+ Responder ao Tópico



  1. #1

    Padrão Alguem tentando acessar meu mk

    apareçe esse menssanem oque quer dizer 'system erro critical user root from 107.22.85.139 via ssh'

    é alguem tentando acessar meu mk?

  2. #2

    Padrão Re: Alguém tentando acessar meu MikroTik

    Citação Postado originalmente por netsnape Ver Post
    apareçe esse menssanem oque quer dizer 'system erro critical user root from 107.22.85.139 via ssh'

    é alguem tentando acessar meu mk?
    Sim, é uma tentativa, sem sucesso, de acesso ao serviço SSH do RouterOS, originado pelo host 107.22.85.139, com o uso do usuário root.

    Saudações,

    Trober

  3. #3

    Padrão Re: Alguem tentando acessar meu mk

    Acabei de desativar o telnet e o shh ..agora eles nao invadem mais neah?

  4. #4

    Padrão Re: Alguém tentando acessar meu MikroTik

    Citação Postado originalmente por netsnape Ver Post
    Acabei de desativar o telnet e o shh ..agora eles nao invadem mais neah?
    Usando SSH e Telnet, não mais.

    Saudações,

    Trober

  5. #5

    Padrão Re: Alguem tentando acessar meu mk

    amigo, nao a necessidade de desativar o ssh, basta vc criar um firewall bloqueando o IP invasor, pois vai que vc precisa acessar ela por ssh e vai estar bloqueada, muitas das vezes nao é uma pessoa que conheçe sua rede qe esta tentando invadir, é apenas um mané com bot rodando um script para tentar invadir certas faixas de IP, isso aconteçe direto aqui, basta dropar esses IPs. abrço

  6. #6

    Padrão Re: Alguem tentando acessar meu mk

    estou com um problema parecido(aproventando a carona) andei olhando o log do molden, um tompson tg508.ESTAO TENTANDO ACESSAR MINHA REDE USANDO PORTSCAM, GOSTARIA DE SABER COMO ME LIVRAR DISSO, POIS TA APARECENDO ISSO JA FAIS 1 MES.
    GOSTARIA DE SABER O SIGNIFICADO DO QUE SUBLINHEI EM VERMELHO.


    [Tue Jun 12 18:17:21 2012]:[FW] **Port Scan Detected** 200.180.4.79 -> 187.55.227.10, deny 200.180.4.79 for 5 mins
    [Tue Jun 12 18:27:24 2012]:[FW] **Port Scan Detected** 200.180.4.79 -> 187.55.227.10, deny 200.180.4.79 for 5 mins
    [
    [Tue Jun 12 19:06:24 2012]:[FW] **Port Scan Detected** 201.14.187.125 -> 187.55.227.10, deny 201.14.187.125 for 5 mins
    [Tue Jun 12 19:12:10 2012]:[FW] **Port Scan Detected** 201.14.187.125 -> 187.55.227.10, deny 201.14.187.125 for 5 mins
    [Tue Jun 12 19:35:03 2012]:[FW] **Port Scan Detected** 201.14.187.125 -> 187.55.227.10, deny 201.14.187.125 for 5 mins
    [Tue Jun 12 20:17:20 2012]:[POE] Rcv unknown ETHERTYPE_PPPOE_SESSS(64623)
    [Tue Jun 12 20:22:56 2012]:[POE] Rcv unknown ETHERTYPE_PPPOE_SESSS(579)
    [Tue Jun 12 20:26:47 2012]:[POE] Rcv unknown ETHERTYPE_PPPOE_SESSS(2239)

    OBRIGADO

  7. #7
    Analista de Suporte em TI Avatar de demattos
    Ingresso
    Jul 2011
    Localização
    Criciuma/SC
    Posts
    1.923
    Posts de Blog
    3

    Padrão Re: Alguem tentando acessar meu mk

    Citação Postado originalmente por RickBrito Ver Post
    amigo, nao a necessidade de desativar o ssh, basta vc criar um firewall bloqueando o IP invasor, pois vai que vc precisa acessar ela por ssh e vai estar bloqueada, muitas das vezes nao é uma pessoa que conheçe sua rede qe esta tentando invadir, é apenas um mané com bot rodando um script para tentar invadir certas faixas de IP, isso aconteçe direto aqui, basta dropar esses IPs. abrço

    eu faco o seguinte, troco a porta de acesso, de 22 ou 23 para outra porta

    exemplo
    set ssh disabled=no port=2200
    set telnet disabled=yes port=23 ( este vc pode desativar nao sera usado ja que vc usa o ssh )

    assim ja acaba com este scanner que tentam acessa-lo

  8. #8

    Padrão Re: Alguem tentando acessar meu mk

    Boa tarde,
    qual e versão do seu mk?

