|
Mikrotik RB952UI-5AC2ND hAP ac lite не пробрасывается 443 порт | ☑ | ||
---|---|---|---|---|
0
Boudybuilder
01.11.19
✎
12:51
|
Подскажите пожалуйста, может у кого то такой же модем. На обычном дешевом модеме Тенда легко настроил все порты , 80, 443 , 3389. Сайты и удаленка работают отлично. Но все же это туповатый модем и дешевый. Поэтому приобрел Mikrotik RB952UI-5AC2ND. Все порты настроил кроме 443. Ну никак не могу его открыть. Сайты не отзываются не из локалки не из внешнего IP. Как быть?
|
|||
1
arsik
гуру
01.11.19
✎
13:03
|
Ну возможно у тебя сейчас там висит web управления микротиком.
|
|||
2
Boudybuilder
01.11.19
✎
13:13
|
Я об этом думал... но если это в IP->Services то SLL что включен, что выключен ничего не дает. Сейчас выключен. А вот сервис с 80 портом если отключить у микротика, то вебинтерфейс таки не запускается. Только через приложение управлять им можно. Или веб-управление еще где то меняется?
|
|||
3
Garykom
гуру
01.11.19
✎
13:17
|
Если честно я ниуя не понял но выкинь свой микрот науй :)
Backport уязвимость в RouterOS ставит под угрозу сотни тысяч устройств |
|||
4
Garykom
гуру
01.11.19
✎
13:17
|
И купи зуксель (кинетик) из новых
|
|||
5
Boudybuilder
01.11.19
✎
13:44
|
Если zyxel keenetic то какая модель лучше подойдет для сервера?
|
|||
6
Salimbek
01.11.19
✎
13:45
|
(1) +1
(0) А что у тебя в ip->services? |
|||
7
Salimbek
01.11.19
✎
13:45
|
+(6) а, увидел, (2)... Сорри...
|
|||
8
Salimbek
01.11.19
✎
13:48
|
(4) В Микроте можно подключить Скрипт защиты от брутфорсеров. А в Зухеле это как? А то вон, товарищ из (0) хочет 3389 наружу открыть.
|
|||
9
Garykom
гуру
01.11.19
✎
13:48
|
(5) Смотря что ты хочешь, я реально не понимаю что ты пытаешься сделать и что не работает.
Есть правильная терминология, например проброс/перенаправление портов но "Сайты не отзываются не из локалки не из внешнего IP" это хз |
|||
10
Salimbek
01.11.19
✎
13:50
|
(0) А если вместо 443, сделать проброс, например 8443 -> 443 и зайти на https://твой-ip:8443 - сайты твои откроются?
|
|||
11
Garykom
гуру
01.11.19
✎
13:58
|
(8) Сейчас дефолтный fail2ban практически бесполезен, там с огромного кол-ва ip перебирают с подбором таймаута.
Порт кнокинг или ограничение по ip |
|||
12
Salimbek
01.11.19
✎
14:26
|
(11) Ну пусть подбирают со скоростью 1 вариант в час. По сравнению с 1 вариант в 3 секунды это даст нам время в 1200 раз больше. Т.е., например, вместо одного дня на подбор пароля - потребуется больше 3-х лет.
Кроме того - по факту количество ИП-шников, доступных брутфорсеру, все же не бесконечно. Например сейчас список забаненых ИП-шников у меня - 144 штуки. Ну может парочка за неделю новая добавляется - добавляю в список и все... |
|||
13
Garykom
гуру
01.11.19
✎
14:29
|
(12) Пусть подбирают с 5000 разных ip, сколько это вариантов в час?
|
|||
14
Garykom
гуру
01.11.19
✎
14:30
|
(13)+ У меня несколько VPS'ок там сцуко постоянно стучат с разных ip, причем с одного и того же с таймаутом и так по кругу.
