AJUDA, Mikrotik caindo o sinal de 2 em 2 horas +/-

[leopio]

Boa noite, estou tendo uns problemas com meu mikrotik da torre, o sinal ta caindo direto durante o dia, o tempo de desconexão é de aproximadamente 1minuto, sendo que o sinal não passa de -74dBm, uma coisa q raparei é q no mikrotik da torre mostra que ele se desconectou com a base, ja na base não mostra isso, um exemplo disto está nos logs abaixo.

Minha prioridade é fazer com que esse problema de ficar desconectando pare, não é nem tanto a questão de um mikrotik constar um log e no outro não.

Obs.: Utilizo 2 placas AG530 para o enlace a uma distância de no máximo 2 a 3km em linha reta com vizada perfeita.

Espero que alguem de vcs possam me ajudar quanto a isto, pois ja está sendo incômodo para mim e para alguns clientes, espero que eu consiga resolver isso o quanto antes com a ajuda de muitos aki do UNDER.

Desde ja agradeço a boa vontade de quem ajuda....

[deniss]

Boa noite, estou tendo uns problemas com meu mikrotik da torre, o sinal ta caindo direto durante o dia, o tempo de desconexão é de aproximadamente 1minuto, sendo que o sinal não passa de -74dBm, uma coisa q raparei é q no mikrotik da torre mostra que ele se desconectou com a base, ja na base não mostra isso, um exemplo disto está nos logs abaixo.

Minha prioridade é fazer com que esse problema de ficar desconectando pare, não é nem tanto a questão de um mikrotik constar um log e no outro não.

Obs.: Utilizo 2 placas AG530 para o enlace a uma distância de no máximo 2 a 3km em linha reta com vizada perfeita.

Espero que alguem de vcs possam me ajudar quanto a isto, pois ja está sendo incômodo para mim e para alguns clientes, espero que eu consiga resolver isso o quanto antes com a ajuda de muitos aki do UNDER.

Desde ja agradeço a boa vontade de quem ajuda....

boa noite cara isso me parece um tenta tiva de invasao tente proteger mas seu mk bloquei as entradas via ssh
pra ver se continua vou postar a regra q bloqueia
(ip firewall ruler chain=input protocol=tcp rsc port=0-65535 dst port=22 action=drop)
qualquer coisa poste ai

[leopio]

boa noite cara isso me parece um tenta tiva de invasao tente proteger mas seu mk bloquei as entradas via ssh
pra ver se continua vou postar a regra q bloqueia
(ip firewall ruler chain=input protocol=tcp rsc port=0-65535 dst port=22 action=drop)
qualquer coisa poste ai

Mas pra ser uma tentativa de invasão não apareceria uma outra opçaõ no LOg não?? Esse ptp ta em modo WDS e sem SSID, fica mais difícil do cara invadir não??

[14735]

Boa noite, estou tendo uns problemas com meu mikrotik da torre, o sinal ta caindo direto durante o dia, o tempo de desconexão é de aproximadamente 1minuto, sendo que o sinal não passa de -74dBm, uma coisa q raparei é q no mikrotik da torre mostra que ele se desconectou com a base, ja na base não mostra isso, um exemplo disto está nos logs abaixo.

Minha prioridade é fazer com que esse problema de ficar desconectando pare, não é nem tanto a questão de um mikrotik constar um log e no outro não.

Obs.: Utilizo 2 placas AG530 para o enlace a uma distância de no máximo 2 a 3km em linha reta com vizada perfeita.

Espero que alguem de vcs possam me ajudar quanto a isto, pois ja está sendo incômodo para mim e para alguns clientes, espero que eu consiga resolver isso o quanto antes com a ajuda de muitos aki do UNDER.