  9. #9

    Padrão Re: Alguém tentando acessar meu MikroTik

    Citação Postado originalmente por demattos Ver Post
    eu faco o seguinte, troco a porta de acesso, de 22 ou 23 para outra porta
    Normalmente alterar a porta padrão ajuda bastante, uma vez que varreduras fazem tentativas de conexão em portas conhecidas (well known ports[1]). Mas ainda assim, você "está na vitrine", conforme já citado em outro tópico, pelo colega Jorge Aldo.

    Citação Postado originalmente por JorgeAldo Ver Post
    isso é segurança por obfuscação.
    Particularmente, não deixo nenhum derivado de GNU/Linux (no qual inclui-se o MikroTik RouterOS) exposto publicamente. Estabeleço um túnel até um FreeBSD na borda, onde de lá, se o endereço do requisitante não estiver filtrado no IDS (Intrusion Detection System), então serão negociadas as credenciais. Havendo uma sequência de X erros em Y segundos, o endereço do requisitante entra em Z minutos "na geladeira".

    Resumindo, para chegar até os MikroTik RouterOS, você precisa validar as credenciais do túnel primeiro, e sem errar mais que X vezes em Y segundos.

    Tem "corajoso" que faz isso com MikroTik RouterOS, usando Port Knocking[2]. Enfim, o medo é subjetivo e proporcional ao quanto cada um dimensiona a iminente ameaça.

    [1] http://www.iana.org/assignments/port-numbers
    [2] http://wiki.mikrotik.com/wiki/Port_Knocking

    Saudações,

    Trober

  10. #10

    Padrão Re: Alguem tentando acessar meu mk

    Boa tarde trober,
    o que fiquei digamos (curioso) e que já tive uma versão crackeada (não dizendo que o do amigo seja),com ip vindo da mesma região,agora me vem uma duvida pode ser algum serviço do cliente batendo na porta do Mikrotik?
    Ashburn, VA 20147, EUA

  11. #11

    Padrão Re: Alguém tentando acessar meu MikroTik

    Oi Jailton

    Desculpe-me, mas não entendi essa parte:

    Citação Postado originalmente por jailtonnetlink Ver Post
    ...pode ser algum serviço do cliente batendo na porta do Mikrotik?
    Abraço,

    Trober

  12. #12

    Padrão Re: Alguem tentando acessar meu mk

    sera possível algum serviço do cliente que se utiliza porta ssh,esteja caindo na porta ssh do mk do amigo ai?
    por que tanto pode ser invasão,como também um serviço que o cliente esta utilizando.

    mas melhor prevenir do que remediar!!hehe

  13. #13

    Padrão Re: Alguém tentando acessar meu MikroTik

    Citação Postado originalmente por trober Ver Post
    Particularmente, não deixo nenhum derivado de GNU/Linux (no qual inclui-se o MikroTik RouterOS) exposto publicamente. Estabeleço um túnel até um FreeBSD na borda, onde de lá, se o endereço do requisitante não estiver filtrado no IDS (Intrusion Detection System), então serão negociadas as credenciais. Havendo uma sequência de X erros em Y segundos, o endereço do requisitante entra em Z minutos "na geladeira".

    Resumindo, para chegar até os MikroTik RouterOS, você precisa validar as credenciais do túnel primeiro, e sem errar mais que X vezes em Y segundos.
    Olá Trober.

    Poderia passar mais detalhes dessa implementação?
    O que deve ser protegido em uma rede roteada?

    Pergunta boba, se eu desativar todos os serviços do meu router, como alguém pode "atacá-lo"? DDOS?

  14. #14

    Padrão Re: Alguém tentando acessar meu MikroTik

    Citação Postado originalmente por cooloverdrive Ver Post
    Olá Trober.
    Olá.
    Citação Postado originalmente por cooloverdrive Ver Post
    Poderia passar mais detalhes dessa implementação?
    Alguns detalhes sim. Para SSH uso SSHGuard[1]. O funcionamento remete às funcionalidades do Fail2Ban[2], mas sem a restrição de licença. Para VPN, desenvolvi em Python[3] um serviço que monitora os logs e envia comandos para o firewall. Devido às restrições de licença, não posso usar Suricata[4] nem Snort[5].

    Citação Postado originalmente por cooloverdrive Ver Post
    O que deve ser protegido em uma rede roteada?
    É uma pergunta bem ampla, e é difícil dar uma "receita de bolo". Mas pode começar por previnir[6][7] o fluxo de alguns tipos ICMP, com instruções de redirecionamento, negar alguns sequências de TCPFlags.

    Em roteamento dinâmico OSPF, você deve ter em mente que sua tabela de rota pode ser sequestrada[8]. Tem como prevenir

    Enfim, não é tão simples assim, mas já é um bom começo, principalmente nos casos quando não se tem nada.

    Citação Postado originalmente por cooloverdrive Ver Post
    Pergunta boba, se eu desativar todos os serviços do meu router, como alguém pode "atacá-lo"? DDOS?
    A página 9, do link[9], tem a resposta para você.

    Espero ter sido útil a todos.

    [1] http://www.sshguard.net
    [2] http://www.fail2ban.org
    [3] http://www.python.org
    [4] https://redmine.openinfosecfoundatio.../show/suricata
    [5] http://www.snort.org
    [6] http://serverfault.com/questions/643...er-conf-kernel
    [7] http://www.mebsd.com/freebsd-securit...ysctl-101.html
    [8] http://media.blackhat.com/bh-us-11/N...ble_Slides.pdf
    [9] http://www.recife.pe.gov.br/pr/secfi...prelPagano.ppt

    Saudações,

    Trober

  15. #15

    Padrão Re: Alguem tentando acessar meu mk

    RickBrito por favor voce poderia descrever como seria esta regra exemplo

  16. #16

    Padrão Re: Alguem tentando acessar meu mk

    seria isso

    add action=drop chain=forward comment="BLOQUEIO Tentativa invasao" \
    disabled=no dst-address=000.000.000.00

  17. #17

    Padrão Re: Alguém tentando acessar meu MikroTik

    Citação Postado originalmente por trober Ver Post
    Olá.

    Alguns detalhes sim. Para SSH uso SSHGuard[1]. O funcionamento remete às funcionalidades do Fail2Ban[2], mas sem a restrição de licença. Para VPN, desenvolvi em Python[3] um serviço que monitora os logs e envia comandos para o firewall. Devido às restrições de licença, não posso usar Suricata[4] nem Snort[5].


    É uma pergunta bem ampla, e é difícil dar uma "receita de bolo". Mas pode começar por previnir[6][7] o fluxo de alguns tipos ICMP, com instruções de redirecionamento, negar alguns sequências de TCPFlags.

    Em roteamento dinâmico OSPF, você deve ter em mente que sua tabela de rota pode ser sequestrada[8]. Tem como prevenir

    Enfim, não é tão simples assim, mas já é um bom começo, principalmente nos casos quando não se tem nada.



    A página 9, do link[9], tem a resposta para você.

    Espero ter sido útil a todos.

    [1] http://www.sshguard.net
    [2] http://www.fail2ban.org
    [3] http://www.python.org
    [4] https://redmine.openinfosecfoundatio.../show/suricata
    [5] http://www.snort.org
    [6] http://serverfault.com/questions/643...er-conf-kernel
    [7] http://www.mebsd.com/freebsd-securit...ysctl-101.html
    [8] http://media.blackhat.com/bh-us-11/N...ble_Slides.pdf
    [9] http://www.recife.pe.gov.br/pr/secfi...prelPagano.ppt

    Saudações,

    Trober
    Obrigado pela resposta. Links muito bons. Desculpa a demora em responder.

    Meus routers são Mikrotik, já usava as recomendações do Maia [1].
    Agora, depois do que comentou, estou pensando seriamente em usar um Freebsd para ser firewall.

    Vi seu tópico [2] sobre black-holes, há algo novo?

    Para acesso externo, pensando em desativar o ssh uma boa solução seria VPN com L2TP/IPSEC ?





    [1] http://mum.mikrotik.com/presentations/PL10/maia.pdf
    [2] https://under-linux.org/f97/redistri...o-ospf-153931/

  18. #18

    Padrão Re: Alguém tentando acessar meu MikroTik

    Citação Postado originalmente por cooloverdrive Ver Post
    Obrigado pela resposta. Links muito bons. Desculpa a demora em responder.

    Meus routers são Mikrotik, já usava as recomendações do Maia [1].
    Agora, depois do que comentou, estou pensando seriamente em usar um Freebsd para ser firewall.

    Vi seu tópico sobre black-holes, há algo novo?
    Opa.

    Não há novidades, no blackhole server, via OSPF. Até pela razão de, conforme comentei na mensagem[1], ser mais elegante usar communities do BGP, em vez de filtros OSPF.

    Citação Postado originalmente por trober Ver Post
    Funciona, isso é fato. Entretanto, é muito mais elegante trabalhar com Communities em BGP.
    Citação Postado originalmente por cooloverdrive Ver Post
    Para acesso externo, pensando em desativar o ssh uma boa solução seria VPN com L2TP/IPSEC ?
    É uma alternativa. Você pode usar FreeBSD[2] e MikroTik nessa solução[3].

    [1] https://under-linux.org/f97/redistri...31/#post604730
    [2] http://www.freebsd.org/doc/en/books/handbook/ipsec.html
    [3] http://wiki.mikrotik.com/wiki/Manual...eer.27s_config

    Saudações,

    Trober