ปกป้อง Mikrotik ด้วยกำลังอันดุร้าย

โกลอฟนา

เราเตอร์จากผู้ผลิต Mikrotik กำลังได้รับความนิยมมากขึ้นเนื่องจากราคาที่เพิ่มขึ้นและฟังก์ชันการทำงานที่หลากหลาย

บางที ในส่วนของ SOHO นั้น Mikrotik อาจเป็นผู้นำ

วันนี้เราต้องการทราบตัวเลือกการกำหนดค่าที่เป็นประโยชน์ซึ่งจะช่วยเพิ่มความต้านทานต่อการโจมตีสมัยใหม่ และรับประกันการทำงานที่มั่นคงสำหรับ Mikrotik ในสำนักงานของคุณ ซาคิสท์ มิโครติก 1. การเปลี่ยนชื่อล็อกอินและรหัสผ่านของผู้ดูแลระบบ ให้เราเริ่มต้นด้วยการป้องกันหลักของเราเตอร์ของเรา – สร้างการเข้าสู่ระบบและรหัสผ่านของผู้ดูแลระบบที่ปลอดภัยสำหรับบันทึก Mikrotik มีการเข้าสู่ระบบ vikoryผู้ดูแลระบบ ซาคิสท์ มิโครติกและรหัสผ่านว่างเปล่า

มาแก้ไขปัญหานี้: เชื่อมต่อผ่าน Winbox กับเราเตอร์ของเราแล้วไปที่ส่วนการตั้งค่า


ระบบ ผู้ใช้- บาชิโม โคริสตูวากา ซาคิสท์ มิโครติกซึ่งได้มีการปรับเปลี่ยนการเตรียมการ ดังนี้

Dodamo new koristuvach ซึ่งเหมาะสำหรับรายละเอียดที่ชั่วร้ายมากกว่า (เข้าสู่ระบบ / รหัสผ่าน)

โดยคลิกที่ไอคอน “+” ที่มุมซ้ายบน: โปรดทราบว่าคุณต้องเลือกจากช่องกลุ่มเต็ม:


เพื่อให้สิทธิ์ผู้ดูแลระบบแก่ผู้จัดการบัญชี หลังจากปรับแล้วเราจะเห็นโคริสตูวัคі และตอนนี้ก็ไม่จำเป็นต้องมีไคลเอนต์ใหม่เพื่อเชื่อมต่อกับอินเทอร์เฟซการดูแลระบบ 2. พอร์ตบริการ

  • เราเตอร์ Mikrotik มีฟังก์ชันบริการแบบ "เดินสาย" และพอร์ตเหล่านั้นสามารถเข้าถึงได้จากอินเทอร์เน็ตสาธารณะ
  • อาจมีประโยชน์สำหรับเส้นขอบของคุณ

ดังนั้นเราขอแนะนำให้คุณไปที่ส่วนการปรับ ไอพีบริการ


หากคุณมีสิทธิ์เข้าถึง Mikrotik หรือ Winbox เท่านั้น เราขอแนะนำให้คุณเปิดใช้บริการทั้งหมดโดยมีข้อแม้ วินบ็อกซ์і สช.

(เกี่ยวกับข้อผิดพลาด ลบ ssh) และที่นี่:

API-SSL www-sslบีบและกดไอคอน "x" สีแดง เราปราศจากเศษชิ้นส่วน- คัดลอกโค้ดด้านล่างลงในคอนโซลเราเตอร์ตามลำดับ:

