+ Responder ao Tópico



  1. #1

    Padrão AJUDA, Mikrotik caindo o sinal de 2 em 2 horas +/-

    Boa noite, estou tendo uns problemas com meu mikrotik da torre, o sinal ta caindo direto durante o dia, o tempo de desconexão é de aproximadamente 1minuto, sendo que o sinal não passa de -74dBm, uma coisa q raparei é q no mikrotik da torre mostra que ele se desconectou com a base, ja na base não mostra isso, um exemplo disto está nos logs abaixo.

    Minha prioridade é fazer com que esse problema de ficar desconectando pare, não é nem tanto a questão de um mikrotik constar um log e no outro não.

    Obs.: Utilizo 2 placas AG530 para o enlace a uma distância de no máximo 2 a 3km em linha reta com vizada perfeita.

    Espero que alguem de vcs possam me ajudar quanto a isto, pois ja está sendo incômodo para mim e para alguns clientes, espero que eu consiga resolver isso o quanto antes com a ajuda de muitos aki do UNDER.

    Desde ja agradeço a boa vontade de quem ajuda....
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         Log1 - torre.JPG
Visualizações:	269
Tamanho: 	215,0 KB
ID:      	2965   Clique na imagem para uma versão maior

Nome:	         Log2 - torre.JPG
Visualizações:	183
Tamanho: 	223,8 KB
ID:      	2966  

    Clique na imagem para uma versão maior

Nome:	         Log3 - torre.JPG
Visualizações:	157
Tamanho: 	232,1 KB
ID:      	2967   Clique na imagem para uma versão maior

Nome:	         Log - base.JPG
Visualizações:	209
Tamanho: 	193,6 KB
ID:      	2968  


  2. #2
    deniss
    Visitante

    Padrão

    Citação Postado originalmente por leopio Ver Post
    Boa noite, estou tendo uns problemas com meu mikrotik da torre, o sinal ta caindo direto durante o dia, o tempo de desconexão é de aproximadamente 1minuto, sendo que o sinal não passa de -74dBm, uma coisa q raparei é q no mikrotik da torre mostra que ele se desconectou com a base, ja na base não mostra isso, um exemplo disto está nos logs abaixo.

    Minha prioridade é fazer com que esse problema de ficar desconectando pare, não é nem tanto a questão de um mikrotik constar um log e no outro não.

    Obs.: Utilizo 2 placas AG530 para o enlace a uma distância de no máximo 2 a 3km em linha reta com vizada perfeita.

    Espero que alguem de vcs possam me ajudar quanto a isto, pois ja está sendo incômodo para mim e para alguns clientes, espero que eu consiga resolver isso o quanto antes com a ajuda de muitos aki do UNDER.

    Desde ja agradeço a boa vontade de quem ajuda....
    boa noite cara isso me parece um tenta tiva de invasao tente proteger mas seu mk bloquei as entradas via ssh
    pra ver se continua vou postar a regra q bloqueia
    (ip firewall ruler chain=input protocol=tcp rsc port=0-65535 dst port=22 action=drop)
    qualquer coisa poste ai



  3. #3

    Padrão

    Citação Postado originalmente por deniss Ver Post
    boa noite cara isso me parece um tenta tiva de invasao tente proteger mas seu mk bloquei as entradas via ssh
    pra ver se continua vou postar a regra q bloqueia
    (ip firewall ruler chain=input protocol=tcp rsc port=0-65535 dst port=22 action=drop)
    qualquer coisa poste ai

    Mas pra ser uma tentativa de invasão não apareceria uma outra opçaõ no LOg não?? Esse ptp ta em modo WDS e sem SSID, fica mais difícil do cara invadir não??

  4. #4

    Padrão

    Citação Postado originalmente por leopio Ver Post
    Boa noite, estou tendo uns problemas com meu mikrotik da torre, o sinal ta caindo direto durante o dia, o tempo de desconexão é de aproximadamente 1minuto, sendo que o sinal não passa de -74dBm, uma coisa q raparei é q no mikrotik da torre mostra que ele se desconectou com a base, ja na base não mostra isso, um exemplo disto está nos logs abaixo.

    Minha prioridade é fazer com que esse problema de ficar desconectando pare, não é nem tanto a questão de um mikrotik constar um log e no outro não.

    Obs.: Utilizo 2 placas AG530 para o enlace a uma distância de no máximo 2 a 3km em linha reta com vizada perfeita.

    Espero que alguem de vcs possam me ajudar quanto a isto, pois ja está sendo incômodo para mim e para alguns clientes, espero que eu consiga resolver isso o quanto antes com a ajuda de muitos aki do UNDER.

    Desde ja agradeço a boa vontade de quem ajuda....

    amigo primeiro tenta bloquear o sent deauth

    Código :
    /ip firewall filter
    add action=tarpit chain=input comment="bloqueio de sent deauth " \
        connection-limit=3,32 disabled=no protocol=tcp src-address-list=\
        blocked-addr
    segundo no ultimo log esta claramente uma tentativa de invasão
    alguem esta tentando logar via ssh no seu mk .
    para bloquear segue as regras
    primeiro desativa os tipos de serviços que vc nao ultiliza
    em ip/services ..
    segundo coloca essas regras .
    Código :
    / ip firewall filter
    add chain=input protocol=tcp dst-port=22 src-address-list=acesso_ssh \
        action=drop comment="Acesso_ssh" disabled=no
    add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist \
        action=drop comment="drop ftp brute forcers" disabled=no 
    add chain=output protocol=tcp content="530 Login incorrect" \
        dst-limit=1/1m,9,dst-address/1m action=accept comment="" disabled=no 
    add chain=output protocol=tcp content="530 Login incorrect" \
        action=add-dst-to-address-list address-list=ftp_blacklist \
        address-list-timeout=3h comment="" disabled=no 
    add chain=input protocol=tcp dst-port=22 src-address-list=black_list \
        action=drop comment="Drop SSH Brute Forcers" disabled=no 
    add chain=input protocol=tcp dst-port=22 connection-state=new \
        src-address-list=ssh_stage3 action=add-src-to-address-list \
        address-list=black_list address-list-timeout=1d comment="" disabled=no 
    add chain=input protocol=tcp dst-port=22 connection-state=new \
        src-address-list=ssh_stage2 action=add-src-to-address-list \
        address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no 
    add chain=input protocol=tcp dst-port=22 connection-state=new \
        src-address-list=ssh_stage1 action=add-src-to-address-list \
        address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no 
    add chain=input protocol=tcp dst-port=22 connection-state=new \
        action=add-src-to-address-list address-list=ssh_stage1 \
        address-list-timeout=1m comment="" disabled=no 
    add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist \
        action=drop comment="drop ssh brute downstream" disabled=no
    com essas regras eu duvido que volte a aparecer esse tipo de log no seu mk .
    espero ter ajudado .



  5. #5

    Padrão

    Citação Postado originalmente por 14735 Ver Post
    amigo primeiro tenta bloquear o sent deauth

    Código :
    /ip firewall filter
    add action=tarpit chain=input comment="bloqueio de sent deauth " \
        connection-limit=3,32 disabled=no protocol=tcp src-address-list=\
        blocked-addr
    segundo no ultimo log esta claramente uma tentativa de invasão
    alguem esta tentando logar via ssh no seu mk .
    para bloquear segue as regras
    primeiro desativa os tipos de serviços que vc nao ultiliza
    em ip/services ..
    segundo coloca essas regras .
    Código :
    / ip firewall filter
    add chain=input protocol=tcp dst-port=22 src-address-list=acesso_ssh \
        action=drop comment="Acesso_ssh" disabled=no
    add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist \
        action=drop comment="drop ftp brute forcers" disabled=no 
    add chain=output protocol=tcp content="530 Login incorrect" \
        dst-limit=1/1m,9,dst-address/1m action=accept comment="" disabled=no 
    add chain=output protocol=tcp content="530 Login incorrect" \
        action=add-dst-to-address-list address-list=ftp_blacklist \
        address-list-timeout=3h comment="" disabled=no 
    add chain=input protocol=tcp dst-port=22 src-address-list=black_list \
        action=drop comment="Drop SSH Brute Forcers" disabled=no 
    add chain=input protocol=tcp dst-port=22 connection-state=new \
        src-address-list=ssh_stage3 action=add-src-to-address-list \
        address-list=black_list address-list-timeout=1d comment="" disabled=no 
    add chain=input protocol=tcp dst-port=22 connection-state=new \
        src-address-list=ssh_stage2 action=add-src-to-address-list \
        address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no 
    add chain=input protocol=tcp dst-port=22 connection-state=new \
        src-address-list=ssh_stage1 action=add-src-to-address-list \
        address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no 
    add chain=input protocol=tcp dst-port=22 connection-state=new \
        action=add-src-to-address-list address-list=ssh_stage1 \
        address-list-timeout=1m comment="" disabled=no 
    add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist \
        action=drop comment="drop ssh brute downstream" disabled=no
    com essas regras eu duvido que volte a aparecer esse tipo de log no seu mk .
    espero ter ajudado .
    No mikrotik da Base (última figura do LOG) sim, estão tentando invadir via SSH, ja nos 3 primeiros logs, o que significa sent deauth???