Desde ja agradeço a boa vontade de quem ajuda....

amigo primeiro tenta bloquear o sent deauth

Código :

/ip firewall filter
add action=tarpit chain=input comment="bloqueio de sent deauth " \
    connection-limit=3,32 disabled=no protocol=tcp src-address-list=\
    blocked-addr

segundo no ultimo log esta claramente uma tentativa de invasão
alguem esta tentando logar via ssh no seu mk .
para bloquear segue as regras
primeiro desativa os tipos de serviços que vc nao ultiliza
em ip/services ..
segundo coloca essas regras .

Código :

/ ip firewall filter
add chain=input protocol=tcp dst-port=22 src-address-list=acesso_ssh \
    action=drop comment="Acesso_ssh" disabled=no
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist \
    action=drop comment="drop ftp brute forcers" disabled=no 
add chain=output protocol=tcp content="530 Login incorrect" \
    dst-limit=1/1m,9,dst-address/1m action=accept comment="" disabled=no 
add chain=output protocol=tcp content="530 Login incorrect" \
    action=add-dst-to-address-list address-list=ftp_blacklist \
    address-list-timeout=3h comment="" disabled=no 
add chain=input protocol=tcp dst-port=22 src-address-list=black_list \
    action=drop comment="Drop SSH Brute Forcers" disabled=no 
add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage3 action=add-src-to-address-list \
    address-list=black_list address-list-timeout=1d comment="" disabled=no 
add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage2 action=add-src-to-address-list \
    address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no 
add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage1 action=add-src-to-address-list \
    address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no 
add chain=input protocol=tcp dst-port=22 connection-state=new \
    action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m comment="" disabled=no 
add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist \
    action=drop comment="drop ssh brute downstream" disabled=no

com essas regras eu duvido que volte a aparecer esse tipo de log no seu mk .
espero ter ajudado .

[leopio]

amigo primeiro tenta bloquear o sent deauth

Código :

/ip firewall filter
add action=tarpit chain=input comment="bloqueio de sent deauth " \
    connection-limit=3,32 disabled=no protocol=tcp src-address-list=\
    blocked-addr

segundo no ultimo log esta claramente uma tentativa de invasão
alguem esta tentando logar via ssh no seu mk .
para bloquear segue as regras
primeiro desativa os tipos de serviços que vc nao ultiliza
em ip/services ..
segundo coloca essas regras .

Código :

/ ip firewall filter
add chain=input protocol=tcp dst-port=22 src-address-list=acesso_ssh \
    action=drop comment="Acesso_ssh" disabled=no
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist \
    action=drop comment="drop ftp brute forcers" disabled=no 
add chain=output protocol=tcp content="530 Login incorrect" \
    dst-limit=1/1m,9,dst-address/1m action=accept comment="" disabled=no 
add chain=output protocol=tcp content="530 Login incorrect" \
    action=add-dst-to-address-list address-list=ftp_blacklist \
    address-list-timeout=3h comment="" disabled=no 
add chain=input protocol=tcp dst-port=22 src-address-list=black_list \
    action=drop comment="Drop SSH Brute Forcers" disabled=no 
add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage3 action=add-src-to-address-list \
    address-list=black_list address-list-timeout=1d comment="" disabled=no 
add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage2 action=add-src-to-address-list \
    address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no 
add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage1 action=add-src-to-address-list \
    address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no 
add chain=input protocol=tcp dst-port=22 connection-state=new \
    action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m comment="" disabled=no 
add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist \
    action=drop comment="drop ssh brute downstream" disabled=no

com essas regras eu duvido que volte a aparecer esse tipo de log no seu mk .
espero ter ajudado .

No mikrotik da Base (última figura do LOG) sim, estão tentando invadir via SSH, ja nos 3 primeiros logs, o que significa sent deauth???

[leopio]

amigo primeiro tenta bloquear o sent deauth

Código :

/ip firewall filter
add action=tarpit chain=input comment="bloqueio de sent deauth " \
    connection-limit=3,32 disabled=no protocol=tcp src-address-list=\
    blocked-addr

segundo no ultimo log esta claramente uma tentativa de invasão
alguem esta tentando logar via ssh no seu mk .
para bloquear segue as regras
primeiro desativa os tipos de serviços que vc nao ultiliza
em ip/services ..
segundo coloca essas regras .