Пробовал fail2ban настраивать - бесполезно, просто надо регулярно менять пароли и делать их сложными. |
|||
15
Garykom
гуру
01.11.19
✎
14:32
|
(12) Готового из коробки у зукселя/кинетика простейшего нет, можно поставить opkg и поискать среди них что или свое нечто наваять типа https://github.com/robzr/dropBrute
|
|||
16
Garykom
гуру
01.11.19
✎
14:38
|
||||
17
Salimbek
01.11.19
✎
14:53
|
(13) 5000, однако если те же 5000 ip подбирают со скоростью 1 вариант в 3 секунды - это сколько вариантов в час?
(14) Дык, таймаут свой выставляешь, пусть заново подбирают. Кроме того - fail2ban мне не нравится именно скудостью настроек. В этом плане у микротика куда удобнее и тайминги можно свои выставить. (15) Проблема многих этих подходов в том, что приходится парсить логи, что не сильно нужная и быстрая операция. Тогда как в блок маршрутизации уже прилетел пакет, и можно по нему выполнить какие-либо действия без промежуточного звена в виде лог-файла. Надо лишь, чтобы сетевая подсистема это позволяла. |
|||
18
Garykom
гуру
01.11.19
✎
14:58
|
(17) >Тогда как в блок маршрутизации уже прилетел пакет, и можно по нему выполнить какие-либо действия без промежуточного звена в виде лог-файла. Надо лишь, чтобы сетевая подсистема это позволяла.
Хрень какую то написал, ну прилетел в порт 3389 пакет и что? Может он хороший! Нет уж надо писать в лог, ждать и снова смотреть лог, анализировать было установлено соединение или был отказ внешней службы куда порт/пакеты проброшены. Если там бум - пошел на - вот тогда да берем ip и в бан лист его. Сам роутер хоть микротик, хоть линукс нихрена не знает про RDP и прочие протоколы и определять банить или нет может только по логам! |
|||
19
Garykom
гуру
01.11.19
✎
15:01
|
(18)+ А просто блеклисты есть почти в любом роутере, который на основе iptables
|
|||
20
Salimbek
01.11.19
✎
15:16
|
(18) Вы ошибаетесь. Микротик работает примерно так: http://mikrotik.vetriks.ru/wiki/Готовые_решения:Защита_от_brute-force_атак_для_SSH_и_FTP
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \ address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no Т.е. тут на 1 минуту добавили ИП-шник в список: ssh_stage1 add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \ action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no Тут, если пришел еще один коннект от находящегося в ssh_stage1 мы его добавляем в список: ssh_stage2 и т.д. и в конце add chain=input protocol=tcp dst-port=22 connection-state=new \ src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \ address-list-timeout=10d comment="" disabled=no ИП-шник из ssh_stage3 заносим на 10 дней в список ssh_blacklist add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \ comment="drop ssh brute forcers" disabled=no баним тех, кто в списке ssh_blacklist И для чего тут логи? |
|||
21
Garykom
гуру
01.11.19
✎
15:26
|
(20) Эээ каким таким местом мы от защиты порта 3389 с хз чем на нем перешли к защите ssh и ftp?
Если не ошибаюсь то оно по дефолту у зукселей включено из коробки, для ssh и http админки так точно! |
|||
22
Garykom
гуру
01.11.19
✎
15:28
|
(20) И да нахрена тебе ssh_stage1 и ssh_stage2 которые в твоем примере играют роль логов для fail2ban ?
Не проще просто лог анализировать куда и так ip заносятся и операция на каком порту, какая служба и результат. Не надо изобретать отдельных ssh_stage1, ftp_stage1 и т.д. есть один общий лог. |
|||
23
Salimbek
01.11.19
✎
15:57
|
(21) Поменять порт с 22 на 3389 не сложно. Суть от этого не меняется.
