Prosím o radu. Je možné nastaviť RB Mikrotik,aby odolával SSH útokom,ktoré o.i.vyťažujú procesor?
Skúšal som toto:http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention
ale bez účinku. Útoky sú vždy z iných IP, v poslednej dobe trvajú aj niekoľko hodín. Alebo viete poradiť
inú účinnú obranu? Ďakujem za dobrú radu.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
SSH utok na RB Mikrotik
Záleží na tom, jestli je problém ve vytížení díky SSH, nebo kvůli prostému provozu. Proti prvnímu firewall pomůže, proti druhému už nemusí. Jak ten paket přijde, tak ho máš ...
Zkus zakázat SSH kompletně z WAN strany. A uvidíš. Návody pomocí blacklistů atp. jsou myšleny tak, aby běžný SSH provoz neovlivňovaly. Tedy z principu toho musí hodně projít. Ale kdo potřebuje SSH přístup ze všech stran?
Zkus zakázat SSH kompletně z WAN strany. A uvidíš. Návody pomocí blacklistů atp. jsou myšleny tak, aby běžný SSH provoz neovlivňovaly. Tedy z principu toho musí hodně projít. Ale kdo potřebuje SSH přístup ze všech stran?
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Prichádza to na WAN, niekoľko minút/hodín z rovnakej IP adresy. Je to pokus o nalogovanie sa do RB. Niektoré IP sa mi podarilo vysledovať, je to Čína a okolie.
Ale na vysledovanie IP ja nemám, tak to môže byť inak. Myslíš, že ten návod na Wiki by mal fungovat ??
Ale na vysledovanie IP ja nemám, tak to môže byť inak. Myslíš, že ten návod na Wiki by mal fungovat ??
0 x
Povol si ssh pouze z vlastního IP rozsahu. Případně pouze z LAN strany
0 x
Jak radí honzam.
Povoli si SSH jen ze svých rozsahů popřípadě nějaké zvláštní v IP - Services.
Před zhruba týdnem jsem stejný problém řešil přes tvrdý IP filtrování ale to prostě vydrží tak 10 minut.
Více IP rozsahů nejde nastavit v zastaralých firmwarech. Tuším, že ve 4 a nižších ale nejsem si jistej.
Povoli si SSH jen ze svých rozsahů popřípadě nějaké zvláštní v IP - Services.
Před zhruba týdnem jsem stejný problém řešil přes tvrdý IP filtrování ale to prostě vydrží tak 10 minut.
Více IP rozsahů nejde nastavit v zastaralých firmwarech. Tuším, že ve 4 a nižších ale nejsem si jistej.
0 x
iTomB píše:Tak pouzij script ode me a nebo pouzij port knocking.
Tom
Dik za radu. Pouzil som tvoj script. Utok trva cca 25-40 s. Co je dobra zmena. IP adresy ktore sa opakovali v kratkej dobe casto, su vo vypise LOG len raz. A kedze neovladam ROS, port knocking pouzit neviem. Dik.
0 x
Pitkin píše:iTomB píše:Tak pouzij script ode me a nebo pouzij port knocking.
Tom
Dik za radu. Pouzil som tvoj script. Utok trva cca 25-40 s. Co je dobra zmena. IP adresy ktore sa opakovali v kratkej dobe casto, su vo vypise LOG len raz. A kedze neovladam ROS, port knocking pouzit neviem. Dik.
Mrkni na root.cz, tam je pekny clanek o tom. Najdes je i na netu. Celkem jednoduche.
V pripade pokusu o spojeni na nejaky extra port - treba 12345 TCP, pridas si do address listu SRC IP treba na 1 minutu. Druhe pravidlo pri new zjistuje, zda je v addresslistu a pokud ano, povoli spojeni, jinak DROP.
0 x
-
zvukarmiso
- Příspěvky: 211
- Registrován: 13 years ago
Ahoj
Ja som mal vcera to iste stale nejaky problem s ssh tak som nasiel na nete toto a celkom sa mi to pozdava
ak mate nieco lepsie, dajte vediet.
Ja som mal vcera to iste stale nejaky problem s ssh tak som nasiel na nete toto a celkom sa mi to pozdava
Kód: Vybrat vše
add action=drop chain=input comment="Zahodit ssh neziaducich" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=\
ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
ak mate nieco lepsie, dajte vediet.
0 x
Pokud SSH nepotrebujes tak ho vypni uplne IP-Services a povypinej co nepotrebujes, pripadne zmen port
0 x
-
zvukarmiso
- Příspěvky: 211
- Registrován: 13 years ago
Ahojte mam pod. problem
uz dlhsiu dobu sa trapim s utokmi na ssh, skusal som vselico, zmenit port, vseliake firewall nastavenia, ale utoky sa stale opakuju. Moj posledny firewall vyzera takto
Ale bohuzial za 2 dni pozriem adress list a je tam cca 200 ip bloknutych. viete mi poradit ako to poriesit ?
SSH v ip services ked vypnem tak mi nejde vobec ssh, bohuzial firemny zakaznici potrebuju.
Zmena portu nepomaha, po 2-3 dnoch to zacina opat.