/ip ตัวกรองไฟร์วอลล์ #การบล็อกการโจมตี FTP เพิ่ม chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \ comment="drop ftp bruteforcers" เพิ่ม chain=output action=accept protocol=tcp content ="530 การเข้าสู่ระบบไม่ถูกต้อง" dst-limit=1/1m,9,dst-address/1m add chain=output action=add-dst-to-address-list protocol=tcp content="530 การเข้าสู่ระบบไม่ถูกต้อง" \ address- list =ftp_blacklist address-list-timeout=3h #Blocking การโจมตี SSH เพิ่ม chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \ comment="drop ssh bruteforcers" ปิดการใช้งาน=ไม่มี เพิ่ม chain= โปรโตคอลอินพุต = tcp dst-port = 22 การเชื่อมต่อสถานะ = ใหม่ \ src-address-list = ssh_stage3 action = add-src-to-address-list address-list = ssh_blacklist \ address-list-timeout = 10d comment = "" ปิดการใช้งาน = ไม่เพิ่มเชน = โปรโตคอลอินพุต = tcp dst-port = 22 สถานะการเชื่อมต่อ = ใหม่ \ src-address-list = ssh_stage2 การกระทำ = เพิ่ม-src-to-address-list ที่อยู่รายการ = ssh_stage3 \ รายการที่อยู่ - หมดเวลา = 1m ความคิดเห็น = "" ปิดการใช้งาน = ไม่มีเพิ่มเชน = โปรโตคอลอินพุต = tcp dst-por t = 22 การเชื่อมต่อสถานะ = ใหม่ src-address-list = ssh_stage1 \ การกระทำ = เพิ่ม src-to-address-list ที่อยู่รายการ = ssh_stage2 address-list-timeout=1m comment="" ปิดการใช้งาน = ไม่ เพิ่ม chain = input protocol = tcp dst-port = 22 การเชื่อมต่อ state = new action = add-src-to-address-list \ address-list = ที่อยู่ ssh_stage1 -list-timeout=1m comment="" ปิดการใช้งาน=no

การสร้างสำเนาสำรองของการกำหนดค่า

ในกรณีที่เราเตอร์เกิดขัดข้องหรือล้มเหลว คุณจะต้องมีการกำหนดค่าพร้อมสำหรับการอัพเดตทันที เราปราศจากเศษชิ้นส่วนการรับเงินนั้นง่ายมาก: เปิดเทอร์มินัลโดยกดในเมนูนำทาง

แล้วฉันจะออกคำสั่งอย่างชัดเจน:

ส่งออกไฟล์=สำรอง2020-02-10_01:01:22 คุณสามารถค้นหาไฟล์ได้โดยคลิกที่ส่วนในเมนูนำทางไฟล์ - ดึงดูดเพื่อนของคุณบนพีซีของคุณโดยคลิกขวาและเลือก


ดาวน์โหลด

การปิดกั้นการเข้าถึงเว็บไซต์ โปรดทราบว่าคุณต้องเลือกจากช่องกลุ่มในช่วงเวลาทำงาน คนงานมีงานยุ่งเรามาบล็อกการเข้าถึงทรัพยากรที่สำคัญเช่น Youtube, Facebook และ Vkontakte กันดีกว่า เพื่ออะไรไปที่ส่วนไฟร์วอลล์


- กำลังกดบนแท็บ

โปรโตคอลเลเยอร์ 7

หากคุณมีสิทธิ์เข้าถึง Mikrotik หรือ Winbox เท่านั้น เราขอแนะนำให้คุณเปิดใช้บริการทั้งหมดโดยมีข้อแม้ จากนั้นคลิกที่ไอคอน “+” ที่มุมซ้ายบน:เรามาตั้งชื่อกฎของเราซึ่งทำงานในโมเดล OSI ระดับที่ 7 และในส่วน Regexp เราจะเพิ่ม: ^.+(youtube.com|facebook.com|vk.com).*$ตกลง


ฉันไปที่แท็บ กฎการกรองจากนั้นกดเครื่องหมาย “+”:


ไปที่แท็บกันเถอะ การกระทำและที่นั่นเราเลือก Action = Drop:


หลังจากเสร็จสิ้น ให้กดการปรับค่า วินบ็อกซ์і จากนั้นคลิกที่ไอคอน “+” ที่มุมซ้ายบน:.

ไค โคริสนา เซีย สเตตยา?

ใจดีบอกฉันหน่อยว่าทำไม?

ขออภัยที่บทความนี้ไม่มีประโยชน์สำหรับคุณ: (ใจดี ไม่ยาก บอกเราด้วยว่าทำไม เราจะขอบคุณมากสำหรับการรายงาน อะไรก็ตามที่ช่วยให้เราดีขึ้น!

