SSH utok na RB Mikrotik

[ludvik]

IP services vypíná/zapíná SSH jen na tom JEDNOM routeru. Stejně tak si tam můžeš nastavit omezení - přístup na router většinou stačí z interní sítě (libovolnou službou). Je to omezení v rámci služby, firewallu se to netýká.

Pokud změníš port a neřekneš to útočníkovi, on nebude hledat jestli ti nesedí SSH někde jinde. Musel by proscanovat prakticky všech 65536 portů a na to se ti vykašle. Čili pokud to dělá i potom, zbývají dvě možnosti: dělá ti to nějaký zákazník (nebo admin) který o tom prostě ví, nebo to měníš nějak "špatně". Sice tě pořádně nechápu, ale skoro bych řekl, že změníš SSH port někde uvnitř sítě na jiném serveru/routeru a na tomto uděláš jen přesměrování - To je logicky útočníkovi naprosto fuk, neboť mu pořád stačí použít port 22 který zná. Případně to sice přesměruješ z neznámého na známý port, ale necháš funkční i ten původní.

Ale útoků se stejně nezbavíš. Pořád bude někdo, kdo to bude zkoušet. Prostě musíš mít dostatečně silné heslo (nebo lépe klíč) a k tomu ochranu proti DOS, tak jak máš. Třista adres v address-listu není nic co by tě mělo vzrušovat.

[Striker]

A proč si teda nedáš v IP Services to omezení přístupu na SSH mikrotiku jen z tvých veřejných IP adres? To mi zablokovalo kompletně všechny útoky a práce je to tak na 2 minuty.

Protože utok je vzdy na na verejne IP [/quote]

No ale to je jedno snad. Na mikrotiku v Services povolíš pro přístup k SSH jen tvůj rozsah veřejných IP který máš. Nikdo jinej se na to nedostane, pokud budeš potřebovat přístup z jinýho veřejnýho rozsahu, tak si ho prostě povolíš jako další rozsah.
Pak útoky přestanou. Viz. obrázek, kde mám povolený dva veřejný rozsahy, který máme v síti a jednu veřejnou IP.

A SSH útoky přestaly.

[lwq]

Pokud nechces riskovat s implementaci port knockingu v prostredi RouterOS, tak zmen port na nejaky vysoky tj. 20000+ alespon tam je sance, ze te naskenuji miziva. Nicmene - pokud nekdo cilene jde po tvych verejkach, tak za relativne kratky cas ti sluzbu naskenuje vsude. Docela valka mno ...

[shooter]

jak velky máte utoky ja po tomto skriptu mám v databazi 32tis adres
je tedy pravda že tam mam pravidla upraveny na forward abych filtroval celou sít

[lwq]

Doporucuji tento zdroj statistik o utocich ...
https://www.turris.cz/cs/portrend/tcp/22
Treba port TCP/32222 vypada dobre
https://www.turris.cz/cs/portrend/tcp/32222?period=y

[lwq]

A proč si teda nedáš v IP Services to omezení přístupu na SSH mikrotiku jen z tvých veřejných IP adres? To mi zablokovalo kompletně všechny útoky a práce je to tak na 2 minuty.

Protože utok je vzdy na na verejne IP

No ale to je jedno snad. Na mikrotiku v Services povolíš pro přístup k SSH jen tvůj rozsah veřejných IP který máš. Nikdo jinej se na to nedostane, pokud budeš potřebovat přístup z jinýho veřejnýho rozsahu, tak si ho prostě povolíš jako další rozsah.
Pak útoky přestanou. Viz. obrázek, kde mám povolený dva veřejný rozsahy, který máme v síti a jednu veřejnou IP.

A SSH útoky přestaly.[/quote]

Toto nepomuze pokud budou utocit pocitace primo uvnitr site. Chce to jine porty ci oddelenou MGMT VLAN ...

[Striker]

Toto nepomuze pokud budou utocit pocitace primo uvnitr site. Chce to jine porty ci oddelenou MGMT VLAN ...

Tak tady myslím šlo primárně o útoky zvenčí. Ale změna portů je nejjednodušší