+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проблема с безопасностью.

Проблема с безопасностью., RouterOS

teemx Guest	#1 0 09.03.2006 07:22:00 У меня несколько iGate работают на версии 2.9.14. В логах постоянно вижу "system error critical" и "login failure for user root from xxx.xxx.xxx.xxx via ssh". Что это может быть и как этого избежать?

cabana

Guest

09.03.2006 07:44:00

Я бы не сказал, что это проблема безопасности. Как только что-то попадает в Интернет, его будут тщательно проверять. Чтобы предотвратить то, что вы видите в ваших логах, убедитесь, что ваши пароли сложные, закройте порт 22 (и 23) или измените порт 22 на другой… или, конечно, ограничьте порт 22 конкретными IP-адресами, которые вы используете.

vklimovs

Guest

09.03.2006 20:45:00

Это вирус, который пытается подключиться к порту 22 случайных IP-адресов и использует предопределённые комбинации логина/пароля для входа. Даже если это получится, он ожидает, что там будет Linux, он ничего не знает про MT и команды консоли MT. Но если это вас беспокоит, вы можете изменить порт SSH на вашем устройстве: `/ip service set ssh port=50022` Или вы можете ограничить доступ к SSH, разрешив только внутреннюю сеть: `/ip service set ssh address=192.168.0.0/24` Это можно сделать и через файрвол. Удачи!

mag Guest	#4 0 15.03.2006 07:55:00 Просто идея: /ip firewall filter добавить chain=input protocol=tcp dst-port=22 limit=1/10s,2 action=accept comment="Accept limited SSH" disabled=no добавить chain=input protocol=tcp dst-port=22 action=drop comment="Drop excess SSH" disabled=no

lastguru Guest	#5 0 15.03.2006 10:28:00 Ну… не очень-то мне нравится эта идея, ведь не всегда ты будешь первым, кто её использует, каждые 10 секунд. Другими словами, ты можешь заблокировать себя таким образом.

mag

Guest

15.03.2006 11:14:00

Окей, вижу. Можно немного улучшить так: `/ip firewall filter`
добавить chain=input in-interface=<internet> protocol=tcp dst-port=22 limit=1/10s,2 action=accept comment="Accept limited SSH" disabled=no

добавить chain=input in-interface=<internet> protocol=tcp dst-port=22 action=add-src-to-address-list address-list="attackers" address-list-timeout=1d comment="Excess SSH to list"

добавить chain=input src-address-list="attackers" action=drop comment="Drop attackers" disabled=no. Было бы гораздо лучше, если бы правило ограничения могло бы соотвествовать конкретному src-адресу, но я нашёл только dst-limit в мануале. Кстати, сейчас я использую VPN, чтобы подключаться к роутеру.

lastguru Guest	#7 0 15.03.2006 11:24:00 Надеюсь, это тебя туда не занесёт… (а ведь вполне может, как ты никогда не предугадаешь, когда это произойдёт).

mag

Guest

15.03.2006 11:33:00

Конечно, да. Пока тестировал, я не думаю, что эту проблему можно решить, если пытаться использовать ssh из интернета и одновременно избегать ssh-атак. Но я замечаю эти атаки в основном ночью и всё больше склоняюсь к использованию VPN-туннелей для управления.

cmit

Guest

15.03.2006 14:53:00

Можно делать хитрые вещи. Например, "стучать в дверь": если вы открываете соединение на (все примеры) порт 1234 на вашем MikroTik, поместите исходный адрес в список адресов “list_a” (через правило брандмауэра) с коротким таймаутом, скажем, 15 секунд. Затем, если вы открываете соединение на порт 2345 на вашем MikroTik И ваш исходный адрес уже есть в списке адресов “list_a”, добавьте исходный адрес в список адресов “list_b” с более длительным таймаутом (возможно, 2 часа). Затем создайте правило брандмауэра, чтобы принимать только SSH-сессии с исходных адресов в списке адресов “list_b”. Чтобы это реализовать в виде консольных команд: /ip firewall filter add chain=input protocol=tcp dst-port=1234 action=add-src-to-address-list address-list=list_a address-list-timeout=15s
/ip firewall filter add chain=input protocol=tcp dst-port=2345 src-address-list=list_a action=add-src-to-address-list address-list=list_b address-list-timeout=2h
/ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=list_b action=accept Таким образом, вам нужно будет подключиться по telnet к порту 1234 из "где-то в интернете", затем к порту 2345 в течение следующих 15 секунд, и ТОГДА вам будет предоставлен доступ к SSH с этого исходного адреса в течение следующих двух часов. Просто идея. Можно придумать действительно странные применения для списков адресов.

