это на микротике =)

Там перл есть?

ну он угадал так то...

Не угадал. В том случае микротик не глючил, а отрабатывал четко по стандарту.

Там перл есть?

не там свой язык скриптовый

Не угадал. В том случае микротик не глючил, а отрабатывал четко по стандарту.

угадал в смысле что причина в микротике, в его кривом конфиге

не там свой язык скриптовый

https://wiki.mikrotik.com/wiki/Use_Mikrotik_as_Fail2ban_firewall

аска деньги может приносить...а вот админ тока жрет...фот...

ИМХО, бабло владельцу бизнеса приносит клиент за то, что одмин обучил железку интернеты этим клиентам разливать. Не?

Есть 4 правила для фаервола. Но я их не скажу. Сами гуглите.

ИМХО, бабло владельцу бизнеса приносит клиент за то, что одмин обучил железку интернеты этим клиентам разливать. Не?

ты это бизнесу еще объясни....

https://wiki.mikrotik.com/wiki/Use_Mikrotik_as_Fail2ban_firewall

немного не то. надо чтобы микротик сам банил

Есть 4 правила для фаервола. Но я их не скажу. Сами гуглите.

а что там в тех правилах в общих чертах?

Есть 4 правила для фаервола. Но я их не скажу. Сами гуглите.

Три

а что там в тех правилах в общих чертах?

Дропы и списки адресов.

ну дроп и список адресов я сделал, теперь надо этот список пополнять

Три

Можно и до 2х сократить)

ну дроп и список адресов я сделал, теперь надо этот список пополнять

Билять. В Гугол!

=)

Можно и до 2х сократить)

Если только whitelist... То до одного

Если только whitelist... То до одного

Так то можно ни одного не писать)

!whitelist=drop

ip -> service -> ssh -> allowed networks

Вообще не понимаю, зачем порты служб управления вывешивать в доступными для всего Интернета

ip -> service -> ssh -> allowed networks

При этом порт будет открыт. И рано или поздно придет ботнет попытать счастья

Тупо задолбает попытками соединений

Вообще не понимаю, зачем порты служб управления вывешивать в доступными для всего Интернета

надо иногда)

во че нашел https://spw.ru/educate/articles/nastrojka-filtracii-trafika-na-mikrotik-chast-4/

надо иногда)

В 99,9% случаев НЕ надо.

В 99,9% случаев НЕ надо.

я думаю далеко не так все же

И уж точно не всему Интернету. У меня нет админов в Африке и Южной Америке. Как и в Китае

по мимо собственно тика у меня есть пачка сервачков к которым только по ssh доступ

Тупо задолбает попытками соединений

Так для ботнета будет видно то же самое, что и в случае с action=drop? И он со временем збудет про этот адрес?

я думаю далеко не так все же

Всегда есть способы обезопасить управляющую службу. Хотя бы vpn

Так для ботнета будет видно то же самое, что и в случае с action=drop? И он со временем збудет про этот адрес?

они никогда не забывают)

Всегда есть способы обезопасить управляющую службу. Хотя бы vpn

не вижу смысла в такой лишней сложности

они никогда не забывают)

Ну, мой адрес, ботнет, который днс задрачивает - забыл. На счетчике правила почти 0.

ну вот стоило мне открыт ssh как повалил брутфорс, до этого только с локалки открыт был. Вспомнил =)

ну вот стоило мне открыт ssh как повалил брутфорс, до этого только с локалки открыт был. Вспомнил =)

порт стандартный?

да

не вижу смысла в такой лишней сложности

Вот вы и сами себе противоречите в мессаге выше

ну так норм тогда

ну вот стоило мне открыт ssh как повалил брутфорс, до этого только с локалки открыт был. Вспомнил =)

Тут

Вот вы и сами себе противоречите в мессаге выше

мм в чем?

Сначала "не вижу смысла" или "неохота заморачиваться", потом "ай пздц, меня ломают, что делать?!"

Всегда есть способы обезопасить управляющую службу. Хотя бы vpn

Это применимо только в случае, если внутри впн не говноадмин...

Это применимо только в случае, если внутри впн не говноадмин...

Ну, говноадминам помочь особо нечем. У них перманентная "ошибка в коде".

Сначала "не вижу смысла" или "неохота заморачиваться", потом "ай пздц, меня ломают, что делать?!"

да ну, просто какой смысл городить впн если там тоже самое будет. это оверинжиниринг. Брутфорс можно обычными средствами закрыть же

хоть через впн у меня тоже висело одно время

мм в чем?

Да поставьте длинный пароль и успокойтесь, либо нагуглите 4 гребанных правила.

