Сунулся в совершенно не айтишные темы, чатик читать не когда было )

Как сам?

Значит не скучно ... праздники ! Отдохнул от работы ... зал.. бассейн и салаты дома

Превосходно ! Год мечтал об этом

Ничего не валится ... нет людей бегающих в панике

Не вспоминаю генератор и падения энергии в серверной

Завтра с тихим ужасом пойду все это смотреть

Ничего не валится ... нет людей бегающих в панике

?

Не вспоминаю генератор и падения энергии в серверной

да я счастливый человек оказывается

Ничего не валится ... нет людей бегающих в панике

все лежат в предынфарктном или завтра лягут

)) никто не дергал базу

Не делал обновлений

Не писал говно код который работает на компе а в продетьвлрит чудеса

???? )))

Завтра все начнётся по новой

А они все отдохнули

Кто -то неьвспомнит пароль который год помнил

Кто-то прочитал умную книгу и будет показывать навыки

И опять что -то пойдёт не так

И опять что -то пойдёт не так

да завтра хоть не выходи

Завтра день отсидеть .. и говорить чтобы все не трогали ...

Забикс проверить

Регламенты по обязательной программе

я за 1200км и скорее всего начнут названивать "аинтэээрнеты ниработают, а тилифн отвалился"

Сислоги ... каналы ... забикс

и еще много умных слов недоступны )

Да глянуть не ковыряли ли телефонию

Из Парагвая

выходишь завтра такой на работу, пораньше и корпоративное письмо " не делать резких телодвижений! лучше просто лежите!"

Ребят, у кого есть проверенные правила для блокировки брута на тике? Сейчас брутят корневой роутер сети пытаясь подобрать доступ к OpenVPN, IP сотни, из разных подсетей, и постоянно прибывают новые.

Ребят, у кого есть проверенные правила для блокировки брута на тике? Сейчас брутят корневой роутер сети пытаясь подобрать доступ к OpenVPN, IP сотни, из разных подсетей, и постоянно прибывают новые.

да ты шутишь7 https://wiki.mikrotik.com/wiki/Use_Mikrotik_as_Fail2ban_firewall

да ты шутишь7 https://wiki.mikrotik.com/wiki/Use_Mikrotik_as_Fail2ban_firewall

Это с каких пор в тике появился Fail2ban?

Это с каких пор в тике появился Fail2ban?

4 октября 17 точно было

4 октября 17 точно было

Там написано про связку с ним, а не про то что он там есть.

Были правила для FW тика, которые отсекают брут его сервисов, вот их мне и нужно, только проверенные и рабочие желательно, а то эксперементировать особо возможности уже нет.

Может кому надо. Мопед не мой я только перепостил

Продам Лицензии Mikrotik L5/P10 https://forum.nag.ru/index.php?/topic/137067-prodam-licenzii-mikrotik-l5p10/&do=findComment&comment=1456370 Продам Лицензии Микротик L5/P10. В наличии 7шт, цена за штуку - 2500 руб. Лицензии/ю переведу на аккаунт mikrotik.com. Подробности в ЛС.

Были правила для FW тика, которые отсекают брут его сервисов, вот их мне и нужно, только проверенные и рабочие желательно, а то эксперементировать особо возможности уже нет.

хм, тик на 90% это его правила.... ты шутишь? https://wiki.mikrotik.com/wiki/Bruteforce_login_prevention

хм, тик на 90% это его правила.... ты шутишь? https://wiki.mikrotik.com/wiki/Bruteforce_login_prevention

У разных сервисов ответы разве обязательно должны быть идентичны?

хм, тик на 90% это его правила.... ты шутишь? https://wiki.mikrotik.com/wiki/Bruteforce_login_prevention

И я так и не увидел там правил для OpenVPN, хотя вроде читал тоже самое на разных сайтах.

Эти засранцы брутят с таймаутами, через целую сеть, похоже там ботнет какой то.

И я так и не увидел там правил для OpenVPN, хотя вроде читал тоже самое на разных сайтах.

да ты издеваешься? http://vedernikoff.ru/port-knocking-mikrotik/

да ты издеваешься? http://vedernikoff.ru/port-knocking-mikrotik/

Зачем мне port knocking, если я вообще прошу другое? Вы меня слышите, или просто как автоответчик из базы заготовленных ответов ссылки кидаете?

Повторю. Мне нужены правила для FW, которые при 3-5 ошибках авторизации на OpenVPN сервере тика за промежуток в 15-30 минут, добавят IP в блек-лист на 24 часа, цифры естественно условные.

У меня там конечно названия пользователей не простые, и пароли по 100 символов, но всё же не нравится мне что меня вот так в наглую брутят...

?

