Dosadise mi neki sa Kosova sa napadima

[ Fibonaci @ 10.02.2008. 05:31 ] @

ma ljudi ne prestaju da pokusavaju da pogode pass za ulaz u mikrotik.Log mi sav crven od pokusaja.Kad bih znao kako da ih sprecim bilo bi dobro a sa adrese sa koje dolaze napadi se javlja takodje mikrotik i to sa gomilom usera.Ko hoce nek pogleda link http://82.114.71.182/graphs/ .Cak ima i nekog kfora?

[ Predrag Supurovic @ 10.02.2008. 08:39 ] @

Ako su napadi uvek sa istog IP, onda prsoto blokiraj taj IP. Verovatno je to neka mreza koja ima sam jednu javnu ip adresu i to fiksnu.

A mozes i da prijavis da koriste nelegalni Mikrotik.

[ yolja624 @ 10.02.2008. 10:12 ] @

Napadaj i ti njih :D
salim se, zatvori jednostavno portove za prilazak tvom tiku preko WAN porta.
U ip/services stavi opsege IP adresa kojima dozvoljavas pristup odredjenom servisu. A pokusaj ulaska sa ostalih ce biti onemogucen i ignorisan.

[ roppe @ 10.02.2008. 10:32 ] @

To je normalno da se desava. Implementiraj neku BFD zaštitu.

[ roppe @ 10.02.2008. 12:18 ] @

Nadam se da ce ti ovo biti od pomoci.

Code:
16   ;;; drop ssh brute forcer

     chain=input action=drop dst-port=22 protocol=tcp
     src-address-list=ssh_blacklist

17   chain=input action=add-src-to-address-list connection-state=new
     dst-port=22 protocol=tcp src-address-list=ssh_stage3
     address-list=ssh_blacklist address-list-timeout=1w3d

18   chain=input action=add-src-to-address-list connection-state=new
     dst-port=22 protocol=tcp src-address-list=ssh_stage2
     address-list=ssh_stage3 address-list-timeout=1m

19   chain=input action=add-src-to-address-list connection-state=new
     dst-port=22 protocol=tcp src-address-list=ssh_stage1
     address-list=ssh_stage2 address-list-timeout=1m

20   chain=input action=add-src-to-address-list connection-state=new
     dst-port=22 protocol=tcp address-list=ssh_stage1 address-list-timeout=1m

21   ;;; FTP BruteForce detection

     chain=input action=drop dst-port=21 protocol=tcp
     src-address-list=ftp_blacklist

22   chain=output action=accept protocol=tcp content=530 Login incorrect
     dst-limit=1/1m,9,dst-address/1m

23   chain=output action=add-dst-to-address-list protocol=tcp
     content=530 Login incorrect address-list=ftp_blacklist
     address-list-timeout=3h

[ sojic @ 10.02.2008. 13:34 ] @

Ja sam moj mikrotik zastitio tako sto sam "pomesao" porte.

ssh sam stavio na 25
telnet sam stavio na 27
ftp sam iskljucio (ukljucujem samo po potrebi)
http sam stavio na 82

[ Danilo Cvjeticanin @ 10.02.2008. 16:33 ] @

Jesi cuo ti za port scanner? :)

[ anon115774 @ 10.02.2008. 22:06 ] @

Narode, mozda je glupo pitanje ali mi nikako ne polazi za rukom da zaustavim SAV dolazni saobracaj... moze li neko da mi pomogne?

Pokusao sam da stavim da radi drop za sav input koji dolazi na wan interfejs ali u tom slucaju mi radi sav saobracaj ka Internetu sa lokalne mreze ali sa Mikrotika nije moguce obaviti bilo kakvu komunikaciju sa Internetom sto mi pravi problem buduci da se dns nalazi na Mikrotiku tako da nece da radi resolve.

[ Fibonaci @ 10.02.2008. 22:13 ] @

hvala svima na odgovorima.Jos kad bih i ja mogao njima da vratim, al malo zesce

Eh..

