Что за странные попытки подключения через winbox к mikrotik?

Question

[Svoboo]

В логи микрота падает куча сообщений "denied winbox/dude connect" с левых ипов.
Доступ к винбоксу и прочим сервисам ограничен по ип. Если убрать это ограничение, то и такие сообщения пропадают, хотя при неудачной попытке подключиться должно выдать "login failure for user *** from *** via winbox"-проверил попробовав зайти с неверными данными. Что это может быть?

Comments

[Виталий Токаренко]

Подбор по стандартным портам. Можно скриптом блокировать таких файрволом.
Как по мне, проще переопределить порт на другой. Было такое. Переназначил порт и всё стало Ок. Понятно что проблема не решилась кардинально. Но практически её не стало.

[race_face]

Виталий Токаренко, Добрый день! Подскажите, пожалуйста, как заблокировать такие адреса? не скриптом, а вручную при помощи графического интерфейса.

Answer 1

[Кирилл Васильев]

Подбирают пароль, обычный процесс брутфорса.

не закрывайте доступ к сервисам с помощью интегрированный средств этих сервисов, закрывайте доступ с помощью фаервола.

Comments

[Svoboo]

Да, но при этом должно же появляться сообщение "login failure for user *** from *** via winbox"? Если сам пытаюсь зайти с неверными данными, то оно пишется.

[Кирилл Васильев]

вам сервис сообщает denied winbox/dude connect - что доступ запрещён, не из за неправильного логинаэпароля, а из за ИП адреса которые не попадает под разрешённые префиксы.

[Svoboo]

Кирилл Васильев, я временно разрешаю подключения со всех ип, при этом сообщения о попытках подключения пропадают. Мои попытки подключиться с неверными данными в это время пишутся.

[Кирилл Васильев]

Svoboo, Может они подключаются с правильными данными? может у вас стоит дуде сервер, который мониторит?

[Svoboo]

Кирилл Васильев, о верных подключениях тоже должны отображаться сообщения вида "user *** logged in from *** via winbox" или "user *** logged in from *** via dude", но их нет. Сервер дудки на микроте не стоит.

[Кирилл Васильев]

Svoboo, дудка может стоять где в другом месте.
возможно вы убрали из вывода логи по умолчанию.
покажите вывод /system logging export

[Svoboo]

Кирилл Васильев,

/system logging action
set 1 disk-file-count=20 disk-lines-per-file=2000
/system logging
set 0 action=disk
set 1 action=disk
set 2 action=disk
set 3 action=disk
add disabled=yes topics=debug,ospf
add action=echo topics=critical

[Кирилл Васильев]

Svoboo, ну вот и решение, system, error,critical - когда не удачная аутенфтикации (или ошибка)
во все остальных случаях system, info,account
вот по дефолту

/system logging action
set 0 memory-lines=1000 memory-stop-on-full=no name=memory target=memory
set 1 disk-file-count=2 disk-file-name=log disk-lines-per-file=1000 disk-stop-on-full=no name=disk target=disk
set 2 name=echo remember=yes target=echo
set 3 bsd-syslog=no name=remote remote=0.0.0.0 remote-port=514 src-address=0.0.0.0 syslog-facility=daemon syslog-severity=\
    auto syslog-time-format=bsd-syslog target=remote
/system logging
set 0 action=memory disabled=no prefix="" topics=info
set 1 action=memory disabled=no prefix="" topics=error
set 2 action=memory disabled=no prefix="" topics=warning
set 3 action=echo disabled=no prefix="" topics=critical

[Svoboo]

Кирилл Васильев, аналогичное поведение получилось при попытке сканирования портов через Router Scan. Похоже что просто сканируют порт.

[Кирилл Васильев]

Svoboo, ваши логи пишутся на set 0 action=disk диск, смотрите там

[race_face]

Кирилл Васильев, Добрый день! Подскажите, пожалуйста, как заблокировать такие адреса? не скриптом, а вручную при помощи графического интерфейса.