| 0
- 16.06.2015 - 22:07
|
У знакомых закурочили тика (версий несколько, скорее всего слабые повторяющиеся пароли или зловред на тачке с которой заходили). Вопрос, у тика же есть не совсем очевидные методы настройки mac server, api что у него есть помимо стандартных telnet\ssh\web\ftp\winbox которые брутятся стандартными средствами, есть неудалемый guest без пароля на smb, в общем может кто подскажет что там огораживать и где ждать засаду или может новость какую пропустил. По ощущениям крутили с консоли или api поменяли мало чего, 951-й с wifi fw 6.28
    | | ||
| 1
- 16.06.2015 - 22:16
|
0-_701054_ > IP -> Services. Вообще правило на новые подключения извне должно спасать от доступа снаружи. | | ||
| 2
- 16.06.2015 - 22:19
| 1-Pass > на снаружи и не похоже там конечно все в правилах, а вот wifi был сбриджеван с lan | | ||
| 3
- 16.06.2015 - 22:24
|
2-_701054_ > сервисе не отключали? Я оставляю вебку и винбокс, остальное отключить. Для гостей есть отдельная точка с левым пулом и правилом в файерволе. Скорее всего сбрутили. | | ||
| 4
- 16.06.2015 - 22:34
| возможно сбрутили... хоть и была пара спецсимволов парль не особо замудреный, дык консоль же не работает если все отключить - не удобно, да и вебку побрутят также, но в принципе лучше, чем ничего это да, я обычно первым делом убирал mac-telnet(tools->mac server) там ге оно заведомо не нужно,убирал сразу ip neighbours там где не мои линки чтоб не светиться, дальше по-разному, чаще правилами fw рулил , а не сервисами, ну и по ключу ещё временами ssh делал - но то для сбора кнфигов....вот и не пойму, от чего загораживаться, что там ещё припрятано, по дефолту избыточно рулежек. | | ||
| 5
- 16.06.2015 - 22:38
|
скорее хозяин сам чета намудрил. сбротить со спецсимволами такую железяку устанешь... простите зловред ЧЕГО ????? тачка имеет ту же архитектуру что и железо микрота ? ой ли | | ||
| 6
- 16.06.2015 - 22:40
| наврал не было там спецсимволов...то на wifi были, хм ну да скорее всего сбрутили...ну уже сказал ему память тренировать и сгенерить пасс повеселее первым делом ) | | ||
| 7
- 16.06.2015 - 22:43
|
4-_701054_ > Так все это сервисы внутренней сети. Внутрянку беречь надо. Свою AP скрываем, пароль посложнее. А гостевая у меня открытая по методу выше, все через Access List. | | ||
| 8
- 16.06.2015 - 22:46
| Цитата:
| | ||
| 9
- 16.06.2015 - 23:00
|
8-_701054_ > чаще всего просто недосмотр. | | ||
| 10
- 17.06.2015 - 01:15
|
IP - Firewall - Filter решает проблему с брутфорсами и пр. лабудой. Пока еще хватает внешних IP-адресов - надо этим пользоваться. | | ||
| 11
- 17.06.2015 - 08:40
|
10-Stepan Razin > изнутри решает? А вторая реплика к чему? | | ||
| 12
- 19.06.2015 - 18:11
|
Fail2ban рулит от перебора. Я себе делал для защиты pptp, но можно это сделать для любого сервиса же Конкретно для pptp /ip firewall filter add chain=input protocol=tcp dst-port=1723 src-address-list=pptp_blacklist \ action=drop comment="drop PPTP brute forcers" add chain=input protocol=tcp dst-port=1723 connection-state=new src-address-list=pptp_stage4 \ action=add-src-to-address-list address-list=pptp_blacklist address-list-timeout=1h add chain=input protocol=tcp dst-port=1723 connection-state=new src-address-list=pptp_stage3 \ action=add-src-to-address-list address-list=pptp_stage4 address-list-timeout=1m add chain=input protocol=tcp dst-port=1723 connection-state=new src-address-list=pptp_stage2 \ action=add-src-to-address-list address-list=pptp_stage3 address-list-timeout=1m add chain=input protocol=tcp dst-port=1723 connection-state=new src-address-list=pptp_stage1 \ action=add-src-to-address-list address-list=pptp_stage2 address-list-timeout=1m add chain=input protocol=tcp dst-port=1723 connection-state=new \ action=add-src-to-address-list address-list=pptp_stage1 address-list-timeout=1m | | ||
| 13
- 20.06.2015 - 10:32
|
(12): А если ошибка подключения по какой-то причине - минуту ждать надо для переподключения? Я бы 10 сек. поставил, брутфорсеры в любом случае чаще реконнектся. Но метод прикольный, спасибо, законспектировал | | ||
| 14
- 20.06.2015 - 15:18
| Цитата:
