Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. Citação Postado originalmente por 14735 Ver Post
    amigo primeiro tenta bloquear o sent deauth

    Código :
    /ip firewall filter
    add action=tarpit chain=input comment="bloqueio de sent deauth " \
        connection-limit=3,32 disabled=no protocol=tcp src-address-list=\
        blocked-addr
    segundo no ultimo log esta claramente uma tentativa de invasão
    alguem esta tentando logar via ssh no seu mk .
    para bloquear segue as regras
    primeiro desativa os tipos de serviços que vc nao ultiliza
    em ip/services ..
    segundo coloca essas regras .
    Código :
    / ip firewall filter
    add chain=input protocol=tcp dst-port=22 src-address-list=acesso_ssh \
        action=drop comment="Acesso_ssh" disabled=no
    add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist \
        action=drop comment="drop ftp brute forcers" disabled=no 
    add chain=output protocol=tcp content="530 Login incorrect" \
        dst-limit=1/1m,9,dst-address/1m action=accept comment="" disabled=no 
    add chain=output protocol=tcp content="530 Login incorrect" \
        action=add-dst-to-address-list address-list=ftp_blacklist \
        address-list-timeout=3h comment="" disabled=no 
    add chain=input protocol=tcp dst-port=22 src-address-list=black_list \
        action=drop comment="Drop SSH Brute Forcers" disabled=no 
    add chain=input protocol=tcp dst-port=22 connection-state=new \
        src-address-list=ssh_stage3 action=add-src-to-address-list \
        address-list=black_list address-list-timeout=1d comment="" disabled=no 
    add chain=input protocol=tcp dst-port=22 connection-state=new \
        src-address-list=ssh_stage2 action=add-src-to-address-list \
        address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no 
    add chain=input protocol=tcp dst-port=22 connection-state=new \
        src-address-list=ssh_stage1 action=add-src-to-address-list \
        address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no 
    add chain=input protocol=tcp dst-port=22 connection-state=new \
        action=add-src-to-address-list address-list=ssh_stage1 \
        address-list-timeout=1m comment="" disabled=no 
    add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist \
        action=drop comment="drop ssh brute downstream" disabled=no
    com essas regras eu duvido que volte a aparecer esse tipo de log no seu mk .
    espero ter ajudado .

    Amigo, essa regra de bloqueio de sent deauth não funcionou não (/ip firewall filter
    add action=tarpit chain=input comment="bloqueio de sent deauth " \
    connection-limit=3,32 disabled=no protocol=tcp src-address-list=\
    blocked-addr)
    Ainda ta caindo a conexão e voltando, do jeito que tava antes....

  2. Bom, posso estar errado mas ate onde sei, DEAUTH eh um pacote de radio... Regras de firewall nao vao pegar esse pacote nunca... Esse pacote eh utilizado quando um servidor quer desconectar um cliente ou vice-versa...

    Isso poderia ser um ataque... Se alguem clonar o MAC do seu AP e ficar mandando pacotes DEAUTH pode forcar o outro lado do PTP a desconectar porque ele entende que eh o que voce quer... Esse tipo de ataque eh meio comum e se aproveita da fragilidade do 802.11 nesse sentido... Nao saberia lhe dizer como resolver... Na realidade acredito que nem tenha como resolver sem que voce desligue fisicamente o atacante, porque ate onde sei nao tem como voce evitar esse pacote de chegar...



  3. Citação Postado originalmente por mtrojahn Ver Post
    Bom, posso estar errado mas ate onde sei, DEAUTH eh um pacote de radio... Regras de firewall nao vao pegar esse pacote nunca... Esse pacote eh utilizado quando um servidor quer desconectar um cliente ou vice-versa...

    Isso poderia ser um ataque... Se alguem clonar o MAC do seu AP e ficar mandando pacotes DEAUTH pode forcar o outro lado do PTP a desconectar porque ele entende que eh o que voce quer... Esse tipo de ataque eh meio comum e se aproveita da fragilidade do 802.11 nesse sentido... Nao saberia lhe dizer como resolver... Na realidade acredito que nem tenha como resolver sem que voce desligue fisicamente o atacante, porque ate onde sei nao tem como voce evitar esse pacote de chegar...
    A respeito sobre clone de mac como vc disse aí em cima, vamos supor q a rede esteja aberta no sentido sem amarração de IP X mac, essa suporta tentativa de invasão poderia estar ocorrendo pois o invasor teria como acessar até o mikrotik, e se a comunicação fosse fechada com IP X MAC?? Acho q não aconteceria mais por o servidor mikrotik só liberaria o acesso aos IP's/mac's cadastrados e amarrados no servidor.

    Me corrija se eu estiver errado.






Tópicos Similares

  1. Respostas: 1
    Último Post: 24-03-2012, 00:08
  2. Respostas: 4
    Último Post: 16-03-2008, 22:30
  3. Mikrotik travando o enlace de 90KM-AJUDA!!
    Por Bender no fórum Redes
    Respostas: 15
    Último Post: 13-02-2008, 16:11
  4. sinal ruim em enlace de curta distância
    Por jefersonlucio no fórum Redes
    Respostas: 8
    Último Post: 25-12-2007, 12:22
  5. Respostas: 14
    Último Post: 10-10-2007, 21:34

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L