Имя: Пароль:
IT
Веб-мастеринг
Mikrotik RB952UI-5AC2ND hAP ac lite не пробрасывается 443 порт
, ,
0 Boudybuilder
 
01.11.19
12:51
Подскажите пожалуйста, может у кого то такой же модем. На обычном дешевом модеме Тенда легко настроил все порты , 80, 443 , 3389. Сайты и удаленка работают отлично. Но все же это туповатый модем и дешевый. Поэтому приобрел Mikrotik RB952UI-5AC2ND. Все порты настроил кроме 443. Ну никак не могу его открыть. Сайты не отзываются не из локалки не из внешнего IP. Как быть?
1 arsik
 
гуру
01.11.19
13:03
Ну возможно у тебя сейчас там висит web управления микротиком.
2 Boudybuilder
 
01.11.19
13:13
Я об этом думал... но если это в IP->Services то SLL что включен, что выключен ничего не дает. Сейчас выключен. А вот сервис с 80 портом если отключить у микротика, то вебинтерфейс таки не запускается. Только через приложение управлять им можно. Или веб-управление еще где то меняется?
3 Garykom
 
гуру
01.11.19
13:17
Если честно я ниуя не понял но выкинь свой микрот науй :)

Backport уязвимость в RouterOS ставит под угрозу сотни тысяч устройств
4 Garykom
 
гуру
01.11.19
13:17
И купи зуксель (кинетик) из новых
5 Boudybuilder
 
01.11.19
13:44
Если zyxel keenetic то какая модель лучше подойдет для сервера?
6 Salimbek
 
01.11.19
13:45
(1) +1
(0) А что у тебя в ip->services?
7 Salimbek
 
01.11.19
13:45
+(6) а, увидел, (2)... Сорри...
8 Salimbek
 
01.11.19
13:48
(4) В Микроте можно подключить Скрипт защиты от брутфорсеров. А в Зухеле это как? А то вон, товарищ из (0) хочет 3389 наружу открыть.
9 Garykom
 
гуру
01.11.19
13:48
(5) Смотря что ты хочешь, я реально не понимаю что ты пытаешься сделать и что не работает.
Есть правильная терминология, например проброс/перенаправление портов но "Сайты не отзываются не из локалки не из внешнего IP" это хз
10 Salimbek
 
01.11.19
13:50
(0) А если вместо 443, сделать проброс, например 8443 -> 443 и зайти на https://твой-ip:8443 - сайты твои откроются?
11 Garykom
 
гуру
01.11.19
13:58
(8) Сейчас дефолтный fail2ban практически бесполезен, там с огромного кол-ва ip перебирают с подбором таймаута.
Порт кнокинг или ограничение по ip
12 Salimbek
 
01.11.19
14:26
(11) Ну пусть подбирают со скоростью 1 вариант в час. По сравнению с 1 вариант в 3 секунды это даст нам время в 1200 раз больше. Т.е., например, вместо одного дня на подбор пароля - потребуется больше 3-х лет.
Кроме того - по факту количество ИП-шников, доступных брутфорсеру, все же не бесконечно. Например сейчас список забаненых ИП-шников у меня - 144 штуки. Ну может парочка за неделю новая добавляется - добавляю в список и все...
13 Garykom
 
гуру
01.11.19
14:29
(12) Пусть подбирают с 5000 разных ip, сколько это вариантов в час?
14 Garykom
 
гуру
01.11.19
14:30
(13)+ У меня несколько VPS'ок там сцуко постоянно стучат с разных ip, причем с одного и того же с таймаутом и так по кругу.
Пробовал fail2ban настраивать - бесполезно, просто надо регулярно менять пароли и делать их сложными.
15 Garykom
 
гуру
01.11.19
14:32
(12) Готового из коробки у зукселя/кинетика простейшего нет, можно поставить opkg и поискать среди них что или свое нечто наваять типа https://github.com/robzr/dropBrute
16 Garykom
 
гуру
01.11.19
14:38
17 Salimbek
 
01.11.19
14:53
(13) 5000, однако если те же 5000 ip подбирают со скоростью 1 вариант в 3 секунды - это сколько вариантов в час?
(14) Дык, таймаут свой выставляешь, пусть заново подбирают.

Кроме того - fail2ban мне не нравится именно скудостью настроек. В этом плане у микротика куда удобнее и тайминги можно свои выставить.

(15) Проблема многих этих подходов в том, что приходится парсить логи, что не сильно нужная и быстрая операция. Тогда как в блок маршрутизации уже прилетел пакет, и можно по нему выполнить какие-либо действия без промежуточного звена в виде лог-файла. Надо лишь, чтобы сетевая подсистема это позволяла.
18 Garykom
 
гуру
01.11.19
14:58
(17) >Тогда как в блок маршрутизации уже прилетел пакет, и можно по нему выполнить какие-либо действия без промежуточного звена в виде лог-файла. Надо лишь, чтобы сетевая подсистема это позволяла.

Хрень какую то написал, ну прилетел в порт 3389 пакет и что? Может он хороший!

Нет уж надо писать в лог, ждать и снова смотреть лог, анализировать было установлено соединение или был отказ внешней службы куда порт/пакеты проброшены.
Если там бум - пошел на - вот тогда да берем ip и в бан лист его.