С уважением, Christian Meis

Freman Guest	#10 0 16.03.2006 02:05:00 Автоматическая блокировка после трех неудачных попыток подключения в течение 5 минут (примерно). Я использую первый вариант на работе, когда подключаюсь по SSH из дома, и он очень редко вызывает проблемы. Первый пример позволит защитить шлюзовое устройство и все маршрутизируемые клиенты, находящиеся за ним. /ip firewall filter add chain=AutoFirewall protocol=tcp dst-port=22-23 connection-state=new src-address-list=AutoFirewall-Stage3 action=reject reject-with=tcp-reset comment="Autofirewall SSH - Block/Log" disabled=no /ip firewall filter add chain=AutoFirewall protocol=tcp dst-port=22-23 connection-state=new src-address-list=AutoFirewall-Stage2 action=add-src-to-address-list address-list=AutoFirewall-Stage3 address-list-timeout=5m comment="Autofirewall SSH - Stage3" disabled=no /ip firewall filter add chain=AutoFirewall protocol=tcp dst-port=22-23 connection-state=new src-address-list=AutoFirewall-Stage1 action=add-src-to-address-list address-list=AutoFirewall-Stage2 address-list-timeout=1m comment="Autofirewall SSH - Stage2" disabled=no /ip firewall filter add chain=AutoFirewall protocol=tcp dst-port=22-23 connection-state=new action=add-src-to-address-list address-list=AutoFirewall-Stage1 address-list-timeout=1m comment="Autofirewall SSH - Stage1" disabled=no /ip firewall filter add chain=input protocol=tcp dst-port=22-23 connection-state=new action=jump jump-target=AutoFirewall comment="" disabled=no /ip firewall filter add chain=forward protocol=tcp dst-port=22-23 connection-state=new dst-address-list=ProtectedAddressSpace action=jump jump-target=AutoFirewall comment="" disabled=no / ip firewall address-list add list=ProtectedAddressSpace address=aa.bb.cc.dd/zz comment="" disabled=no / ip firewall address-list add list=ProtectedAddressSpace address=aa.bb.cc.ee/zz comment="" disabled=no Второй пример будет защищать только шлюзовое устройство. /ip firewall filter add chain=AutoFirewall protocol=tcp dst-port=22-23 connection-state=new src-address-list=AutoFirewall-Stage3 action=reject reject-with=tcp-reset comment="Autofirewall SSH - Block/Log" disabled=no /ip firewall filter add chain=AutoFirewall protocol=tcp dst-port=22-23 connection-state=new src-address-list=AutoFirewall-Stage2 action=add-src-to-address-list address-list=AutoFirewall-Stage3 address-list-timeout=5m comment="Autofirewall SSH - Stage3" disabled=no /ip firewall filter add chain=AutoFirewall protocol=tcp dst-port=22-23 connection-state=new src-address-list=AutoFirewall-Stage1 action=add-src-to-address-list address-list=AutoFirewall-Stage2 address-list-timeout=1m comment="Autofirewall SSH - Stage2" disabled=no /ip firewall filter add chain=AutoFirewall protocol=tcp dst-port=22-23 connection-state=new action=add-src-to-address-list address-list=AutoFirewall-Stage1 address-list-timeout=1m comment="Autofirewall SSH - Stage1" disabled=no /ip firewall filter add chain=input protocol=tcp dst-port=22-23 connection-state=new action=jump jump-target=AutoFirewall comment="" disabled=no

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры