apareçe esse menssanem oque quer dizer 'system erro critical user root from 107.22.85.139 via ssh'
é alguem tentando acessar meu mk?
apareçe esse menssanem oque quer dizer 'system erro critical user root from 107.22.85.139 via ssh'
é alguem tentando acessar meu mk?
Acabei de desativar o telnet e o shh ..agora eles nao invadem mais neah?
amigo, nao a necessidade de desativar o ssh, basta vc criar um firewall bloqueando o IP invasor, pois vai que vc precisa acessar ela por ssh e vai estar bloqueada, muitas das vezes nao é uma pessoa que conheçe sua rede qe esta tentando invadir, é apenas um mané com bot rodando um script para tentar invadir certas faixas de IP, isso aconteçe direto aqui, basta dropar esses IPs. abrço
estou com um problema parecido(aproventando a carona) andei olhando o log do molden, um tompson tg508.ESTAO TENTANDO ACESSAR MINHA REDE USANDO PORTSCAM, GOSTARIA DE SABER COMO ME LIVRAR DISSO, POIS TA APARECENDO ISSO JA FAIS 1 MES.
GOSTARIA DE SABER O SIGNIFICADO DO QUE SUBLINHEI EM VERMELHO.
[Tue Jun 12 18:17:21 2012]:[FW] **Port Scan Detected** 200.180.4.79 -> 187.55.227.10, deny 200.180.4.79 for 5 mins
[Tue Jun 12 18:27:24 2012]:[FW] **Port Scan Detected** 200.180.4.79 -> 187.55.227.10, deny 200.180.4.79 for 5 mins
[
[Tue Jun 12 19:06:24 2012]:[FW] **Port Scan Detected** 201.14.187.125 -> 187.55.227.10, deny 201.14.187.125 for 5 mins
[Tue Jun 12 19:12:10 2012]:[FW] **Port Scan Detected** 201.14.187.125 -> 187.55.227.10, deny 201.14.187.125 for 5 mins
[Tue Jun 12 19:35:03 2012]:[FW] **Port Scan Detected** 201.14.187.125 -> 187.55.227.10, deny 201.14.187.125 for 5 mins
[Tue Jun 12 20:17:20 2012]:[POE] Rcv unknown ETHERTYPE_PPPOE_SESSS(64623)
[Tue Jun 12 20:22:56 2012]:[POE] Rcv unknown ETHERTYPE_PPPOE_SESSS(579)
[Tue Jun 12 20:26:47 2012]:[POE] Rcv unknown ETHERTYPE_PPPOE_SESSS(2239)
OBRIGADO
Boa tarde,
qual e versão do seu mk?
Normalmente alterar a porta padrão ajuda bastante, uma vez que varreduras fazem tentativas de conexão em portas conhecidas (well known ports[1]). Mas ainda assim, você "está na vitrine", conforme já citado em outro tópico, pelo colega Jorge Aldo.
Particularmente, não deixo nenhum derivado de GNU/Linux (no qual inclui-se o MikroTik RouterOS) exposto publicamente. Estabeleço um túnel até um FreeBSD na borda, onde de lá, se o endereço do requisitante não estiver filtrado no IDS (Intrusion Detection System), então serão negociadas as credenciais. Havendo uma sequência de X erros em Y segundos, o endereço do requisitante entra em Z minutos "na geladeira".
Resumindo, para chegar até os MikroTik RouterOS, você precisa validar as credenciais do túnel primeiro, e sem errar mais que X vezes em Y segundos.
Tem "corajoso" que faz isso com MikroTik RouterOS, usando Port Knocking[2]. Enfim, o medo é subjetivo e proporcional ao quanto cada um dimensiona a iminente ameaça.
[1] http://www.iana.org/assignments/port-numbers
[2] http://wiki.mikrotik.com/wiki/Port_Knocking
Saudações,
Trober
Boa tarde trober,
o que fiquei digamos (curioso) e que já tive uma versão crackeada (não dizendo que o do amigo seja),com ip vindo da mesma região,agora me vem uma duvida pode ser algum serviço do cliente batendo na porta do Mikrotik?
Ashburn, VA 20147, EUA
sera possível algum serviço do cliente que se utiliza porta ssh,esteja caindo na porta ssh do mk do amigo ai?
por que tanto pode ser invasão,como também um serviço que o cliente esta utilizando.
mas melhor prevenir do que remediar!!hehe
Olá.
Alguns detalhes sim. Para SSH uso SSHGuard[1]. O funcionamento remete às funcionalidades do Fail2Ban[2], mas sem a restrição de licença. Para VPN, desenvolvi em Python[3] um serviço que monitora os logs e envia comandos para o firewall. Devido às restrições de licença, não posso usar Suricata[4] nem Snort[5].
É uma pergunta bem ampla, e é difícil dar uma "receita de bolo". Mas pode começar por previnir[6][7] o fluxo de alguns tipos ICMP, com instruções de redirecionamento, negar alguns sequências de TCPFlags.
Em roteamento dinâmico OSPF, você deve ter em mente que sua tabela de rota pode ser sequestrada[8]. Tem como prevenir
Enfim, não é tão simples assim, mas já é um bom começo, principalmente nos casos quando não se tem nada.
A página 9, do link[9], tem a resposta para você.
Espero ter sido útil a todos.
[1] http://www.sshguard.net
[2] http://www.fail2ban.org
[3] http://www.python.org
[4] https://redmine.openinfosecfoundatio.../show/suricata
[5] http://www.snort.org
[6] http://serverfault.com/questions/643...er-conf-kernel
[7] http://www.mebsd.com/freebsd-securit...ysctl-101.html
[8] http://media.blackhat.com/bh-us-11/N...ble_Slides.pdf
[9] http://www.recife.pe.gov.br/pr/secfi...prelPagano.ppt
Saudações,
Trober
RickBrito por favor voce poderia descrever como seria esta regra exemplo
seria isso
add action=drop chain=forward comment="BLOQUEIO Tentativa invasao" \
disabled=no dst-address=000.000.000.00
Obrigado pela resposta. Links muito bons. Desculpa a demora em responder.
Meus routers são Mikrotik, já usava as recomendações do Maia [1].
Agora, depois do que comentou, estou pensando seriamente em usar um Freebsd para ser firewall.
Vi seu tópico [2] sobre black-holes, há algo novo?
Para acesso externo, pensando em desativar o ssh uma boa solução seria VPN com L2TP/IPSEC ?
[1] http://mum.mikrotik.com/presentations/PL10/maia.pdf
[2] https://under-linux.org/f97/redistri...o-ospf-153931/
Opa.
Não há novidades, no blackhole server, via OSPF. Até pela razão de, conforme comentei na mensagem[1], ser mais elegante usar communities do BGP, em vez de filtros OSPF.
É uma alternativa. Você pode usar FreeBSD[2] e MikroTik nessa solução[3].
[1] https://under-linux.org/f97/redistri...31/#post604730
[2] http://www.freebsd.org/doc/en/books/handbook/ipsec.html
[3] http://wiki.mikrotik.com/wiki/Manual...eer.27s_config
Saudações,
Trober