Mikrotik – เราเตอร์ เราเตอร์ จุดเชื่อมต่อ

จะเริ่มต้นใช้งาน Mikrotik ได้อย่างไร?
จะป้องกัน Mikrotik จากการรุกรานจากต่างประเทศได้อย่างไร?

การตั้งค่า Pochatkova ของเราเตอร์ Mikrotik (เราเตอร์)
คอบ ซาคิสต์ มิโครติก
หากต้องการใช้เราเตอร์ Mikrotik คุณต้องมี:
1. เปลี่ยนรหัสผ่านผู้ดูแลระบบ
2. ปิดแอปพลิเคชั่น ไม่ต้องใช้บริการใดๆ

3. ปิด NAT

4. ตั้งค่าไฟร์วอลล์ - จัดระเบียบการกรองและเส้นทางแพ็กเก็ต
ป.ล.
หลังจากคำสั่งการตั้งค่า R - เราเตอร์ได้รับการกำหนดค่าทั้งหมด แต่ไม่ใช่รหัสผ่าน ก่อนที่คุณจะสามารถเชื่อมต่อผ่าน WinBox ผ่าน IP - 192.168.88.1
การตั้งค่าจากคอนโซล:
ฉันชื่อผู้ดูแลระบบ รหัสผ่านว่างเปล่า
หากคุณลืมรหัสผ่าน คุณจะได้รับการฮาร์ดรีเซ็ตเท่านั้น - ติดตั้งเราเตอร์ใหม่! เปลี่ยนรหัสผ่าน:>ผู้ใช้แก้ไขรหัสผ่านผู้ดูแลระบบ
ตัวแก้ไขเปิดขึ้น ป้อน
รหัสผ่านใหม่

- หากต้องการบันทึกและออก ให้นูน Ctrl+o (ควบคุมและพิมพ์ตัวอักษร o พร้อมกัน)
คุณสามารถเพิ่ม koristuvach ใหม่เกี่ยวกับปัญหาทุกประเภท:


>ใช้เพิ่ม name=mkt รหัสผ่าน=12345 group=full
อินเทอร์เฟซประเภทใดที่มองเห็นได้:
>การพิมพ์อินเทอร์เฟซ
0 X;;;

วาน
อีเธอร์1 อีเธอร์ 1500 1600 1600
1x;;;
คุณสามารถเพิ่ม koristuvach ใหม่เกี่ยวกับปัญหาทุกประเภท:
แลน
อีเธอร์2 อีเธอร์ 1500 1600 1600
ข้อกำหนดที่เปิดใช้งาน:
อินเทอร์เฟซประเภทใดที่มองเห็นได้:
> อินเทอร์เฟซเปิดใช้งาน 0
0 X;;;

> เปิดใช้งานอินเทอร์เฟซ 1
แฟล็ก: D - ไดนามิก, X - ปิดการใช้งาน, R - ทำงาน, S - ทาส
# ประเภทชื่อ MTU L2MTU MAX-L2MTU
0 ร;;;
วาน
1 ร;;;
แลน
ไอพีที่ยอดเยี่ยม:
> พิมพ์ที่อยู่ IP
ตัวอย่างเช่น ลองใช้พารามิเตอร์ต่อไปนี้:
ผู้ให้บริการ (อินเทอร์เน็ต) - 195.196.10.50
GW (เกตเวย์) - 195.196.10.49
แฟล็ก: D - ไดนามิก, X - ปิดการใช้งาน, R - ทำงาน, S - ทาส
เซิร์ฟเวอร์ DNS - 195.196.11.10, 195.196.12,10
ชายแดนท้องถิ่น (ภายใน) - 192.168.18.0/24
การเพิ่มผู้ให้บริการ IP:
> ที่อยู่ IP เพิ่มที่อยู่=195.196.10.10/30 อินเทอร์เฟซ=ether1

เพิ่มพื้นที่ท้องถิ่น:
> ที่อยู่ IP เพิ่มที่อยู่=192.168.18.0/24 อินเทอร์เฟซ=ether2

ฉันประหลาดใจกับสิ่งที่เกิดขึ้น:
เราเพิ่มเกตเวย์ Provo:
> เส้นทาง ip เพิ่มเกตเวย์ = 195.196.10.49