Сам роутер хоть микротик, хоть линукс нихрена не знает про RDP и прочие протоколы и определять банить или нет может только по логам!
19 Garykom
 
гуру
01.11.19
15:01
(18)+ А просто блеклисты есть почти в любом роутере, который на основе iptables
20 Salimbek
 
01.11.19
15:16
(18) Вы ошибаетесь. Микротик работает примерно так: http://mikrotik.vetriks.ru/wiki/Готовые_решения:Защита_от_brute-force_атак_для_SSH_и_FTP

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

Т.е. тут на 1 минуту добавили ИП-шник в список: ssh_stage1

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no

Тут, если пришел еще один коннект от находящегося в ssh_stage1 мы его добавляем в список: ssh_stage2

и т.д. и в конце

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=10d comment="" disabled=no

ИП-шник из ssh_stage3 заносим на 10 дней в список ssh_blacklist

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute forcers" disabled=no

баним тех, кто в списке ssh_blacklist

И для чего тут логи?
21 Garykom
 
гуру
01.11.19
15:26
(20) Эээ каким таким местом мы от защиты порта 3389 с хз чем на нем перешли к защите ssh и ftp?
Если не ошибаюсь то оно по дефолту у зукселей включено из коробки, для ssh и http админки так точно!
22 Garykom
 
гуру
01.11.19
15:28
(20) И да нахрена тебе ssh_stage1 и ssh_stage2 которые в твоем примере играют роль логов для fail2ban ?
Не проще просто лог анализировать куда и так ip заносятся и операция на каком порту, какая служба и результат.

Не надо изобретать отдельных ssh_stage1, ftp_stage1 и т.д. есть один общий лог.
23 Salimbek
 
01.11.19
15:57
(21) Поменять порт с 22 на 3389 не сложно. Суть от этого не меняется.

(22) Вы серьезно не понимаете разницы между хранением готового списка в памяти и работы с ним, и тем, что надо подключиться к текстовому файлу на х.з. сколько строк, разобрать его, и т.д.?
24 Arbuz
 
01.11.19
15:57
класс, если ты три раза в течение трёх минут приконнектился к своему серваку он забанит тебя на 10 дней! а брутфорсеры автоматом по анализу бана будут перебирать тебя с одного айпи два раза в три минуты. lol а пул может быть ооочень большой, 5000 - это огородик.
плюс микротик - дырявое корявое нищебродство, на еле-ельном железе.
хочешь нормально - бери сиську, ну джунипер, тоже дырявое, но хотя б не такой хлам.
хочешь совсем нормально - собираешь своё на фряхе, благо сейчас голого железа в китае - чё хочешь и в розницу - и все эти линупсы, со своим тормозным tcp-стэком курят в сторонке.
а защита только witelist'ы, вся внутренняя работа только через впн, все внешние сервисы только на дмз с автоконтролем и горячим резервом, ну и портнокинг, как вариант, для развлечения отдела ит.
25 Garykom
 
гуру
01.11.19
16:04
(23) Не понимаю разницы, лог уже хранится зачем еще какие то левые списки?
Намного проще настроить формат парсинга логов и для любого порта и протокола универсально рабочее решение.
Может по этому порту три раза в три минуты коннект это норма и надо анализировать через сколько был дисконнект после коннекта.
Если через 20 секунд - хорошие и пропускаем, если через 5-10 секунд то это неудачная авторизация и в список банов.
Вот хранить промежуточный список уже забаненных и затем разбаненных есть смысл, для усиления срока бана если раз попал, два попал - на третий раз иди погуляй на неделю-месяц.
26 Arbuz
 
01.11.19
16:08
(25) ты ему ещё про распределённую систему сбора и анализа логов и статистики расскажи, когда у тебя не один паршивый михротик на входе стоит и за всё отвечает, а несколько филиалов с некой инфраструктурой. и ищи потом в каком некротике такой умник банлисты настроил.
27 Salimbek
 
01.11.19
19:32
(24)-(26) Не, если задачи из головы выдумывать, то оно конечно, надо Сиськи всякие всем обязательно ставить. Вот только в _данной теме_ кейс совсем не "про распределённую систему сбора и анализа логов и статистики".
Отдельно для (24) замечу, что никто, в том числе и я, не запрещает тебе поставить тут:
address-list-timeout=1m любую другую цифру, например 10, или 20. А еще можно добавить отдельный white-list, который не обрабатывается этими правилами вообще. А еще можно организовать себе на этих списках port-knocking, чтобы _продвинутый_ пользователь гарантированно проходил с любым количеством ошибок. Но хочется вам на таком простом кейсе грызть кактус на зухелях - флаг вам в руки.
28 Salimbek
 
01.11.19
19:53
(25) "Если через 20 секунд - хорошие и пропускаем, если через 5-10 секунд то это неудачная авторизация и в список банов." А в чем сложность? Первый коннект - кидаем ИП в stage1 на 10 секунд, и если пришел второй коннект от stage1 - то в бан его.

И еще относительно термина "левые списки" - так-то ipset это штатный модуль в iptables, и используется он в том же fail2ban как раз на основе парсинга логов. Но меня там как раз и раздражает ограниченное количество настроек. Потому, например, и делают дописки: https://habr.com/ru/post/238303/

Впрочем, не подумайте, пожалуйста, что я говорю всем и всегда использовать лишь микротики. Каждому случаю нужно свое, наиболее подходящее решение. И вот в кейсе: "Небольшая сетка с открытым удаленным доступом извне" - рекомендую именно Микротик.
29 arsik
 
гуру
01.11.19
21:12
Вы чего придумываете? Те кто юзают SSH с авторизацией по паролю вымерли давно. Все юзают авторизацию по ключу. А там хоть заперебирайся.
Есть конечно еще пласт юзеров (0) кто наружу порты типа РДП с парольной защитой выставляет, но это тоже единицы, все впн разворачивают.
Есть два вида языков, одни постоянно ругают, а вторыми никто не пользуется.