[ konjko @ 10.02.2008. 23:32 ] @

Trebas razmislit pod 1 o malo manjem eksponiranju javne ip adrese koja vodi do tika pa onda o zastitama pricat. Nema zastite ako te DDosa mijenjaj sebi javne ip-ove ako ih imas ako ne nek ti je bog na pomoci ne pomaze bas tu nesto posebno ako je neko dosadan ko rata kredita.

[ roppe @ 11.02.2008. 00:53 ] @

Citat:

chain=forward protocol=udp dst-port=53 action=accept

[ roppe @ 11.02.2008. 00:57 ] @

Citat:

hvala svima na odgovorima.Jos kad bih i ja mogao njima da vratim, al malo zesce Eh..

To su najvjerovatniej neki botovi ili spywerima/virusima zarazeni racunari, tako da od vracanje nemas neke fajde. Vec sam rekao da je to normalna pojava i da se to svakodnevno desava na svakom serveru, za to postoji BFD.

[ BlackBomber @ 11.02.2008. 01:55 ] @

Citat:

roppe: chain=forward protocol=udp dst-port=53 action=accept

Obzirom da njemu mikrotik odradjue dns upite, trebalo bi valjda da bude chain input i jos jedno pravilo za output, a ne forward. A i trebalo bi isto to i za tcp port 53, jer se i on koristi za dns upite, doduse manje, ali ga ipak koriste neki programi.

Dakle:
chain=input protocol=udp dst-port=53 action=accept
chain=input protocol=tcp dst-port=53 action=accept
chain=output protocol=udp src-port=53 action=accept
chain=output protocol=tcp src-port=53 action=accept

Mada je mozda bolje pitanje zasto ograniciti sav input sa neta? Za tim nema potrebe ako se fino izfiltrira nepozeljan saobracaj, a svakako je korisno imati pusten input sa neta na tiku, na primer da mozes ko covek da pingujes kad radis neki troubleshouting, ili sta ti ja znam. Sve u svemu, moje misljenje je da treba izfiltrirati samo brute force, iskljuciti sve servise osim winboxa i ssh, i staviti dobru sifru. Eventualno dozvoliti pristup samo pojedinim ip adresama, i to po portovima 22 i 8291, za ssh i winbox, a ostale portove slobodno mozes da ostavis otvorene, ne znam sta bi mogao neko sa njima da napravi.

[ anon115774 @ 11.02.2008. 07:51 ] @

U medjuvremenu sam malo cackao pa sam krenuo od ideje da se radi drop za svaki dolazni saobracaj po svim portovima. Jednu sitnicu sam zaboravio: da mu kazem po kom interfejsu :(

Tako da sada imam situaciju da mi Mikrotik blokira sav dolazni tcp saobracaj - sto ce reci: ne mogu da mu pridjem osim preko konzole (sto je u mom slucaju tesko izvodljivo). Hteo sam samo da se pohvalim kako sam pametan :) a ako neko ima ideju kako da resim ovo bilo bi mnogo lepo.

Elem, na greskama se uci a meni i dalje nije jasno sledece: Zasto je za upite dns-u neophodan dolazni saobracaj? Dakle, ja to kapiram kao odlazni saobracaj kada moj Mikrotik kontaktira neki dns napolju i uopste ne kapiram sta ce mu dolazni? Pa ako bi neko bio ljubazan da to malo pojasni...

Citat:

Mada je mozda bolje pitanje zasto ograniciti sav input sa neta? Za tim nema potrebe ako se fino izfiltrira nepozeljan saobracaj, a svakako je korisno imati pusten input sa neta na tiku, na primer da mozes ko covek da pingujes kad radis neki troubleshouting, ili sta ti ja znam.

Jok, nema potrebe. Niti ce ko da ga administrira spolja niti ce ko da gleda statistiku i sta ti ja znam sta jos.. Jedino mogu da otvorim ping da prolazi ali i to samo kada se radi neki troubleshoot. Zato bih ja to sve pozatvarao (sto sam i uradio ali sam malo preterao).

[ anon115774 @ 11.02.2008. 15:18 ] @

Guglao sam malo i nasao resenje koje bi trebalo da radi (bar zvuci logicno) a zove se "MAC telnet". Valjda ako radim mac telnet to ne ide preko tcp-a pa bi onda Mikrotik takav saobracaj trebao da pusti.

