Harc Mikrotikkel a robotok ellen (address list, honeypot / mézesbödön, feketelista ,stb) 2018 03 20
ฝัง
- เผยแพร่เมื่อ 8 ก.พ. 2025
- Galéria: flic.kr/s/aHsm...
Filmrészlet: Gyalog galopp
Zenerészlet: Terminátor főcím
Instagram: / tanya_csenol
Facebook oldal: / tanyacsenol
Facebook csoport: www.facebook.c...
Kivonat: Többen kérdezték a korábbi Mikrotik videó alapján, hogy mi az az SSH feketelista ami látható. Ebben a videóban erről lesz szó, költöztessünk át olyan szolgáltatásokat máshová, amit nem kell tömegeknek elérni esetleg lehet nincs is semmi ilyen és a helyükön üzemeljünk be egy csapdát, aki belelép utána már semmit ne érhessen el. Mikrotik és a RouterOS ebben is jó barát. :)
Nagyon hasznos videó, köszönet érte!
Nem hittem a szememnek! Bekapcsoltam, és külön listán gyűjtöttem a 22-es, 23-as, és 25 porton próbálkozókat. Egy nap leforgása alatt több, mint 600 IP-t gyűjtöttem, ebből kb. 450 próbálkozott telnettel. Hihetetlen, pedig csak egy sz@ros dinamikus IP-m van a szolgáltatótól...
Bizony, jönnek dögivel! Köszi a visszajelzést!
Otthoni magán routerben nem csak 22-es portra szűrve hanem: 20-79,81-442,444-1023,8000,8080,8291. Május 28-tól a mai napig: 24997 db IP cím van a listán. Vodafone net dinamikus, de gyakorlatilag évente ha kétszer változik az IP.
A videó alapján már mindenki azt szűr, amit szeretne, most egyébként az ssh port megint menő, 2 hét alatt lett 15 ezer csak SSH-n az egyik helyen.
üdv.!
A bejövő internet chain az egyben input és forward chain is? Terminálbol lehet csak új láncokat létrehozni?
Válaszát előre köszönöm!
Levente
Persze lehet és egy bizonyos bonyolultság után érdemes is egyedi láncokba szervezni a szabályokat, ezzel a megoldással még CPU erőforrással tudsz spórolni, mert a szabályok kiértékelési “útját” is optimalizálhatod.
Köszi az infót, tök hasznos. Van egy kis problémám ugyanakkor: ha a blacklistre kerülő IP-ket a Forward chainben is kitiltom (drop), akkor egy-két perc elteltével azt tapasztalom, hogy a böngészett oldalak belasuslnak, és elkezdenek nem betöltődni (pl. Facebook). Létezik, hogy ez esetleg IP spoofing miatt van? Azaz hogy pl. a Facebook IP-jére cserélve csinálják a portscant?
Gyanúm szerint ott valami el van inkább toszva, mert nálam minden ügyfélnél és itthon is így van, nincs ilyen gond.
Rendben, köszi, megnézem alaposabban.@@kernel_panik
Jó lenne szerintem a szabály után mikor listára teszed a portodat piszkálót , még egyszer letiltani a listára kerűlteket ugyanolyan szabály mint fentebb. Mert amikor elsőnek jön akkor még nincs a listán ,azon a szabályon átszalad , majd listára kerül , de utánna megy tovább...és nincs semmi ami megfogja. Azaz a listagyüjtés elé és után is egy szabályt tennék.
Nekem gyűjti őket az adress lists-ba. Ott sorakoznak. Scannerezésre van szabály.
Ha bekapcsolva hagyom a tftp-t, öt azaz öt perc múlva teleszrja logot pirossal, hogy probálkozik valami. De egy másodperc alatt tizenötször. Nyilván kikapcsolok minden feleslegest, csak ha reset van, és elfelejtem, akkor a logról rögtön eszembe jut.
Annyira nem cseles mert ha valaki futtat egy nmapet úgy is - p - - vel futtatja úgyhogy nem rejtesz ezzel el semmit:) egyébként meg sshval meg miért foglalkozna bárki és barmi is?
Teljesen mindegy, mert amint ráfut a 22-es portra, onnantól fogva semmilyen ponthoz nem tud kapcsolódni. Ennek ez a lényege. Természetesen más publikus, gyakori támadás alatt lévő, amúgy adott helyen használaton kívüli portot is be lehet így csapdázni, minél több, annál jobb.
Ez nem az elrejtésről szól, hanem honeypot.
Nekem fix IP-vel az elmult 5 hónapban 40 ezer próbálkozásom volt, bár azt hozzá teszem, hogy elég sok portot tiltok.
Pedig csak Nginx-es Webszervert, meg egy Wireguard VPN-t üzemeltetek kifelé.
20-23
81
135-140
445
1194
1433-1435
3306
62912
Sőt még a 3389-et is, bemenő irányban ...