ไฟร์วอลล์ Nalashtuvati ต่อไป

จำเป็นต้องจัดระเบียบการกรองแพ็กเก็ต (เชือกเส้นเล็กอินพุต) และแน่นอนว่าหลังจากการป้องกัน การวัดของคุณสามารถประมวลผล - จัดระเบียบเส้นทางของแพ็กเก็ต - สำหรับเชือกเส้นเล็กไปข้างหน้า:

ป.ล. ในการเริ่มต้น ให้ไปที่ WinBox - IP -> ไฟร์วอลล์ -> พอร์ตบริการ - เปิดการปิดการใช้งานทั้งหมด กรอกข้อมูลที่จำเป็นและในส่วน pptp (เซิร์ฟเวอร์ VPN) ของเรา และหากคุณต้องการมีส่วนร่วมใน FTP - ftp
มาเพิ่มกฎกัน:
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=input การเชื่อมต่อสถานะ=การกระทำที่ไม่ถูกต้อง=ปล่อยความคิดเห็น = "วางการเชื่อมต่อที่ไม่ถูกต้อง"
ตัวกรองไฟร์วอลล์ ip เพิ่มเชน = อินพุตการเชื่อมต่อสถานะ = การกระทำที่จัดตั้งขึ้น = ยอมรับความคิดเห็น = "อนุญาตการเชื่อมต่อที่สร้างไว้"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=input protocol=udp action=accept comment="Allow UDP"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=input protocol=icmp action=accept comment="Allow ICMP"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=input src-address=192.168.0.0/24 action=accept comment="อนุญาตการเข้าถึงจากเครือข่ายท้องถิ่น"
มีกฎสองข้อ - หากคุณต้องการตั้งค่าการเข้าถึงผ่าน Mikrotik คุณจะมีการเชื่อมต่อภายในหลัง VPN (เซิร์ฟเวอร์ PPTP)
อันแรกเปิดพอร์ต 1723 ส่วนอีกอันอนุญาตโปรโตคอล 47 (GRE)
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=input action=accept protocol=tcp dst-port=1723 comment="อนุญาตให้เข้าถึง VPN"
ตัวกรองไฟร์วอลล์ ip เพิ่มเชน = การดำเนินการอินพุต = ยอมรับโปรโตคอล = ความคิดเห็น gre = "หากคุณมี VPN (เซิร์ฟเวอร์ PPTP)"
กฎนี้อนุญาตให้คุณเชื่อมต่อกับ Mikrotik ของคุณผ่าน WinBox (พอร์ตมาตรฐาน 8291)
ป.ล. โดยปกติแล้ว คุณต้องตั้งค่ารายการบริการ IP IP -> บริการ -> รายการบริการ IP คลิกที่แถว winbox หน้าต่างแก้ไขข้อมูลจะเปิดขึ้น -> เปลี่ยน IP เป็นรายการที่คุณจะเชื่อมต่อ คุณยังต้อง เพื่อทำงานจาก SSH และ WWW ทั้งหมดเปิดใช้งานบริการอื่น ๆ - ปิดใช้งาน
(ip_address_allow - IP ของคุณ)
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=8291 comment="อนุญาตการเข้าถึงผ่าน WinBox"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=22 comment="อนุญาตการเข้าถึงผ่าน SSH"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=80 comment="Allow access over WWW"
คุณต้องการทำอะไรกับ vikorystovuvati FTP:
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=21 comment="อนุญาตให้เข้าถึง FTP"

เพื่อป้องกันสิ่งกีดขวางจำเป็นต้องตรวจสอบการจราจรทั้งหมดที่ผ่าน
เราเตอร์และบล็อกอันที่ไม่ถูกต้อง