Probam kad dodjem kuci pa javim da li je uspelo.

[ anon115774 @ 11.02.2008. 16:42 ] @

Uspeo. Mac telnet je prosao bez problema :)

Nego, da li bi neko mogao da mi pomogne oko mog prvobitnog problema? Dakle, kako da zaustavim sve sto dolazi sa Interneta a da mi dns radi bez problema?

[ BlackBomber @ 12.02.2008. 18:26 ] @

Pa treba ti da dozvolis dns input jer tebi odgovor od dns servera dolazi u mikrotik kao input s interneta. Ovo ce zatvoriti sve osim dns upita:

Code:
chain=input in-interface=Internet protocol=udp dst-port=53 action=accept
chain=input in-interface=Internet protocol=tcp dst-port=53 action=accept
chain=input in-interface=Internet action=drop

Inace bi trebalo i ping odobriti, jer neces ni sa mikrotika moci da pingujes nista na netu jer nece moci da ti dodje ping reply. Ukoliko zelis da pustis i ping input, onda pre drop pravila dodas:

Code:
chain=input in-interface=Internet protocol=icmp action=accept

[ anon115774 @ 13.02.2008. 13:05 ] @

U medjuvremenu sam nasao, bar po meni, elegantnije resenje.

Citat:

BlackBomber:

Ovo nije dobro jer udaljeni dns ne vraca pakete na moj port 53. On komunicira sa svog porta 53 na onaj port sa kog mu je dosla komunikacija. Znaci umesto dst-port treba staviti src-port.

Citat:

Inace bi trebalo i ping odobriti, jer neces ni sa mikrotika moci da pingujes nista na netu jer nece moci da ti dodje ping reply. Ukoliko zelis da pustis i ping input, onda pre drop pravila dodas:

Code:
chain=input in-interface=Internet protocol=icmp action=accept

To se resava tako sto se zaustavi sav input sa Internet interfejsa a dozvoli se sav input koji ima connection-state: established.

[ acatheking @ 13.02.2008. 14:59 ] @

Mozda bi trebalo prvo procitati kako DNS radi,
tj konkretno vezano za portove (upit, odgovor na upit)

Code:

  Prot Src   Dst  Use
  udp  53    53   Queries between servers (eg, recursive queries)
                  Replies to above
  tcp  53    53   Queries with long replies between servers, zone
                  transfers Replies to above
  udp>1023   53   Client queries (sendmail, nslookup, etc ...)
  udp 53>   1023  Replies to above
  tcp>1023   53   Client queries with long replies
  tcp 53   >1023  Replies to above

http://library.mobrien.com/Manuals/MPRM_Group/dns_notes.html

[ BlackBomber @ 13.02.2008. 19:52 ] @

@Informer

Da, u pravu si, pogresio sam u brzini, treba src-port kad server salje odgovor.

@acatheking

Nije bas tako. Kod komunikacije dns servera sa klijentom, port na klijent srani nije uvek 1023, vec neki slucajno izabrani slobodni port, zavisno od operativnog sistema.

[ djricky @ 13.02.2008. 19:58 ] @

u pitanju je neki od high portova, znaci VECI od 1023, pogledaj malo bolje poruku...

[ BlackBomber @ 13.02.2008. 20:04 ] @

Aha, pardon

[ acatheking @ 13.02.2008. 23:45 ] @

Code:

  Prot    Src       Dst    Use
  udp    53       53     Queries between servers (eg, recursive queries)
                              Replies to above
  tcp     53      53     Queries with long replies between servers, zone
                             transfers Replies to above
  udp  >1023      53     Client queries (sendmail, nslookup, etc ...)
  udp    53       >1023  Replies to above
  tcp  >1023      53     Client queries with long replies
  tcp    53       >1023  Replies to above

Malo su se spojili neki znakovi kako ne treba :)
sad je malo jasnije. nije u pitanju port 1023, vec port veci od 1023.

[ maksima2net @ 04.03.2008. 11:21 ] @

Zasto jednostavno ne stavis da dropuje sve sa te adrese ili ako mozes celog opsega i to je to.