Повторю. Мне нужены правила для FW, которые при 3-5 ошибках авторизации на OpenVPN сервере тика за промежуток в 15-30 минут, добавят IP в блек-лист на 24 часа, цифры естественно условные.

что мешает переделать стандартные правила защиты от брутфорса, изменив протокол и порт. косвенным признаком ошибок авторизации можно считать большое кол-во пакетов со статусом new. https://wiki.rtzra.ru/software/mikrotik/mikrotik-ssh-secure

могу ошибаться но опенвпн не возращает клиенту что-то типа логин инкоррект

что мешает переделать стандартные правила защиты от брутфорса, изменив протокол и порт. косвенным признаком ошибок авторизации можно считать большое кол-во пакетов со статусом new. https://wiki.rtzra.ru/software/mikrotik/mikrotik-ssh-secure

Эти хитрецы не долбят с одного IP постоянно, там интервал в пару минут хотя бы, и обилие IP из разных подсетей. Нужно именно метить их на указанный срок, и если превысили лимит, то банить к чертям. По мимо протокола и порта ещё нужны ответы сервиса при неправильной авторизации.

Протоколы использующие шифрование трафика типа ssh невозможно анализировать "в лоб" на содержимое ответов сервера. На L3/L4 все сессии выглядят как connect-disconnect. НО! Есть возможность читать микротиком свои логи из памяти, парсить, выделять ошибки аутентификации и выковыривать оттуда IP-адреса

Смотрю логи, у меня там вообще VPN критическими ошибками ругался сначала, они похоже его ломают засранцы :(

Протоколы использующие шифрование трафика типа ssh невозможно анализировать "в лоб" на содержимое ответов сервера. На L3/L4 все сессии выглядят как connect-disconnect. НО! Есть возможность читать микротиком свои логи из памяти, парсить, выделять ошибки аутентификации и выковыривать оттуда IP-адреса

А есть готовые решения?

Есть. Но не для благотворительной раздачи.

Протоколы использующие шифрование трафика типа ssh невозможно анализировать "в лоб" на содержимое ответов сервера. На L3/L4 все сессии выглядят как connect-disconnect. НО! Есть возможность читать микротиком свои логи из памяти, парсить, выделять ошибки аутентификации и выковыривать оттуда IP-адреса

А можно же подсчитывать количество новых соединений с IP за промежуток времени на указанный порт, и блокировать тогда так? OpenVPN вроде же не устанавливает их постоянно никогда при верной авторизации.

Протоколы использующие шифрование трафика типа ssh невозможно анализировать "в лоб" на содержимое ответов сервера. На L3/L4 все сессии выглядят как connect-disconnect. НО! Есть возможность читать микротиком свои логи из памяти, парсить, выделять ошибки аутентификации и выковыривать оттуда IP-адреса

свои логи — это если ссш сервер крутится на микроте. а если например опенвпн не на микроте а отдельный сервер в локалке?

Можно подсчитать количество попыток установить соединения, конечно и банить.

Только ботнет не долбит постоянно с одного IP

Bruteforce login prevention - MikroTik Wiki https://wiki.mikrotik.com/wiki/Bruteforce_login_prevention

Блокировка ssh по ip если у клиента не получилось за 2 минуты пройти аутенфикацию

Имхо для ovpn тоже самое имеет смысл попробовать, изменив порт

Эти хитрецы не долбят с одного IP постоянно, там интервал в пару минут хотя бы, и обилие IP из разных подсетей. Нужно именно метить их на указанный срок, и если превысили лимит, то банить к чертям. По мимо протокола и порта ещё нужны ответы сервиса при неправильной авторизации.

хы, эдак в пределе там может быть один запрос с одного ипа...

скайнет пишет что много ип и мало попыток

Имхо для ovpn тоже самое имеет смысл попробовать, изменив порт

оставив стандартный порт как медовый ? но там трабла будет в изменении конфига клиентов

Только ботнет не долбит постоянно с одного IP

Но IP постоянно видны что повторяются, раз в 1-5 минут, но повтоярются, сделать таймаут скажем час и превышение больше 5 раз, и бан на месяц.

скайнет пишет что много ип и мало попыток

Но как минимум два раза с одного IP долбят за 5-10 минут.

А можно же подсчитывать количество новых соединений с IP за промежуток времени на указанный порт, и блокировать тогда так? OpenVPN вроде же не устанавливает их постоянно никогда при верной авторизации.

овпн держит постоянные коннекты к северу. посмотри конн трекер.

оставив стандартный порт как медовый ? но там трабла будет в изменении конфига клиентов

И куда его переслать?) Отдельный сервер держать? У меня на OpenVPN удалённые тики сидят и соединяют сеть в единое целое, с сетью интернет как транспортом.

ERROR: S client not available

овпн держит постоянные коннекты к северу. посмотри конн трекер.

Ох, давно я с тиками не практиковался, щас опять дым из головы пойдёт)

И куда его переслать?) Отдельный сервер держать? У меня на OpenVPN удалённые тики сидят и соединяют сеть в единое целое, с сетью интернет как транспортом.

прям на мирокте, тупо кто постучался, того сразу в бан

прям на мирокте, тупо кто постучался, того сразу в бан

Да если там ботнет, там явно сканеры, они найдут нормальный OpenVPN.

И куда его переслать?) Отдельный сервер держать? У меня на OpenVPN удалённые тики сидят и соединяют сеть в единое целое, с сетью интернет как транспортом.

клиенты микроты? а чего микротовые туннели не используются?

клиенты микроты? а чего микротовые туннели не используются?

Это какие?

Да если там ботнет, там явно сканеры, они найдут нормальный OpenVPN.

оно может по обоим портам долбиться

Это какие?

ипсек?

ипсек?

OpenVPN был выбран как лучший вариант из того что есть в тике, т.к. есть почти под все платформы, легко настраивается и не нужны сертификаты.

OpenVPN был выбран как лучший вариант из того что есть в тике, т.к. есть почти под все платформы, легко настраивается и не нужны сертификаты.

и была создана отдельная сущность в виде опенвпн сервера?

и была создана отдельная сущность в виде опенвпн сервера?

Он на тике крутиться прямо.

Потом думаю на Core мигрировать его, а то уже скоро в проц упиратся начнёт в час пик.

Он на тике крутиться прямо.

О_о

О_о

А что? Работает же, и не плохо работает, свою задачу выполняет.

Если я не ошибаюсь, в тике же нет инструментов для маркировки IP, когда соединение устанавливается и рвётся? После разрыва маркировка же сбрасывается или нет?

Если я не ошибаюсь, в тике же нет инструментов для маркировки IP, когда соединение устанавливается и рвётся? После разрыва маркировка же сбрасывается или нет?

не особо силен в скриптах, но можно же создавать списки ипов....так что чем не маркировка?

не особо силен в скриптах, но можно же создавать списки ипов....так что чем не маркировка?

Ну по сути там пример на офф сайте из трёх списков, не не очень охото городить три списка, думал мож что посовременнее добавили в тик.

Если я не ошибаюсь, в тике же нет инструментов для маркировки IP, когда соединение устанавливается и рвётся? После разрыва маркировка же сбрасывается или нет?

в тике есть инструменты для маркировки пакетов и добавления IP из этих пакетов в адресс листы

в тике есть инструменты для маркировки пакетов и добавления IP из этих пакетов в адресс листы

Я про то что нельзя ли вешать маркировку на IP на какое то время, например при каждом коннекте добавляем в маркировку +1, а в FW проверяем не превышен ли лимит маркировки.

Ну по сути там пример на офф сайте из трёх списков, не не очень охото городить три списка, думал мож что посовременнее добавили в тик.

хз, все мб, но на вики есть похожий функционал...нет смысла что то новое делать

хз, все мб, но на вики есть похожий функционал...нет смысла что то новое делать

На вики только списками, а это пачка правил в FW и лишняя нагрузка на CPU, причём чем изощрённей нужно сделать логику, тем в разы больше правил и списков будет.

Я про то что нельзя ли вешать маркировку на IP на какое то время, например при каждом коннекте добавляем в маркировку +1, а в FW проверяем не превышен ли лимит маркировки.

См мое сообщение выше про блокировку ssh

Работает ровно так как ты пишешь

человеку не ннравится 3 адресс листа

На вики только списками, а это пачка правил в FW и лишняя нагрузка на CPU, причём чем изощрённей нужно сделать логику, тем в разы больше правил и списков будет.

недавно тут или где то рядом был срачик на эту тему, хотели с банк с тиком зайти....там спросили. вот наша циска 100500 правил жует, тик стока может? ?

Работает ровно так как ты пишешь

Да я вкурсе как оно работает, просто это ресурсоёмко довольно таки.

Да я вкурсе как оно работает, просто это ресурсоёмко довольно таки.

Дешевле решения нет.

Дешевле решения нет.

Щас погуглим, может найду решение по ответам OpenVPN.

Да я вкурсе как оно работает, просто это ресурсоёмко довольно таки.

кстати, а там поидее любое решение будет на списках....макс гуй приделают

Анализировать ответы сервиса - нагрузка больше чем три списка

замеряли как сильно просаживает проц фаерволл решение с тремя адресс листами ?

замеряли как сильно просаживает проц фаерволл решение с тремя адресс листами ?

? https://t.me/MikrotikRu/206634

Анализировать ответы сервиса - нагрузка больше чем три списка

Зато можно более избранно банить, и меньше правил в FW.