ตัวกรองไฟร์วอลล์ ip เพิ่มเชน = ส่งต่อโปรโตคอล = tcp การเชื่อมต่อสถานะ = การกระทำที่ไม่ถูกต้อง = ปล่อยความคิดเห็น = "วางการเชื่อมต่อที่ไม่ถูกต้อง"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=forward Connection-state=established action=accept comment="อนุญาตการเชื่อมต่อที่สร้างไว้แล้ว"
ตัวกรองไฟร์วอลล์ ip เพิ่มเชน = ส่งต่อสถานะการเชื่อมต่อ = การดำเนินการที่เกี่ยวข้อง = ยอมรับความคิดเห็น = "อนุญาตการเชื่อมต่อที่เกี่ยวข้อง"
ไม่ว่าในกรณีใด อนุญาตให้ผ่านโปรโตคอล GRE ได้:
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=forward protocol=gre action=accept comment="Allow GRE"
คุณมีอะไร? เซิร์ฟเวอร์วีพีเอ็นหากต้องการเริ่ม RDP (เดสก์ท็อประยะไกล) ให้อนุญาตการรับส่งข้อมูลไปยังพอร์ต 3389
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=forward protocol=tcp dst-port=3389 action=accept comment="Allow 3389"

ที่อยู่ IP ของเครือข่ายภายในถูกบล็อก
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=forward src-address=0.0.0.0/8 action=drop
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=forward dst-address=0.0.0.0/8 action=drop
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=forward src-address=127.0.0.0/8 action=drop
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=forward dst-address=127.0.0.0/8 action=drop
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=forward src-address=224.0.0.0/3 action=drop
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=forward dst-address=224.0.0.0/3 action=drop

เกี่ยวกับ:
ตัวกรองไฟร์วอลล์ ip เพิ่มโปรโตคอลการส่งต่อลูกโซ่ = การดำเนินการ udp = ยอมรับความคิดเห็น = "อนุญาต UDP"
ตัวกรองไฟร์วอลล์ ip เพิ่มโปรโตคอลการส่งต่อลูกโซ่ = การกระทำ icmp = ยอมรับความคิดเห็น = "อนุญาต ICMP Ping"
เกี่ยวกับ:
สำหรับการรับส่งข้อมูล icmp, udp และ tcp เราสามารถสร้างตัวเลือกที่ทิ้งแพ็กเก็ตที่ไม่จำเป็น:
มาเปลี่ยนแปลงที่ Lanciuzhka ใหม่กันเถอะ
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=forward protocol=tcp action=jump jump-target=tcp
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=forward protocol=udp action=jump jump-target=udp
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=forward protocol=icmp action=jump jump-target=icmp

เราสามารถสร้างกฎ TCP สำหรับลิงก์ TCP และป้องกันการกระทำของพอร์ต:
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=tcp protocol=tcp dst-port=69 action=drop comment="Deny TFTP"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain = tcp protocol = tcp dst-port = 111 action = drop comment = "ปฏิเสธ RPC portmapper"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain = tcp protocol = tcp dst-port = 135 action = drop comment = "ปฏิเสธ RPC portmapper"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=tcp protocol=tcp dst-port=137-139 action=drop comment="Deny NBT"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=tcp protocol=tcp dst-port=445 action=drop comment="Deny Cifs"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=tcp protocol=tcp dst-port=2049 action=drop comment="Deny NFS"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain = tcp protocol = tcp dst-port = 12345-12346 action = drop comment = "ปฏิเสธ NetBus"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=tcp protocol=tcp dst-port=20034 action=drop comment="Deny NetBus"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=tcp protocol=tcp dst-port=3133 action=drop comment="Deny BackOriffice"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=tcp protocol=tcp dst-port=67-68 action=drop comment="Deny DHCP"

Zaboronimo udp porti สำหรับเชือกเส้นเล็ก udp:
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain = udp protocol = udp dst-port = 69 action = drop comment = "ปฏิเสธ TFTP"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain = udp protocol = udp dst-port = 111 action = drop comment = "ปฏิเสธ PRC portmapper"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain = udp protocol = udp dst-port = 135 action = drop comment = "ปฏิเสธ PRC portmapper"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain = udp protocol = udp dst-port = 137-139 action = drop comment = "ปฏิเสธ NBT"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=udp protocol=udp dst-port=2049 action=drop comment="Deny NFS"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=udp protocol=udp dst-port=3133 action=drop comment="Deny BackOriffice"