Zatial som zisil len tolko ze to ide z vonku nie z vnutra siete
Za kazdu radu vopred Ďakujem
uz dlhsiu dobu sa trapim s utokmi na ssh, skusal som vselico, zmenit port, vseliake firewall nastavenia, ale utoky sa stale opakuju. Moj posledny firewall vyzera takto
Kód: Vybrat vše
add action=jump chain=forward jump-target=icmp protocol=icmp
add chain=icmp comment="Limits pings ICMP" limit=50/5s,2
add chain=icmp comment="Accept ICMP - INPUT" log-prefix=ICMP
add action=log chain=icmp comment="Log: ICMP" log=yes log-prefix=ICMP
add action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d chain=input connection-limit=50,32 protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp src-address-list=blocked-addr
add action=jump chain=forward comment="SYN Flood protect" connection-state=new disabled=yes jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add chain=SYN-Protect connection-state=new limit=400,5 protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp tcp-flags=syn
add action=drop chain=input comment="Zahodit ssh neziaducich" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=\
ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=drop chain=forward comment="Neoznacene packety" disabled=yes packet-mark=no-mark
Ale bohuzial za 2 dni pozriem adress list a je tam cca 200 ip bloknutych. viete mi poradit ako to poriesit ?
SSH v ip services ked vypnem tak mi nejde vobec ssh, bohuzial firemny zakaznici potrebuju.
Zmena portu nepomaha, po 2-3 dnoch to zacina opat.
Zatial som zisil len tolko ze to ide z vonku nie z vnutra siete
Za kazdu radu vopred Ďakujem
0 x
Nevěřím tomu, že pokračují útoky na SSH i po změně portu ...
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
A proč si teda nedáš v IP Services to omezení přístupu na SSH mikrotiku jen z tvých veřejných IP adres? To mi zablokovalo kompletně všechny útoky a práce je to tak na 2 minuty.
0 x
Ještě mi není moc jasné:
a) řeší se útoky na SSH mikrotiku. Tedy předpokládám routeru na hranici sítě. Proč tam zákazníci potřebují SSH přístup? Notabene z veřejných IP? Ne, že bych si to neuměl představit, ale zároveň mi to přijde silně nepravděpodobné. Vypnutí v IP services ho vypne v tom mikrotiku, nikoliv na forwardovaném provozu.
b) pokud ten tvůj firewall funguje a útočníky blokuje, tak co je potřeba ještě řešit? Ten paket, minimálně jeden, prostě vždy přijde ... pokud to vadí, musí se to blokovat někde dřív po jeho cestě.
a) řeší se útoky na SSH mikrotiku. Tedy předpokládám routeru na hranici sítě. Proč tam zákazníci potřebují SSH přístup? Notabene z veřejných IP? Ne, že bych si to neuměl představit, ale zároveň mi to přijde silně nepravděpodobné. Vypnutí v IP services ho vypne v tom mikrotiku, nikoliv na forwardovaném provozu.
b) pokud ten tvůj firewall funguje a útočníky blokuje, tak co je potřeba ještě řešit? Ten paket, minimálně jeden, prostě vždy přijde ... pokud to vadí, musí se to blokovat někde dřív po jeho cestě.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
-
zvukarmiso
- Příspěvky: 211
- Registrován: 13 years ago
ludvik píše:Nevěřím tomu, že pokračují útoky na SSH i po změně portu ...
Proste pokracuju. Po hod, niekedy dvoch opat na dany port napr 2212 sa objavia nové utoky. Vobec tomu nechapem preco sa to deje.
Striker píše:A proč si teda nedáš v IP Services to omezení přístupu na SSH mikrotiku jen z tvých veřejných IP adres? To mi zablokovalo kompletně všechny útoky a práce je to tak na 2 minuty.
Protože utok je vzdy na na verejne IP
ludvik píše:a) řeší se útoky na SSH mikrotiku. Tedy předpokládám routeru na hranici sítě. Proč tam zákazníci potřebují SSH přístup? Notabene z veřejných IP? Ne, že bych si to neuměl představit, ale zároveň mi to přijde silně nepravděpodobné. Vypnutí v IP services ho vypne v tom mikrotiku, nikoliv na forwardovaném provozu.
No neviem, ako to myslis. Ak vypnem IP services SSH tak vsetci zakaznici co maju verejnu IP a potrebuju ssh tak im to nejde.
Forwoard napr. mam na localnej IP radius server. Z venku port 2232 na 22 daneho servera. Vypnem IP services tiez na to nepridem.
Možno mam niečo zle nastavene, ja uz fakt neviem.
ludvik píše:b) pokud ten tvůj firewall funguje a útočníky blokuje, tak co je potřeba ještě řešit? Ten paket, minimálně jeden, prostě vždy přijde ... pokud to vadí, musí se to blokovat někde dřív po jeho cestě.
No prejst to prejde, nieco. Ako prve veci zachyti. len problem je v tom ze do 4 hod tam mam v liste cca 300 adries, ako mam donutit poskytovatela aby to on blokoval ?
Podla mna ma nieco spatne. Dokonca z mojho MK vidim skoro celu jeho siet.
takto to vyzera z logu
Kód: Vybrat vše
01:36:31 system,error,critical login failure for user root from 93.174.93.33 via ssh
01:36:31 system,error,critical login failure for user root from 93.174.93.33 via ssh
03:28:13 system,error,critical login failure for user admin from 94.131.14.102 via ssh
05:04:15 system,error,critical login failure for user root from 89.248.171.19 via ssh
05:04:16 system,error,critical login failure for user ubnt from 89.248.171.19 via ssh
05:04:17 system,error,critical login failure for user admin from 89.248.171.18 via ssh
Neviem co s tym, v urcitych hodinach je to tak velke množstvo že konektivita 200M mi klesne na 30 M
0 x