Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. #21

    Padrão Re: Tentativas de Login Por Telnet E SSH

    Olá,


    Esse tópico é esta muito divertido.
    Esse tipo de log de tentativa de acesso existe desde antes de inventarem a internet, quando trabalhei pela primeira vez com conectividade, era sysop em uma BBS, e já lidavamos com tentativas de acesso não autorizado, somente os cyberssauros vão saber que diabo é isso...


    Algumas observações:


    1: Mudar o serviço de porta NÃO ADIANTA NADA, pois em uma varredura na sua rede irá mostras todas as portas abertas. SSH rodando na porta 2222 ao invés de rodar na 22... isso não resolve nada..
    2: Desative os serviço que permitam acesso remoto EXTERNO. Pode parecer estranho, mas acessar de fora com privilégios nunca será uma boa ideia.
    3: Acesso root externo por ssh jamais, em ambiente posix é pior que bater na mãe por causa de mistura.
    4: Não adianta registrar e compartilhar lista negra de IP's, pois são maquinas bot infectadas o PC da padaria que esta atacando seu servidor esta com vírus só vai parar quando for formatado e reinstalado, na semana seguinte quando o padeiro acessar o site de pornografia , ela vai atacar você novamente. A menos que não se importe que seu roteador gaste processamento em uma blacklist de 1 Tera.


    Como nunca usei Mikrotik não sei como ele lida com o processamento destas requisições.


    Eu consideraria a instalação de um firewall/IDS, de preferência em ambiente *nix, pois o potencial de gerenciamento é imenso.
    Existe inúmeras formas de se colocar um firewall dentro da rede, desde um firewall invisível que nem ip tem, firewall DNS em camadas, entre outras muitas possibilidades.


    Só uma ideia: Imagine um servidor que não tenha o ssh funcionando, você envia um email ao servidor solicitando que ele inicia o serviço ssh, você acessa, usa o que for preciso e ele finaliza o serviço. Desta forma o serviço só fica ativo quando você precisar entrar, não sei se no Mikrotik isso seria possível mas em linux é só seguir uma receita de bolo.



    Somente quem já prestou suporte a empresas que foram invadidas conhece o drama real, é muito mais muito fácil prevenir que tentar reconstruir anos de trabalho em poucas horas.

    Parece meio exagerado, mas sou assim mesmo, a paranoia é minha melhor amiga.

    []'s

    KP

  2. #22
    Deus acima de tudo!
    Ingresso
    Jul 2009
    Localização
    Paulista - Pernambuco
    Posts
    414

    Padrão Re: Tentativas de Login Por Telnet E SSH

    A paranoia é minha melhor amiga, foi o melhor rsrsrs...

    Mais é isso mesmo amigo que você falou... Assino em baixo, os serviços aqui estão desativados. Porém eu queria mesmo era saber se era algo específico voltado ao Mikrotik entende.

    Abraço!



  3. #23

    Padrão Re: Tentativas de Login Por Telnet E SSH

    Citação Postado originalmente por Kernel Panic Ver Post
    Olá,


    Esse tópico é esta muito divertido.
    Esse tipo de log de tentativa de acesso existe desde antes de inventarem a internet, quando trabalhei pela primeira vez com conectividade, era sysop em uma BBS, e já lidavamos com tentativas de acesso não autorizado, somente os cyberssauros vão saber que diabo é isso...


    Algumas observações:


    1: Mudar o serviço de porta NÃO ADIANTA NADA, pois em uma varredura na sua rede irá mostras todas as portas abertas. SSH rodando na porta 2222 ao invés de rodar na 22... isso não resolve nada..
    2: Desative os serviço que permitam acesso remoto EXTERNO. Pode parecer estranho, mas acessar de fora com privilégios nunca será uma boa ideia.
    3: Acesso root externo por ssh jamais, em ambiente posix é pior que bater na mãe por causa de mistura.
    4: Não adianta registrar e compartilhar lista negra de IP's, pois são maquinas bot infectadas o PC da padaria que esta atacando seu servidor esta com vírus só vai parar quando for formatado e reinstalado, na semana seguinte quando o padeiro acessar o site de pornografia , ela vai atacar você novamente. A menos que não se importe que seu roteador gaste processamento em uma blacklist de 1 Tera.


    Como nunca usei Mikrotik não sei como ele lida com o processamento destas requisições.


    Eu consideraria a instalação de um firewall/IDS, de preferência em ambiente *nix, pois o potencial de gerenciamento é imenso.
    Existe inúmeras formas de se colocar um firewall dentro da rede, desde um firewall invisível que nem ip tem, firewall DNS em camadas, entre outras muitas possibilidades.


    Só uma ideia: Imagine um servidor que não tenha o ssh funcionando, você envia um email ao servidor solicitando que ele inicia o serviço ssh, você acessa, usa o que for preciso e ele finaliza o serviço. Desta forma o serviço só fica ativo quando você precisar entrar, não sei se no Mikrotik isso seria possível mas em linux é só seguir uma receita de bolo.



    Somente quem já prestou suporte a empresas que foram invadidas conhece o drama real, é muito mais muito fácil prevenir que tentar reconstruir anos de trabalho em poucas horas.

    Parece meio exagerado, mas sou assim mesmo, a paranoia é minha melhor amiga.

    []'s

    KP
    Não é exatamente o que você esta falando porém estou enviando o link de um artigo interessante que vai servir pra muita gente.

    http://mum.mikrotik.com/presentations/US10/discher.pdf

    estarei implantando e efetivando testes, e assim que tiver os resultados satisfatórios posto a todos.

    Port Knocking for Security

  4. #24