อนุญาตให้ใช้เฉพาะรหัส icmp ที่จำเป็นสำหรับ icmp lantyuzhka:
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="วางการเชื่อมต่อที่ไม่ถูกต้อง"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="Dllow ที่สร้างการเชื่อมต่อ"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="อนุญาตการเชื่อมต่อที่สร้างไว้แล้ว"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="Allow source quench"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="อนุญาตคำขอ echo"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="อนุญาตให้เกินเวลา"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="Allow parameter bad"
ตัวกรองไฟร์วอลล์ ip เพิ่ม chain = icmp action = drop comment = "ปฏิเสธประเภทอื่น ๆ ทั้งหมด"

กำลังดุร้าย - หากคุณต้องการลองค้นหารหัสผ่านของเราโดยใช้กำลังดุร้ายเป็นเวลาหนึ่งชั่วโมงและครู่หนึ่ง

Linux สำหรับการป้องกันที่ประสบความสำเร็จในการเข้าถึงโดย failed2ban

Mikrotitsa ไม่มีความพึงพอใจดังกล่าว ดังนั้นเราจึงยินดีที่จะสร้างการป้องกันต่อความโหดร้ายด้วยมือของเราเอง
เพิ่มห่วงโซ่ = โปรโตคอลอินพุต = tcp dst-port = 22 สถานะการเชื่อมต่อ = ใหม่ src-address-list = ssh_stage3 การกระทำ = add-src-to-address-list address-list = ssh_blacklist ที่อยู่รายการหมดเวลา = 10d ความคิดเห็น = " " ปิดการใช้งาน = ไม่
เพิ่มลูกโซ่ = โปรโตคอลอินพุต = tcp dst-port = 22 สถานะการเชื่อมต่อ = ใหม่ src-address-list = ssh_stage2 การกระทำ = add-src-to-address-list address-list = ssh_stage3 address-list-timeout = 1m ความคิดเห็น = " " ปิดการใช้งาน = ไม่
เพิ่มลูกโซ่ = โปรโตคอลอินพุต = tcp dst-port = 22 สถานะการเชื่อมต่อ = ใหม่ src-address-list = ssh_stage1 การกระทำ = เพิ่ม-src-to-address-list ที่อยู่รายการ = ssh_stage2 ที่อยู่รายการหมดเวลา = 1m ความคิดเห็น = " " ปิดการใช้งาน = ไม่
เพิ่มลูกโซ่ = โปรโตคอลอินพุต = tcp dst-port = 22 สถานะการเชื่อมต่อ = การกระทำใหม่ = add-src-to-address-list ที่อยู่รายการ = ssh_stage1 ที่อยู่รายการหมดเวลา = 1m ความคิดเห็น = "" ปิดการใช้งาน = ไม่

และอย่างน้อยก็มีคอลเลกชันนี้มากมาย

ฉันจะอธิบายสั้น ๆ ว่าต้องทำอย่างไร

แนวคิดก็คือ: เราให้การทดสอบที่ถูกต้องสามครั้งภายในหนึ่งชั่วโมงสั้นๆ เพื่อเชื่อมต่อผ่าน ssh (22/tcp หากคุณมีพอร์ตอื่น ให้ตั้งค่าของคุณ)

เพิ่มลูกโซ่ = โปรโตคอลอินพุต = tcp dst-port = 22 สถานะการเชื่อมต่อ = การกระทำใหม่ = add-src-to-address-list ที่อยู่รายการ = ssh_stage1 ที่อยู่รายการหมดเวลา = 1m ความคิดเห็น = "" ปิดการใช้งาน = ไม่

ในการลองครั้งที่สี่ เราจะแบนเป็นเวลา 10 วัน

คุณพูดถูก.

Ozhe เป็นเศษเล็กเศษน้อย

1. เมื่อติดตั้งการเชื่อมต่อใหม่ (สถานะการเชื่อมต่อ=ใหม่) ไปยังพอร์ต 22/tcp เราจะจดจำ IP ของอุปกรณ์และวางไว้ในรายการ “ssh_stage1” ทีละ 1 บรรทัด:

2. หากคุณขยายบรรทัด “xtos” นี้ (และเราลืมไปแล้วใน “ssh_stage1”) คุณต้องการติดตั้งการเชื่อมต่อใหม่ด้วย 22/tcp อีกครั้ง จากนั้นจึงเพิ่มลงในรายการ “ssh_stage2” และยัง ใน 1 บรรทัด:

