SSH autentifikace

[Petr S.]

Zdravím,

mám teď problém s tímto kódem.

Kód: Vybrat vše

add chain=inet>router comment="Dava IP do blacklistu" connection-limit=100,32 \
    connection-state=new dst-port=2202 limit=1,5:packet protocol=tcp \
    src-address-list=ssh-povol
add action=drop chain=inet>router connection-state=new dst-port=2202 \
    protocol=tcp src-address-list=ssh-zakaz
add action=add-src-to-address-list address-list=ssh-zakaz \
    address-list-timeout=3d chain=inet>router connection-state=new dst-port=\
    2202 protocol=tcp src-address-list=faze4-ssh
add action=add-src-to-address-list address-list=faze4-ssh \
    address-list-timeout=1h chain=inet>router connection-state=new dst-port=\
    2202 protocol=tcp src-address-list=faze3-ssh
add action=add-src-to-address-list address-list=faze3-ssh \
    address-list-timeout=30m chain=inet>router connection-state=new dst-port=\
    2202 protocol=tcp src-address-list=faze2-ssh
add action=add-src-to-address-list address-list=faze2-ssh \
    address-list-timeout=30m chain=inet>router connection-state=new dst-port=\
    2202 protocol=tcp src-address-list=faze1-ssh
add action=add-src-to-address-list address-list=faze1-ssh \
    address-list-timeout=10m chain=inet>router connection-state=new dst-port=\
    2202 protocol=tcp
[b]add action=accept protocol=tcp connection-limit=100,32 dst-port=2202 limit=0,5:packet[/b]
add action=drop chain=inet>router

Má to fungovat tak, že po připojení se k SSH se vytvoří address list s danou adresou a povolí přístup ve fázi 1, když se v daném časovém limitu připojí někdo z této adresy znovu a je v address listu fáze1, tak se hodí do fáze2 atd... A když dojde do ssh-zakaz, tak ho firewall blokne. Problém je ale v tom, že pravidlo funguje jen v případě, že je vypnuté poslední pravidlo, pokud je zapnuté tak se klient snaží neustále k Mikrotiku připojit ale nespojí se. V Address listu jen naskakují jednotlivé fáze.

Obdobně to mám nakonfigurováno i na jiném routeru s ros 6.22 a tam to funguje. Tady to je na 6.35.2 a nic. Mám chybu někde já a nebo je zrada ve verzi RoS? Už si s tím hraju dost dlouho a zatím na nic, že bych měl špatně nemůžu přijít. Vypadá to, že to předposlední pravidlo (tučně) prostě nefunguje...

Napadá vás něco?

Díky moc.

[ludvik]

Co to má dělat? K čemu je to dobré?

Blacklisting SMTP dle počtu konexí se tu dá najít a lze využít i pro toto. Má myslím dva řádky.

[Petr S.]

Funguje to tak, že když se připojí někdo k SSH a neuhodne heslo, tak ho to hodí do fáze 1. Když se připojí podruhé hodí ho to do fáze 2. A tak dále. Ale můžu tím dávat i delší časy na jak dlouho ponechávat IP adresy v těch jednotlivých address listech. Jakmile IP spadne do fáze ssh-zakaz, tak tam zůstane třeba 7 dní.

Výhoda je hlavně v tom, že tím odfiltruju IP, který se snaží louskat hesla.

[ludvik]

A čím se to liší od toho, co navrhuji já?

Přihlásím se na ssh a mám X pokusů v jedné konexi. Po těch pokusech mě SSHD vykopne. Zkusím znovu, opět mi to napočítá konexi. Když to nastavím dost citlivě, tak buď louská hodně pomalu ... nebo ho to brzy sekne.
Tvoje řešení mi přijde děsně složité a zbytečné.