  6. #6

    Padrão

    Citação Postado originalmente por 14735 Ver Post
    amigo primeiro tenta bloquear o sent deauth

    Código :
    /ip firewall filter
    add action=tarpit chain=input comment="bloqueio de sent deauth " \
        connection-limit=3,32 disabled=no protocol=tcp src-address-list=\
        blocked-addr
    segundo no ultimo log esta claramente uma tentativa de invasão
    alguem esta tentando logar via ssh no seu mk .
    para bloquear segue as regras
    primeiro desativa os tipos de serviços que vc nao ultiliza
    em ip/services ..
    segundo coloca essas regras .
    Código :
    / ip firewall filter
    add chain=input protocol=tcp dst-port=22 src-address-list=acesso_ssh \
        action=drop comment="Acesso_ssh" disabled=no
    add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist \
        action=drop comment="drop ftp brute forcers" disabled=no 
    add chain=output protocol=tcp content="530 Login incorrect" \
        dst-limit=1/1m,9,dst-address/1m action=accept comment="" disabled=no 
    add chain=output protocol=tcp content="530 Login incorrect" \
        action=add-dst-to-address-list address-list=ftp_blacklist \
        address-list-timeout=3h comment="" disabled=no 
    add chain=input protocol=tcp dst-port=22 src-address-list=black_list \
        action=drop comment="Drop SSH Brute Forcers" disabled=no 
    add chain=input protocol=tcp dst-port=22 connection-state=new \
        src-address-list=ssh_stage3 action=add-src-to-address-list \
        address-list=black_list address-list-timeout=1d comment="" disabled=no 
    add chain=input protocol=tcp dst-port=22 connection-state=new \
        src-address-list=ssh_stage2 action=add-src-to-address-list \
        address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no 
    add chain=input protocol=tcp dst-port=22 connection-state=new \
        src-address-list=ssh_stage1 action=add-src-to-address-list \
        address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no 
    add chain=input protocol=tcp dst-port=22 connection-state=new \
        action=add-src-to-address-list address-list=ssh_stage1 \
        address-list-timeout=1m comment="" disabled=no 
    add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist \
        action=drop comment="drop ssh brute downstream" disabled=no
    com essas regras eu duvido que volte a aparecer esse tipo de log no seu mk .
    espero ter ajudado .

    Amigo, essa regra de bloqueio de sent deauth não funcionou não (/ip firewall filter
    add action=tarpit chain=input comment="bloqueio de sent deauth " \
    connection-limit=3,32 disabled=no protocol=tcp src-address-list=\
    blocked-addr)
    Ainda ta caindo a conexão e voltando, do jeito que tava antes....



  7. #7

    Padrão

    Bom, posso estar errado mas ate onde sei, DEAUTH eh um pacote de radio... Regras de firewall nao vao pegar esse pacote nunca... Esse pacote eh utilizado quando um servidor quer desconectar um cliente ou vice-versa...

    Isso poderia ser um ataque... Se alguem clonar o MAC do seu AP e ficar mandando pacotes DEAUTH pode forcar o outro lado do PTP a desconectar porque ele entende que eh o que voce quer... Esse tipo de ataque eh meio comum e se aproveita da fragilidade do 802.11 nesse sentido... Nao saberia lhe dizer como resolver... Na realidade acredito que nem tenha como resolver sem que voce desligue fisicamente o atacante, porque ate onde sei nao tem como voce evitar esse pacote de chegar...

  8. #8

    Padrão

    Citação Postado originalmente por mtrojahn Ver Post
    Bom, posso estar errado mas ate onde sei, DEAUTH eh um pacote de radio... Regras de firewall nao vao pegar esse pacote nunca... Esse pacote eh utilizado quando um servidor quer desconectar um cliente ou vice-versa...

    Isso poderia ser um ataque... Se alguem clonar o MAC do seu AP e ficar mandando pacotes DEAUTH pode forcar o outro lado do PTP a desconectar porque ele entende que eh o que voce quer... Esse tipo de ataque eh meio comum e se aproveita da fragilidade do 802.11 nesse sentido... Nao saberia lhe dizer como resolver... Na realidade acredito que nem tenha como resolver sem que voce desligue fisicamente o atacante, porque ate onde sei nao tem como voce evitar esse pacote de chegar...
    A respeito sobre clone de mac como vc disse aí em cima, vamos supor q a rede esteja aberta no sentido sem amarração de IP X mac, essa suporta tentativa de invasão poderia estar ocorrendo pois o invasor teria como acessar até o mikrotik, e se a comunicação fosse fechada com IP X MAC?? Acho q não aconteceria mais por o servidor mikrotik só liberaria o acesso aos IP's/mac's cadastrados e amarrados no servidor.

    Me corrija se eu estiver errado.