เพิ่มลูกโซ่ = โปรโตคอลอินพุต = tcp dst-port = 22 สถานะการเชื่อมต่อ = ใหม่ src-address-list = ssh_stage1 การกระทำ = เพิ่ม-src-to-address-list ที่อยู่รายการ = ssh_stage2 ที่อยู่รายการหมดเวลา = 1m ความคิดเห็น = " " ปิดการใช้งาน = ไม่

3. หากหลังจากลาก "ทั้งหมด" ออกทั้งหมด (ตอนนี้อยู่ใน "ssh_stage2") แล้ว คุณต้องการเชื่อมต่อ 22/tcp อีกครั้ง เราจะเพิ่มมันลงในรายการ "ssh_stage3" (ดังนั้น คุณเดาได้ ฉันจะเพิ่ม อีกหนึ่งบรรทัด):

เพิ่ม chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh bruteforcers" ปิดการใช้งาน=yes

เป็นเรื่องจริงถ้าฉันลองใช้รูปแบบนี้และพยายามเชื่อมต่อจากคอนโซล Linux กับ IP ปัจจุบันของ mikrotik ของฉันจากนั้นจากการลองอีกครั้ง (ไม่ใช่จาก 3 หรือ 4) IP "ที่เป็นอันตราย" จะถูกลากลงไปที่รายการ "ssh_blacklist" . ฉัน ssh ไปที่ microtik ไม่ใช่ vikoristuyu ดังนั้นในกรณีของฉันมันไม่เป็นอันตรายถึงชีวิต แต่ถ้าคุณเชื่อมต่อได้อย่างมีประสิทธิภาพในระยะไกลในตอนแรก การไม่เปิดใช้งานกฎอาจผิด (ปิดใช้งาน = ใช่) ซึ่งบ่งบอกถึงการแบน - อย่าหยุดกินจนกว่าจะถึงรายการไม่มีอาหารเป็นการดีที่จะประมาณจำนวนครั้งที่คุณต้องเชื่อมต่อก่อนที่จะถูกรวมอยู่ในรายการแบน

หลังจากตรวจสอบแล้ว ให้เปิดใช้งานกฎการแบนสำหรับรายการ "ssh_blacklist"!

ฉันถามอีกครั้งว่าคำสั่งนั้นยาว แต่ parser เพิ่มเครื่องหมายสแลชต่อท้ายเพื่อให้อยู่ในแถวเดียว

อย่างไรก็ตาม มันยากที่จะคิดว่ามีเพียง Mikrotik เท่านั้นที่มีปัญหาด้านความปลอดภัย Ubiquiti ก็มีปัญหาเช่นกัน ไม่เกี่ยวกับแบรนด์เช่น TP-Link เป็นต้น

อีกประการหนึ่งคือไม่ใช่ว่าทุกปัญหาจะเปิดเผยต่อสาธารณะ และไม่ใช่ทุกบริษัทจะตระหนักถึงปัญหาดังกล่าว


RouterOS 6.35.8 – การปฏิเสธการให้บริการ

ช่องโหว่ในสแต็กของ MikroTik เวอร์ชัน 6.38.5 ที่เผยแพร่เมื่อ 2017-03-09 สามารถทำได้โดยผู้โจมตีระยะไกลอิสระเท่านั้นที่จะระบาย CPU ที่มีอยู่ทั้งหมดผ่านทางแพ็กเก็ต TCP RST จำนวนมาก ทำให้เกิดปัญหากับเราเตอร์ไร้สายจากการยอมรับ