(22) Вы серьезно не понимаете разницы между хранением готового списка в памяти и работы с ним, и тем, что надо подключиться к текстовому файлу на х.з. сколько строк, разобрать его, и т.д.? |
|||
24
Arbuz
01.11.19
✎
15:57
|
класс, если ты три раза в течение трёх минут приконнектился к своему серваку он забанит тебя на 10 дней! а брутфорсеры автоматом по анализу бана будут перебирать тебя с одного айпи два раза в три минуты. lol а пул может быть ооочень большой, 5000 - это огородик.
плюс микротик - дырявое корявое нищебродство, на еле-ельном железе. хочешь нормально - бери сиську, ну джунипер, тоже дырявое, но хотя б не такой хлам. хочешь совсем нормально - собираешь своё на фряхе, благо сейчас голого железа в китае - чё хочешь и в розницу - и все эти линупсы, со своим тормозным tcp-стэком курят в сторонке. а защита только witelist'ы, вся внутренняя работа только через впн, все внешние сервисы только на дмз с автоконтролем и горячим резервом, ну и портнокинг, как вариант, для развлечения отдела ит. |
|||
25
Garykom
гуру
01.11.19
✎
16:04
|
(23) Не понимаю разницы, лог уже хранится зачем еще какие то левые списки?
Намного проще настроить формат парсинга логов и для любого порта и протокола универсально рабочее решение. Может по этому порту три раза в три минуты коннект это норма и надо анализировать через сколько был дисконнект после коннекта. Если через 20 секунд - хорошие и пропускаем, если через 5-10 секунд то это неудачная авторизация и в список банов. Вот хранить промежуточный список уже забаненных и затем разбаненных есть смысл, для усиления срока бана если раз попал, два попал - на третий раз иди погуляй на неделю-месяц. |
|||
26
Arbuz
01.11.19
✎
16:08
|
(25) ты ему ещё про распределённую систему сбора и анализа логов и статистики расскажи, когда у тебя не один паршивый михротик на входе стоит и за всё отвечает, а несколько филиалов с некой инфраструктурой. и ищи потом в каком некротике такой умник банлисты настроил.
|
|||
27
Salimbek
01.11.19
✎
19:32
|
(24)-(26) Не, если задачи из головы выдумывать, то оно конечно, надо Сиськи всякие всем обязательно ставить. Вот только в _данной теме_ кейс совсем не "про распределённую систему сбора и анализа логов и статистики".
Отдельно для (24) замечу, что никто, в том числе и я, не запрещает тебе поставить тут: address-list-timeout=1m любую другую цифру, например 10, или 20. А еще можно добавить отдельный white-list, который не обрабатывается этими правилами вообще. А еще можно организовать себе на этих списках port-knocking, чтобы _продвинутый_ пользователь гарантированно проходил с любым количеством ошибок. Но хочется вам на таком простом кейсе грызть кактус на зухелях - флаг вам в руки. |
|||
28
Salimbek
01.11.19
✎
19:53
|
(25) "Если через 20 секунд - хорошие и пропускаем, если через 5-10 секунд то это неудачная авторизация и в список банов." А в чем сложность? Первый коннект - кидаем ИП в stage1 на 10 секунд, и если пришел второй коннект от stage1 - то в бан его.
И еще относительно термина "левые списки" - так-то ipset это штатный модуль в iptables, и используется он в том же fail2ban как раз на основе парсинга логов. Но меня там как раз и раздражает ограниченное количество настроек. Потому, например, и делают дописки: https://habr.com/ru/post/238303/ Впрочем, не подумайте, пожалуйста, что я говорю всем и всегда использовать лишь микротики. Каждому случаю нужно свое, наиболее подходящее решение. И вот в кейсе: "Небольшая сетка с открытым удаленным доступом извне" - рекомендую именно Микротик. |
|||
29
arsik
гуру
01.11.19
✎
21:12
|
Вы чего придумываете? Те кто юзают SSH с авторизацией по паролю вымерли давно. Все юзают авторизацию по ключу. А там хоть заперебирайся.
Есть конечно еще пласт юзеров (0) кто наружу порты типа РДП с парольной защитой выставляет, но это тоже единицы, все впн разворачивают. |
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |