- Socorro!
+ Responder ao Tópico
-
Socorro!
Boa noite, alguém poderia me dar uma ajuda, já a algum tempo estou tendo reversos tipos de tentativa de invasão, já tomei algumas providências, porém não sei se são as melhores, ultimamente está acontecendo tentativas de confecções pelo Dude que não uso
-
Re: Socorro!
Então...não existe padrão em relação a segurança. no entanto você pode tomar algumas providencias, evitar vpn...trocar portas de serviço. não usar usuario padrão, são algumas delas. obviamente não citei todas aqui e tambem acho que pedir pra que enviem uma "receita de bolo" pra você não é muito inteligente..
analise de onde vem as tentativas e vá "fechando" as brechas até deixar sua rede segura.
-
Re: Socorro!
Bom dia, então, já coloquei regras no firewall para identificar escaneamento de portas bloqueando esse ips, desativei serviços na ip>serviços, troquei a porta de acesso via www, cetei ip local para a estão via winbox, não tenho vpn, tenho dúvidas em firewall>serviços ports! Desativei ftp e pptp......
-
Re: Socorro!
um dica eu tive um problema parecido com isso na minha, como eu tenho ASN, tirei print das tentativas e mandei para o registro BR, 2 dias depois recebi a confirmação que vou cancelado o ataque.
-
Re: Socorro!
Olá,
Como já foi mencionado acima, é difícil ter uma receita pronta para cada caso, mas eu também estava sofrendo com isso, então fui em /ip services e desabilitei tudo que eu não usava e alterei as demais partas para outras fora do padrão, outra coisa foi aplicar o script que achei aqui mesmo no forum que bloqueia automaticamente as tentativas de ataque ssh, vou compartilhar abaixo:
/ip firewall filter add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
/ip firewall filter add action=drop chain=input comment="DROP SSH FORCA BRUTA ( BLACK LIST )" \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
/ip firewall filter add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=4w2d chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
/ip firewall filter add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=10m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
/ip firewall filter add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=10m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
/ip firewall filter add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=10m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp
/ip firewall filter add action=drop chain=input comment="BLOQUEIO SSH - PORTA 22-23" disabled=no \
dst-port=22-23 protocol=tcp
Espero ter ajudado, se alguém tiver uma solução melhor ou alguma coisa a acrescentar seria muito bem vindo.
-
Re: Socorro!
aqui resolvi simprismene atualizando a rb para versao mais recente , mudando as portas padrao e porta wimbox,, acabou problema e algumas rb coloquei pra acessar somente o ip de meu pppoe
-
Re: Socorro!
Infelizmente , depois de fazer algumas mudanças de segurança ainda estou tendo tentativas de invasão, alguém está tendo a mesma tentativa de invasão de DUDE?!
-
Re: Socorro!
A regra de drop das portas 22 e 23 funcionam, mesmo eu já te do desativado os serviços de ssh e telnet
-
Crie uma address list com os Ips/Ranges que quer que possuam acesso ao equipamento.
Crie as regras de port knock, porém ao invés de bloquear as conexões, coloque para adicionar o src-address na lista que permite o acesso.
Depois crie uma regra que dropa todo o restante.
Após criar esse conjunto de regras não tive mais problemas.
Script que fiz na minha RB:
/ip firewall filter
add action=accept chain=input comment="Aceita Conexoes Estabelecidas, Relacionadas" connection-state=established,related
add action=add-src-to-address-list address-list=Rede address-list-timeout=1h chain=input comment="Adiciona IP na Lista de Rede Liberada" connection-state=new dst-port=3000 in-interface=ether1 protocol=tcp src-address-list=knock02
add action=add-src-to-address-list address-list=knock02 address-list-timeout=10s chain=input comment="Knock 02" connection-state=new dst-port=4000 in-interface=ether1 protocol=tcp src-address-list=knock01
add action=add-src-to-address-list address-list=knock01 address-list-timeout=10s chain=input comment="Knock 01" connection-state=new dst-port=5000 in-interface=ether1 protocol=tcp
add action=drop chain=input comment="Drop se nao estiver na Lista de Rede liberada" src-address-list=!Rede
Com essas regras, quando vou acessar de algum local que não esteja nas redes permitidas, eu abro pelo navegador e digito o IP:5000, IP:4000 e IP:3000, após isso o IP será adicionado na lista de permitidos por 1hora e terei acesso irrestrito ao equipamento a partir daquele IP.
Se necessário, adapte o script a sua necessidade.
-
Re: Socorro!
Muito obrigado, melhor resposta p as maiorias de tentativas de invasão!