หากคุณต้องการเรียนรู้วิธีการตั้งค่า MikroTik โปรดดำเนินการผ่าน

คุณสามารถดูข้อมูลโดยละเอียดได้ในตอนท้ายของเอกสารนี้

สาระสำคัญของช่องโหว่ของ ROS 6.38.5 นั้นมาจากความเป็นไปได้ของการจี้เราเตอร์จากระยะไกลด้วยแพ็กเก็ต TCP RST (น้ำท่วม) ซึ่งทำให้การใช้ทรัพยากร CPU สูงถึง 100% และทำให้ไม่สามารถรับแพ็กเก็ตที่รบกวนได้อีก บริการ - การปฏิเสธการบริการ (DoS) > การตรวจสอบทรัพยากรระบบ cpu ที่ใช้: 100% cpu ที่ใช้ต่อ cpu: หน่วยความจำว่าง 100%: 8480KiBการโจมตีเกิดขึ้นที่พอร์ต 8291 ซึ่ง Winbox ใช้ นอกจากนี้ การหาประโยชน์ดังกล่าวยังเปิดเผยต่อสาธารณะ สถานการณ์มีความซับซ้อนเนื่องจากการใช้งานไม่จำเป็นต้องมีการตรวจสอบสิทธิ์ทราบข้อมูลเข้าสู่ระบบของคุณ วิธีการซาคิสต์โดยเร็วที่สุดคุณสามารถเปลี่ยนพอร์ต Winbox จาก 8291 เป็นพอร์ตที่ไม่ได้มาตรฐาน



การป้องกันกฎไฟร์วอลล์จะมีประสิทธิภาพมากที่สุดโดยการจำกัดการเข้าถึงพอร์ต Winbox สำหรับผู้ดูแลระบบ IP เท่านั้น

คุณสามารถปฏิบัติตามกฎเพิ่มเติมเหล่านี้:

ตัวกรองไฟร์วอลล์ IP เพิ่ม chain=input action=accept protocol=tcp src-address=ADMIN_IP dst-port=8291 comment=Allow_Winbox

จำเป็นต้องแทนที่ ADMIN_IP ด้วย IP ของคุณ ในกรณีนี้อย่าลืมป้องกันการเข้าถึง Winbox IPสำหรับผู้ใช้ตามบ้านที่ใช้เราเตอร์ Mikrotik ไม่มีอะไรน่ากลัวและกฎไฟร์วอลล์พื้นฐานจะบล็อกการเข้าถึง Winbox จาก WAN (อินเทอร์เน็ต)

และแกนมีไว้สำหรับผู้ยิ่งใหญ่

การควบรวมกิจการ

แต่ปัญหากับผู้ให้บริการนั้นร้ายแรงมากและแม้แต่การกระทำของผู้หลอกลวงก็สามารถนำไปสู่การจำกัดได้

ไม่มีอะไรเหลือที่จะพูดเกี่ยวกับการเปิดตัวอัปเดตสำหรับ RouterOS จนกว่าการรั่วไหลจะสิ้นสุดลง

อัปเดตโดยค่ายเมื่อ 04/04/2014

การอภิปรายเกี่ยวกับปัญหานี้จะดำเนินต่อไปในฟอรัม mikrotik อย่างเป็นทางการ

Koristuvach un1x0d ทำการทดสอบการหาประโยชน์บน RB751, heX lite และ CHR (8x Xeon) โดยผลลัพธ์ที่ได้คืออุปกรณ์ทั้งสามทำงานได้สูงถึง 100% ซึ่งทำให้บริการ Edge ทั้งหมดสูญเสียไป นอกจากนี้ การระบุ un1x0d การรั่วไหลไม่ได้อยู่ที่พอร์ตและทำงานร่วมกับพอร์ตอื่นๆ ได้ Koristuvach McSlash ตรวจสอบการรั่วไหลของ RB951, RB2011, hAp Lite และ CCR1036 - ใช้งานได้ในทุกกรณี

กฎไฟร์วอลล์ไม่ได้ช่วยเช่นกัน
ฝ่ายสนับสนุนของ Mikrotik ยังไม่ตระหนักถึงข้อเท็จจริงของการรั่วไหล'ютері Дивитись як правильно налаштувати біос вінди хрดิสก์ภายนอก เราจะติดตามการพัฒนากระบวนการนี้ต่อไปเราจะติดตามการพัฒนากระบวนการนี้ต่อไป หลักสูตรวิดีโอ “การตั้งค่า MikroTik” (คล้ายกับ MTCNA)หลักสูตรวิดีโอ “การตั้งค่า MikroTik” (คล้ายกับ MTCNA) ทุกสิ่งหลังจากผ่านไปหนึ่งชั่วโมง tse viide dovshe'ютер зависає - що робити?เริ่มใช้ MikroTik หรือไม่?