просто закрой извне, ну какие еще н попыток, и сделай себе впн

Про длинный пароль не вариант

да ну, просто какой смысл городить впн если там тоже самое будет. это оверинжиниринг. Брутфорс можно обычными средствами закрыть же

это какими такими обычными?

Да поставьте длинный пароль и успокойтесь, либо нагуглите 4 гребанных правила.

да я какие-то нагугглил

https://wiki.mikrotik.com/wiki/Bruteforce_login_prevention

См. утечки викиликс по весне про эксплоиты

это какими такими обычными?

ну вот типо банить после неудачных попыток и все

Порткнокинг делайте и наружу нестандартный порт

да я какие-то нагугглил

Ну так откройте шелл и нажмите Paste

я еще не разобрался что конкретно они делают =)

Там было пох на длину пароля. Уязвимость в самой службе была.

Млять...

ну вот типо банить после неудачных попыток и все

для ботнета не очень

add action=drop chain=input comment="Drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=\ ssh_stage3 add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp

для ботнета не очень

ну вроде пока не сильно интенсивно брутят, но логи засирают. хотя бывало как-то так интенсивно подбирали что микротик ддосился =)

Вы, ребята, пытаетесь бороться с последствиями (приход ботнета) А надо не давать поводов пытаться свою сеть ломать

С причиной решать надо

Вы, ребята, пытаетесь бороться с последствиями (приход ботнета) А надо не давать поводов пытаться свою сеть ломать

Попросится за нат?))))

ну вроде пока не сильно интенсивно брутят, но логи засирают. хотя бывало как-то так интенсивно подбирали что микротик ддосился =)

логи хрен сним, чангу или рдп атачат...тупо учетки лочатся....

ERROR: S client not available

С причиной решать надо

там чисто административные решения...

Административные+архитектурные

На треснутом фундаменте строить небоскребы, конечно бодрит

так можно прийти к тому чтобы вообще ничего наружу не выпускать =)

На треснутом фундаменте строить небоскребы, конечно бодрит

? зато столько адреналина

так можно прийти к тому чтобы вообще ничего наружу не выпускать =)

так и надо, если что то надо, то впн по сертификатам

так можно прийти к тому чтобы вообще ничего наружу не выпускать =)

После этой мысли кто-топридумал файрволл

ну вот отличное решение на все времена

Кстати, а тошнотик умеет в ssh по сертификатам авторизовывать?

должен наверно

Хм, умеет.

Кстати, а тошнотик умеет в ssh по сертификатам авторизовывать?

https://www.google.ru/search?q=mikrotik+ssh+certificate&oq=ssh+mikrotik+certificate

И работает как часы, а не как овпн у микрота

ну у меня немного клиентов. и впн сервер на самом микроте. завезут туда циску - посмотрим =)

Кстати, а тошнотик умеет в ssh по сертификатам авторизовывать?

тошнотик?

если это про микротик - то да, умеет. я бэкапы конфигурации так собираю

принцип такой же как и в других линуксах - в сертификаты импортируешь открытую часть

тошнотик?

Да.

если это про микротик - то да, умеет. я бэкапы конфигурации так собираю

Тоже только что завел для теста

логи хрен сним, чангу или рдп атачат...тупо учетки лочатся....

подтюньте рдп, смените порт, жизнь облегчится в разы :)

https://www.atraining.ru/windows-rdp-tuning/

подтюньте рдп, смените порт, жизнь облегчится в разы :)

по политическим мотивам не очень, пока что учетки переименовываем

довольно неплохая статья

Рдп жопой наружу вообще плохая идея

Впн и все дела.

по политическим мотивам не очень, пока что учетки переименовываем

я раньше тоже так думал политика туда сюда, устроил диверсию, нагнла жути и всё по щучьему велению решилось на административном уровне

я раньше тоже так думал политика туда сюда, устроил диверсию, нагнла жути и всё по щучьему велению решилось на административном уровне

?

Рдп жопой наружу вообще плохая идея

не всегда можно, бывают случаи когда не можно так, но согласен :)

?

я вообще люблю истерики руководству устраивать и жути гнать такой что у самого на жопе волосы дыбом встают :)

не всегда можно, бывают случаи когда не можно так, но согласен :)

Любые "не можно" решаются административно

Рдп жопой наружу вообще плохая идея

так и было...какое то время. потом пришло новое начальство .... благо 2008 уже чуть чуть защищен в этом плане

я вообще люблю истерики руководству устраивать и жути гнать такой что у самого на жопе волосы дыбом встают :)

начальник из разряда "я начальник ты дурак" и ответом на произвольный вопрос "не ваше дело"