Stránka 1 z 3
Pokus o utok na mikrotik, ako zakazat IP utocnika
Napsal: 09 Jun 2007 15:50
od radocicala
V urcitych hodinach denne mi clovek z ip 211.154.164.109 skusa hesla na mikrotik, stale ho to bavi a zbytocne vytazuje mikrtotik. (Mam verejnu ip). Viete poradit ako by som zakazal jeho ip, aby nemohol skusat tie hesla alebo nejake riesenie, nic ma nenapada. Vopred dakujem
Napsal: 09 Jun 2007 17:10
od czatlantis
covece, me to dela ten stejnej clovek taky(teda delal
) ja to mam udelany ze mam ve firewallu povoleny vsechno jen z LAN+1IP jinak mam vsechno nastaveny na "drop"
Re: Pokus o utok na mikrotik, ako zakazat IP utocnika
Napsal: 09 Jun 2007 17:48
od Petr Vlašic
radocicala píše:V urcitych hodinach denne mi clovek z ip 211.154.164.109 skusa hesla na mikrotik, stale ho to bavi a zbytocne vytazuje mikrtotik. (Mam verejnu ip). Viete poradit ako by som zakazal jeho ip, aby nemohol skusat tie hesla alebo nejake riesenie, nic ma nenapada. Vopred dakujem
Nejlepší řešení by asi bylo:
1)Zakázat adresu útočníka
Kód: Vybrat vše
/ip firewall filter add chain=input src-address=211.154.164.109 action=drop
2)Přesunou standartní SSH port z 22 (předpokládam ,že se pokuší zalogovat přez SSH) na některý jiný méně standartní
3)Pokud umíte čínsky ,tak pošlete na adresu
Betsy.du@bj.datadragon.net e-mail že uživatel s danou IP využívá jejich servery jakožto scanovacího robota a ,že by potřeboval pár za uši
Re: Pokus o utok na mikrotik, ako zakazat IP utocnika
Napsal: 09 Jun 2007 21:51
od gorila
Grunt_Mich_An píše:radocicala píše:V urcitych hodinach denne mi clovek z ip 211.154.164.109 skusa hesla na mikrotik, stale ho to bavi a zbytocne vytazuje mikrtotik. (Mam verejnu ip). Viete poradit ako by som zakazal jeho ip, aby nemohol skusat tie hesla alebo nejake riesenie, nic ma nenapada. Vopred dakujem
Nejlepší řešení by asi bylo:
1)Zakázat adresu útočníka
Kód: Vybrat vše
/ip firewall filter add chain=input src-address=211.154.164.109 action=drop
2)Přesunou standartní SSH port z 22 (předpokládam ,že se pokuší zalogovat přez SSH) na některý jiný méně standartní
3)Pokud umíte čínsky ,tak pošlete na adresu
Betsy.du@bj.datadragon.net e-mail že uživatel s danou IP využívá jejich servery jakožto scanovacího robota a ,že by potřeboval pár za uši
Dakujem aj ja za tuto pomoc.tiez som tam mal nejakeho debila,co sa snazil pripojit.
Dik
Napsal: 10 Jun 2007 00:20
od radocicala
Dik za rady, pomohlo
Napsal: 10 Jun 2007 13:00
od net.work
zdrawim, chci se zeptat, ohledne tech utoku, jak nakonfigurovat FW, aby kdyz utocnik 5x behem treba minuty zadal spatne heslo, aby mu to treba na 1 hod. bloklo IP? Vim ze se to tu nekde resilo, ale nemohl jsem to nikde najit......
Napsal: 11 Jun 2007 13:07
od jirk
Napsal: 11 Jun 2007 16:23
od Petr Vlašic
Jinak pokud vás to trochu zajímá kdo se vám snaží připojovat ,tak si udělejte pravidlo které při novém spojení na SSH port na WAN interface přidá uživatele do nějakého access-listu(kupř. ssh-con) a čas od času tento access list projděte a pokud se vám nějaká IP nebude zdát tak ji přesuňte do blacklistu a pokud se často připojujete zvenku z nějaké IP tak ji naopak hoïte do whitelistu a je vyřešeno.
Jo a pokud vám na bezpečnosti kór zaleží a nevíte co s výkonem na Routeru ,tak si klidně můžete poskládat pravidla do podoby nějakého IDS ,který pokud se někdo bude pingovat či otvírat port 22 přejde do Address-listu Level1 a pokud se bude v určitém časovém rozssahu připojovat znovu(či obecně kuit něco podezřelého) přejde do Levelu2 kde bude blokován třeba na hoïku a pokud se bude připojovat znovu tak přejde rovnou do Levelu3 kde bude permanentně blokován...možné je vše.Jeden čas jsem se dokonce s takovýma blblosama hrál.
Napsal: 16 Jun 2007 08:26
od Ice_Mann
jejda mě se tam taky snaží dostat 211.154.164.109
Napsal: 27 Jun 2007 08:48
od dvcompt
a jak prosim to pravidlo z prikazove radky vymazat, zadal jsem to spatne a nemohu se uz na nej dostat vzdalene, prosim o prikaz. diky
Napsal: 25 Jul 2007 22:13
od lada
Měl jsem podobný problém. Vždy, když jsem IP zakázal, začal zkoušet z jiné IP. Zakazováním jsem se dopracoval k cca 20 zakázaným IP. Zkoušel porty 21,22,23,80. Ve firewallu jsem zakázal přístup na uvedené porty z venku a je po problému. Zakázal jsem i ping na moji IP z venku a pak ho to přestalo bavit. Mám to takhle nastaveno téměř měsíc a vše OK. Není to asi to pravé, ale jako "první pomoc" to stačí.
Napsal: 26 Jul 2007 13:49
od czatlantis
nejlepsi je asi mit zakazany zvenku vsechno krome urcitych IP, problem je kdyz se clovek potrebuje zalogovat a zrovna neni u toho netu z kteryho to ma povoleny
Napsal: 26 Jul 2007 16:13
od Leeonek
lada píše:Měl jsem podobný problém. Vždy, když jsem IP zakázal, začal zkoušet z jiné IP. Zakazováním jsem se dopracoval k cca 20 zakázaným IP. Zkoušel porty 21,22,23,80. Ve firewallu jsem zakázal přístup na uvedené porty z venku a je po problému. Zakázal jsem i ping na moji IP z venku a pak ho to přestalo bavit. Mám to takhle nastaveno téměř měsíc a vše OK. Není to asi to pravé, ale jako "první pomoc" to stačí.
Tak se mrkni z jakého rozsahu je ten útočník a zakaž ho celý, ne? Jednoduché a účinné
Napsal: 26 Jul 2007 16:44
od czatlantis
no jo ale on muze mit k dispozici vic rozsahu(treba prace/skola, doma, u kamose, nejaky proxy, anonymizery...)
Napsal: 26 Jul 2007 16:55
od Leeonek
czatlantis píše:no jo ale on muze mit k dispozici vic rozsahu(treba prace/skola, doma, u kamose, nejaky proxy, anonymizery...)
On to není jednotlivec který se zrovna Tobě snaží nabourat do MK, a proto to nebude zkoušet z víc míst, je to kompl který sebral někde ip adresu z tvého routeru a zkouší to, pokud se mu to nepovede, zkusí to z jiné ip adresy, pokud nemáš nějaké lamerské profláknuté heslo tak nemá šanci se tam dostat. Ikdyby se tam dostal je otázka co s tím dovede udělat, zná,mý měl půl roku na mk admin bez hesla, kařdý týden zkruba 1000 pokusů o přihlášení ale to je asi tak všechno
neřešil bych to