Código :

/ ip firewall filter
add chain=input protocol=tcp dst-port=22 src-address-list=acesso_ssh \
    action=drop comment="Acesso_ssh" disabled=no
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist \
    action=drop comment="drop ftp brute forcers" disabled=no 
add chain=output protocol=tcp content="530 Login incorrect" \
    dst-limit=1/1m,9,dst-address/1m action=accept comment="" disabled=no 
add chain=output protocol=tcp content="530 Login incorrect" \
    action=add-dst-to-address-list address-list=ftp_blacklist \
    address-list-timeout=3h comment="" disabled=no 
add chain=input protocol=tcp dst-port=22 src-address-list=black_list \
    action=drop comment="Drop SSH Brute Forcers" disabled=no 
add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage3 action=add-src-to-address-list \
    address-list=black_list address-list-timeout=1d comment="" disabled=no 
add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage2 action=add-src-to-address-list \
    address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no 
add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage1 action=add-src-to-address-list \
    address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no 
add chain=input protocol=tcp dst-port=22 connection-state=new \
    action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m comment="" disabled=no 
add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist \
    action=drop comment="drop ssh brute downstream" disabled=no

com essas regras eu duvido que volte a aparecer esse tipo de log no seu mk .
espero ter ajudado .

Amigo, essa regra de bloqueio de sent deauth não funcionou não (/ip firewall filter
add action=tarpit chain=input comment="bloqueio de sent deauth " \
connection-limit=3,32 disabled=no protocol=tcp src-address-list=\
blocked-addr)
Ainda ta caindo a conexão e voltando, do jeito que tava antes....

[mtrojahn]

Bom, posso estar errado mas ate onde sei, DEAUTH eh um pacote de radio... Regras de firewall nao vao pegar esse pacote nunca... Esse pacote eh utilizado quando um servidor quer desconectar um cliente ou vice-versa...

Isso poderia ser um ataque... Se alguem clonar o MAC do seu AP e ficar mandando pacotes DEAUTH pode forcar o outro lado do PTP a desconectar porque ele entende que eh o que voce quer... Esse tipo de ataque eh meio comum e se aproveita da fragilidade do 802.11 nesse sentido... Nao saberia lhe dizer como resolver... Na realidade acredito que nem tenha como resolver sem que voce desligue fisicamente o atacante, porque ate onde sei nao tem como voce evitar esse pacote de chegar...

[leopio]

Bom, posso estar errado mas ate onde sei, DEAUTH eh um pacote de radio... Regras de firewall nao vao pegar esse pacote nunca... Esse pacote eh utilizado quando um servidor quer desconectar um cliente ou vice-versa...

Isso poderia ser um ataque... Se alguem clonar o MAC do seu AP e ficar mandando pacotes DEAUTH pode forcar o outro lado do PTP a desconectar porque ele entende que eh o que voce quer... Esse tipo de ataque eh meio comum e se aproveita da fragilidade do 802.11 nesse sentido... Nao saberia lhe dizer como resolver... Na realidade acredito que nem tenha como resolver sem que voce desligue fisicamente o atacante, porque ate onde sei nao tem como voce evitar esse pacote de chegar...

A respeito sobre clone de mac como vc disse aí em cima, vamos supor q a rede esteja aberta no sentido sem amarração de IP X mac, essa suporta tentativa de invasão poderia estar ocorrendo pois o invasor teria como acessar até o mikrotik, e se a comunicação fosse fechada com IP X MAC?? Acho q não aconteceria mais por o servidor mikrotik só liberaria o acesso aos IP's/mac's cadastrados e amarrados no servidor.

Me corrija se eu estiver errado.