Снизу вверх. ============================== 1. Проходя нижнее правило, адрес любого (удачного/неудачного) подключения попадает в лист pptp_stage1 на 1 минуту. 2. Если подключение было неудачным, то при его повторной попытке в течение 1 минуты в случае любого (удачного/неудачного) подключения попадает в лист pptp_stage2 на 1 минуту 3. То же самое что и п.2, только лист pptp_stage3 4. То же самое что и п.2, только лист pptp_stage4 5. Если попытки подключения с одного и того же адреса доходят до пункта 5, адрес этого подключения попадает в pptp_blacklist сроком на 1 час. 6. Правило, дропающее все что в блэклисте. ========================================= Соответственно, если у вас возникают ошибки подключения по каким-либо причинам, лучше не уменьшать время pptp_stage1-4 до 10 секунд, ибо вы все равно имеете шанс дойти до pptp_blacklist, а просто увеличить количество адрес-листов до black_list, скажем до 10. Ну 10 уже хватит по любому. Но таймаут в blacklist увеличить тогда до суток:))) В общем достаточно гибкая вещь. | | ||
| 15
- 20.06.2015 - 15:28
|
Теперь опять в тему. Что я еще делал на микротиках. В IP/Services можно практически во всех сервисах поменять порты со стандартных на произвольные. Брутфорсеры же шарятся по стандартным портам. Изменяя тот же доступ по www с 80 на какой-нибудь 12255 вы забудете про них. Проверено. Вышеописанный пример fail2ban был реализован только потому что в pptp в микротике (как и в обычном лине) нельзя обычной настройкой поменять порт со стандартного 1723 на другой (в лине по крайней мере можно перекомпилировать изменив в коде). И, должен сказать, 1723 брутят постоянно. По счетчикам видно. А вообще, лучше бы от www отказаться и оставить только www-ssl с измененным с 443 на какой-нибудь другой порт. Соответственно надо будет сгенерить сертификы и установить их в микротик. Если кому надо, могу скинуть мануал который составлял для себя. Хотя в инете все вроде есть. Ну и еще бы я посоветовал на странице ip/services оставить winbox для внутренней сети (вряд ли снаружи лезете) | | ||
| 16
- 20.06.2015 - 15:30
| +15 а остальное вообще все отключить. | | ||
| 17
- 20.06.2015 - 15:51
| Цитата:
Цитата:
Дано: 1. домашние девайсы, 2. детские планшеты телефоны, 3. левые гости. Поднимаем две дополнительных VirtualAP. 1. Домашние устройства для взрослых подсоединяются к основной AP обязательно с белым списком мак-адресов и хорошим паролем и имеют доступ ко всем ресурсам и роутеру. 2. Для детей на VirtualAP1 поднимаем свою адресацию и свой DHCP сервер. Свой для того, что бы он раздал им семейный яндекс днс 77.88.8.7, 77.88.8.3 без сайтов для взрослых. Поскольку эта сетка отдельная, то в файрволле ей разрешается лазить на все ресурсы основной сети (тот же NAS). И самое главное, для детей. В 21:00 ежедневно файрволл отключает им все замечательные сервисы. И интернет и сетку до 1 часу ночи:))) И никакие детские слезы в 21:01 не заставят меня ничего менять, ибо за комп даже садится не собираюсь. Ну и конечно же белый список маков детских устройств. 3. Гости и проч. Для них на VirtualAP2 так же поднимается отдельная адресация и отдельный DHCP сервер, который им дает, скажем DNS гугля 8.8.8.8 И для этой сетки запрещены в файрволле как ресурсы внутренней сети так и любой доступ на роутер. Он им и не нужен, т. к. DNS они получают сторонний и доступ даже доступ на роутер как на DNS сервер им не нужен. Ну, и соответственно никакой мак фильтрации. | | ||
| 18
- 20.06.2015 - 22:18
| дома у меня тож красота, virtualAP и даже еще snort тестовый с виртуалки правилами подруливает на тике ) и да fail2ban немного другое - то все таки парсилка логов, address list норм тема только я б скорее port knocking сделал ... ну наоборот открывал бы только тем кто достучался в несколько этапов . | | ||
| 19
- 22.06.2015 - 13:20
| 13 - Аналог knock-knock vpn :) Как кодовый замок с комбинациями - портами, постучал на нужные, в нужной последовательности, адресочек в белый лист на любой доступ к железке :) | | ||
| 20
- 23.06.2015 - 09:10
|
Пара правил, банящих брутфорсера обламывает ему весь кайф с таймаутом на месяц ))) PS. SSH открыт | | ||
| 21
- 23.06.2015 - 11:49
| какой брутфорс в век приватных ключей) | |
Интернет-форум Краснодарского края и Краснодара |
