+ Responder ao Tópico



  1. #1

    Padrão Socorro!

    Boa noite, alguém poderia me dar uma ajuda, já a algum tempo estou tendo reversos tipos de tentativa de invasão, já tomei algumas providências, porém não sei se são as melhores, ultimamente está acontecendo tentativas de confecções pelo Dude que não usoClique na imagem para uma versão maior

Nome:	         Screenshot_20181023-184934_Chrome.jpeg
Visualizações:	101
Tamanho: 	30,3 KB
ID:      	69043

  2. #2
    Avatar de vagnerricardo
    Ingresso
    Sep 2008
    Localização
    São Gonçalo - RJ
    Posts
    411
    Posts de Blog
    2

    Padrão Re: Socorro!

    Então...não existe padrão em relação a segurança. no entanto você pode tomar algumas providencias, evitar vpn...trocar portas de serviço. não usar usuario padrão, são algumas delas. obviamente não citei todas aqui e tambem acho que pedir pra que enviem uma "receita de bolo" pra você não é muito inteligente..

    analise de onde vem as tentativas e vá "fechando" as brechas até deixar sua rede segura.

  3. #3

    Padrão Re: Socorro!

    Bom dia, então, já coloquei regras no firewall para identificar escaneamento de portas bloqueando esse ips, desativei serviços na ip>serviços, troquei a porta de acesso via www, cetei ip local para a estão via winbox, não tenho vpn, tenho dúvidas em firewall>serviços ports! Desativei ftp e pptp...... Clique na imagem para uma versão maior

Nome:	         Screenshot_20181024-082955_Chrome.jpeg
Visualizações:	188
Tamanho: 	26,4 KB
ID:      	69047

  4. #4
    Suporte em Mikrotik Avatar de Genis
    Ingresso
    Nov 2006
    Localização
    INTERIOR-SP
    Posts
    1.613

    Padrão Re: Socorro!

    um dica eu tive um problema parecido com isso na minha, como eu tenho ASN, tirei print das tentativas e mandei para o registro BR, 2 dias depois recebi a confirmação que vou cancelado o ataque.

  5. #5

    Padrão Re: Socorro!

    Olá,

    Como já foi mencionado acima, é difícil ter uma receita pronta para cada caso, mas eu também estava sofrendo com isso, então fui em /ip services e desabilitei tudo que eu não usava e alterei as demais partas para outras fora do padrão, outra coisa foi aplicar o script que achei aqui mesmo no forum que bloqueia automaticamente as tentativas de ataque ssh, vou compartilhar abaixo:

    /ip firewall filter add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes

    /ip firewall filter add action=drop chain=input comment="DROP SSH FORCA BRUTA ( BLACK LIST )" \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_blacklist

    /ip firewall filter add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=4w2d chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3

    /ip firewall filter add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=10m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2

    /ip firewall filter add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=10m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1

    /ip firewall filter add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=10m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp

    /ip firewall filter add action=drop chain=input comment="BLOQUEIO SSH - PORTA 22-23" disabled=no \
    dst-port=22-23 protocol=tcp

    Espero ter ajudado, se alguém tiver uma solução melhor ou alguma coisa a acrescentar seria muito bem vindo.

  6. #6

    Padrão Re: Socorro!

    aqui resolvi simprismene atualizando a rb para versao mais recente , mudando as portas padrao e porta wimbox,, acabou problema e algumas rb coloquei pra acessar somente o ip de meu pppoe

  7. #7

    Padrão Re: Socorro!

    Infelizmente , depois de fazer algumas mudanças de segurança ainda estou tendo tentativas de invasão, alguém está tendo a mesma tentativa de invasão de DUDE?!Clique na imagem para uma versão maior

Nome:	         20181027_125623.jpeg
Visualizações:	79
Tamanho: 	9,9 KB
ID:      	69063

  8. #8

    Padrão Re: Socorro!

    A regra de drop das portas 22 e 23 funcionam, mesmo eu já te do desativado os serviços de ssh e telnet

  9. #9

    Padrão

    Crie uma address list com os Ips/Ranges que quer que possuam acesso ao equipamento.
    Crie as regras de port knock, porém ao invés de bloquear as conexões, coloque para adicionar o src-address na lista que permite o acesso.
    Depois crie uma regra que dropa todo o restante.
    Após criar esse conjunto de regras não tive mais problemas.

    Script que fiz na minha RB:

    /ip firewall filter
    add action=accept chain=input comment="Aceita Conexoes Estabelecidas, Relacionadas" connection-state=established,related
    add action=add-src-to-address-list address-list=Rede address-list-timeout=1h chain=input comment="Adiciona IP na Lista de Rede Liberada" connection-state=new dst-port=3000 in-interface=ether1 protocol=tcp src-address-list=knock02
    add action=add-src-to-address-list address-list=knock02 address-list-timeout=10s chain=input comment="Knock 02" connection-state=new dst-port=4000 in-interface=ether1 protocol=tcp src-address-list=knock01
    add action=add-src-to-address-list address-list=knock01 address-list-timeout=10s chain=input comment="Knock 01" connection-state=new dst-port=5000 in-interface=ether1 protocol=tcp
    add action=drop chain=input comment="Drop se nao estiver na Lista de Rede liberada" src-address-list=!Rede



    Com essas regras, quando vou acessar de algum local que não esteja nas redes permitidas, eu abro pelo navegador e digito o IP:5000, IP:4000 e IP:3000, após isso o IP será adicionado na lista de permitidos por 1hora e terei acesso irrestrito ao equipamento a partir daquele IP.

    Se necessário, adapte o script a sua necessidade.

  10. #10

    Padrão Re: Socorro!

    Muito obrigado, melhor resposta p as maiorias de tentativas de invasão!