Кто-то ломится на mikrotik?

Question

[vvchumanov]

login failure for user root from 116.229.239.244 via ssh

У меня целыми днями выдаёт, что кто-то из шанхая пытаеся по ssh ломится на мой Mikrotik :) Кто испытывает подобное и какой строкой в firewall заблокировать его?

Я добавил правило input: у казал source адрес > 116.229.239.244 и поставил drop ?? Этого достаточно будет?

Answer 1

[nApoBo3]

Не зная специфику сети сложно давать советы. Общее правило, площадь атаки должна быть минимальной.
В идеале ограничить доступ по SSH только локальной сетью, если это не возможно, то белым списком ip. В любом случае следует предпринять меры по блокировке брутфорса. wiki.mikrotik.com/wiki/Bruteforce_login_prevention

Comments

[vvchumanov]

так меня и удивила эта строка в логах, я вообще поставил только с локальных адресов доступ, изменил номер порта ssh

[nApoBo3]

vvchumanov: Возможно я не достаточно полно понимаю данный механизм в микротике, но при заблокированном порте таких записей в логе быть не должно. Конечно нельзя исключать атаку на внутренний порт снаружи, она так же возможна, но я таких ботов не встречал и сильно зависит от настроек устройства. В любом случае правило общее для любых сервисов, максимально сокращаем площадь атаки, остальное закрываем максимально надежными методами, там где можем баним по ошибкам, если не можем мониторим логи и принимаем меры руками. Следует понимать, любой открытый сервис это цель для атаки, как правило для бот атаки, это "норма".

Answer 2

[Дмитрий]

1) Отключите дефолтного пользователя admin и не держите простых паролей.
2) Если не нужен ssh доступ из-вне, то отключите его совсем
3) Если вдруг шапочка из фольги не помогает, то настройке port knocking, чтобы до ssh было достучаться труднее.

От того что один тупой бот перестанет к вам стучаться, никакого толку. Банить каждого нового устанете. Просто не выставляйте наружу сервисы с дефолтным логином и простым паролем. В идеале, для ssh авторизация только по ключу.

Comments

[vvchumanov]

ок спасибо примерно в таком духе и сделал

Answer 3

[vvchumanov]

Это все отлично! :) примерно в таком духе все и сделал. Но сегодня обнаружил на разных своих микротиках в разных местах к одному пытаются валиться во web хотя порт изменен на нестантартный.. а на том где открыт 500 порт ля ipsec сервера пытаются ввалиться по vpn и причем с разных адресов но из одного региона... даже список составил на скорую руку..

Список адресов

по vpn 500 ipsec
71.6.146.185
216.218.206.66
216.218.207.82
216.218.206.94
216.218.206.118
216.218.206.122
158.130.6.191
216.218.206.106
216.218.206.110
163.172.129.15

web - c измененным портом
91.204.60.61 - запорожье
89.163.242.68
62.138.8.31

половина как видно по vpn из одного и того же места :) как то странно

Comments

[Дмитрий]

Я бы не сказал что вы описали что-то странное. Боты бывают очень тупые (ломятся на стандартные порты) и немного поумнее (сканируют открытые порты и определяют что на них висит). В обоих случаях легче обезопасить сервис торчащий наружу, чем зарезать запросы из-вне.

[pr0l]

я этот список устал собирать и тупо пол китая с пендосами забанил по /16, ибо даже по маске /24 толку нет. чаще всего китай и ирак ломятся, но это мкорее всего боты сканируют сеть