Página 5 de 5 PrimeiroPrimeiro 12345
+ Responder ao Tópico



  1. Olá,


    Esse tópico é esta muito divertido.
    Esse tipo de log de tentativa de acesso existe desde antes de inventarem a internet, quando trabalhei pela primeira vez com conectividade, era sysop em uma BBS, e já lidavamos com tentativas de acesso não autorizado, somente os cyberssauros vão saber que diabo é isso...


    Algumas observações:


    1: Mudar o serviço de porta NÃO ADIANTA NADA, pois em uma varredura na sua rede irá mostras todas as portas abertas. SSH rodando na porta 2222 ao invés de rodar na 22... isso não resolve nada..
    2: Desative os serviço que permitam acesso remoto EXTERNO. Pode parecer estranho, mas acessar de fora com privilégios nunca será uma boa ideia.
    3: Acesso root externo por ssh jamais, em ambiente posix é pior que bater na mãe por causa de mistura.
    4: Não adianta registrar e compartilhar lista negra de IP's, pois são maquinas bot infectadas o PC da padaria que esta atacando seu servidor esta com vírus só vai parar quando for formatado e reinstalado, na semana seguinte quando o padeiro acessar o site de pornografia , ela vai atacar você novamente. A menos que não se importe que seu roteador gaste processamento em uma blacklist de 1 Tera.


    Como nunca usei Mikrotik não sei como ele lida com o processamento destas requisições.


    Eu consideraria a instalação de um firewall/IDS, de preferência em ambiente *nix, pois o potencial de gerenciamento é imenso.
    Existe inúmeras formas de se colocar um firewall dentro da rede, desde um firewall invisível que nem ip tem, firewall DNS em camadas, entre outras muitas possibilidades.


    Só uma ideia: Imagine um servidor que não tenha o ssh funcionando, você envia um email ao servidor solicitando que ele inicia o serviço ssh, você acessa, usa o que for preciso e ele finaliza o serviço. Desta forma o serviço só fica ativo quando você precisar entrar, não sei se no Mikrotik isso seria possível mas em linux é só seguir uma receita de bolo.



    Somente quem já prestou suporte a empresas que foram invadidas conhece o drama real, é muito mais muito fácil prevenir que tentar reconstruir anos de trabalho em poucas horas.

    Parece meio exagerado, mas sou assim mesmo, a paranoia é minha melhor amiga.

    []'s

    KP

  2. A paranoia é minha melhor amiga, foi o melhor rsrsrs...

    Mais é isso mesmo amigo que você falou... Assino em baixo, os serviços aqui estão desativados. Porém eu queria mesmo era saber se era algo específico voltado ao Mikrotik entende.

    Abraço!



  3. Citação Postado originalmente por Kernel Panic Ver Post
    Olá,


    Esse tópico é esta muito divertido.
    Esse tipo de log de tentativa de acesso existe desde antes de inventarem a internet, quando trabalhei pela primeira vez com conectividade, era sysop em uma BBS, e já lidavamos com tentativas de acesso não autorizado, somente os cyberssauros vão saber que diabo é isso...


    Algumas observações:


    1: Mudar o serviço de porta NÃO ADIANTA NADA, pois em uma varredura na sua rede irá mostras todas as portas abertas. SSH rodando na porta 2222 ao invés de rodar na 22... isso não resolve nada..
    2: Desative os serviço que permitam acesso remoto EXTERNO. Pode parecer estranho, mas acessar de fora com privilégios nunca será uma boa ideia.
    3: Acesso root externo por ssh jamais, em ambiente posix é pior que bater na mãe por causa de mistura.
    4: Não adianta registrar e compartilhar lista negra de IP's, pois são maquinas bot infectadas o PC da padaria que esta atacando seu servidor esta com vírus só vai parar quando for formatado e reinstalado, na semana seguinte quando o padeiro acessar o site de pornografia , ela vai atacar você novamente. A menos que não se importe que seu roteador gaste processamento em uma blacklist de 1 Tera.


    Como nunca usei Mikrotik não sei como ele lida com o processamento destas requisições.


    Eu consideraria a instalação de um firewall/IDS, de preferência em ambiente *nix, pois o potencial de gerenciamento é imenso.
    Existe inúmeras formas de se colocar um firewall dentro da rede, desde um firewall invisível que nem ip tem, firewall DNS em camadas, entre outras muitas possibilidades.


    Só uma ideia: Imagine um servidor que não tenha o ssh funcionando, você envia um email ao servidor solicitando que ele inicia o serviço ssh, você acessa, usa o que for preciso e ele finaliza o serviço. Desta forma o serviço só fica ativo quando você precisar entrar, não sei se no Mikrotik isso seria possível mas em linux é só seguir uma receita de bolo.



    Somente quem já prestou suporte a empresas que foram invadidas conhece o drama real, é muito mais muito fácil prevenir que tentar reconstruir anos de trabalho em poucas horas.

    Parece meio exagerado, mas sou assim mesmo, a paranoia é minha melhor amiga.

    []'s

    KP
    Não é exatamente o que você esta falando porém estou enviando o link de um artigo interessante que vai servir pra muita gente.

    http://mum.mikrotik.com/presentations/US10/discher.pdf

    estarei implantando e efetivando testes, e assim que tiver os resultados satisfatórios posto a todos.

    Port Knocking for Security







Tópicos Similares

  1. Tentativa de Login por SSH
    Por jamers0n no fórum Redes
    Respostas: 21
    Último Post: 19-12-2015, 17:41
  2. Mensagens de erro em tentativas de login.
    Por Elfos no fórum Redes
    Respostas: 0
    Último Post: 17-08-2011, 08:54
  3. Tentativa de login via SSH remota
    Por luock no fórum Redes
    Respostas: 4
    Último Post: 26-02-2008, 11:17
  4. tentativas de login ssh
    Por Valois no fórum Segurança
    Respostas: 11
    Último Post: 19-12-2006, 10:25
  5. Respostas: 1
    Último Post: 08-11-2005, 21:09

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L