treba minuty zadal spatne heslo, aby mu to treba na 1 hod. bloklo IP? Vim ze se to tu nekde resilo, ale nemohl jsem to nikde najit......

[jirk]

viewtopic.php?t=2070

[Petr Vlašic]

Jinak pokud vás to trochu zajímá kdo se vám snaží připojovat ,tak si udělejte pravidlo které při novém spojení na SSH port na WAN interface přidá uživatele do nějakého access-listu(kupř. ssh-con) a čas od času tento access list projděte a pokud se vám nějaká IP nebude zdát tak ji přesuňte do blacklistu a pokud se často připojujete zvenku z nějaké IP tak ji naopak hoïte do whitelistu a je vyřešeno.
Jo a pokud vám na bezpečnosti kór zaleží a nevíte co s výkonem na Routeru ,tak si klidně můžete poskládat pravidla do podoby nějakého IDS ,který pokud se někdo bude pingovat či otvírat port 22 přejde do Address-listu Level1 a pokud se bude v určitém časovém rozssahu připojovat znovu(či obecně kuit něco podezřelého) přejde do Levelu2 kde bude blokován třeba na hoïku a pokud se bude připojovat znovu tak přejde rovnou do Levelu3 kde bude permanentně blokován...možné je vše.Jeden čas jsem se dokonce s takovýma blblosama hrál.

[Ice_Mann]

jejda mě se tam taky snaží dostat 211.154.164.109

[dvcompt]

a jak prosim to pravidlo z prikazove radky vymazat, zadal jsem to spatne a nemohu se uz na nej dostat vzdalene, prosim o prikaz. diky

[lada]

Měl jsem podobný problém. Vždy, když jsem IP zakázal, začal zkoušet z jiné IP. Zakazováním jsem se dopracoval k cca 20 zakázaným IP. Zkoušel porty 21,22,23,80. Ve firewallu jsem zakázal přístup na uvedené porty z venku a je po problému. Zakázal jsem i ping na moji IP z venku a pak ho to přestalo bavit. Mám to takhle nastaveno téměř měsíc a vše OK. Není to asi to pravé, ale jako "první pomoc" to stačí.

[czatlantis]

nejlepsi je asi mit zakazany zvenku vsechno krome urcitych IP, problem je kdyz se clovek potrebuje zalogovat a zrovna neni u toho netu z kteryho to ma povoleny

[Leeonek]

Měl jsem podobný problém. Vždy, když jsem IP zakázal, začal zkoušet z jiné IP. Zakazováním jsem se dopracoval k cca 20 zakázaným IP. Zkoušel porty 21,22,23,80. Ve firewallu jsem zakázal přístup na uvedené porty z venku a je po problému. Zakázal jsem i ping na moji IP z venku a pak ho to přestalo bavit. Mám to takhle nastaveno téměř měsíc a vše OK. Není to asi to pravé, ale jako "první pomoc" to stačí.

Tak se mrkni z jakého rozsahu je ten útočník a zakaž ho celý, ne? Jednoduché a účinné

[czatlantis]

no jo ale on muze mit k dispozici vic rozsahu(treba prace/skola, doma, u kamose, nejaky proxy, anonymizery...)

[Leeonek]

no jo ale on muze mit k dispozici vic rozsahu(treba prace/skola, doma, u kamose, nejaky proxy, anonymizery...)

On to není jednotlivec který se zrovna Tobě snaží nabourat do MK, a proto to nebude zkoušet z víc míst, je to kompl který sebral někde ip adresu z tvého routeru a zkouší to, pokud se mu to nepovede, zkusí to z jiné ip adresy, pokud nemáš nějaké lamerské profláknuté heslo tak nemá šanci se tam dostat. Ikdyby se tam dostal je otázka co s tím dovede udělat, zná,mý měl půl roku na mk admin bez hesla, kařdý týden zkruba 1000 pokusů o přihlášení ale to je asi tak všechno neřešil bych to