Alguem tentando acessar meu mk

[netsnape]

apareçe esse menssanem oque quer dizer 'system erro critical user root from 107.22.85.139 via ssh'

é alguem tentando acessar meu mk?

[trober]

apareçe esse menssanem oque quer dizer 'system erro critical user root from 107.22.85.139 via ssh'

é alguem tentando acessar meu mk?

Sim, é uma tentativa, sem sucesso, de acesso ao serviço SSH do RouterOS, originado pelo host 107.22.85.139, com o uso do usuário root.

Saudações,

Trober

[netsnape]

Acabei de desativar o telnet e o shh ..agora eles nao invadem mais neah?

[trober]

Acabei de desativar o telnet e o shh ..agora eles nao invadem mais neah?

Usando SSH e Telnet, não mais.

Saudações,

Trober

[RickBrito]

amigo, nao a necessidade de desativar o ssh, basta vc criar um firewall bloqueando o IP invasor, pois vai que vc precisa acessar ela por ssh e vai estar bloqueada, muitas das vezes nao é uma pessoa que conheçe sua rede qe esta tentando invadir, é apenas um mané com bot rodando um script para tentar invadir certas faixas de IP, isso aconteçe direto aqui, basta dropar esses IPs. abrço

[lcesargc]

estou com um problema parecido(aproventando a carona) andei olhando o log do molden, um tompson tg508.ESTAO TENTANDO ACESSAR MINHA REDE USANDO PORTSCAM, GOSTARIA DE SABER COMO ME LIVRAR DISSO, POIS TA APARECENDO ISSO JA FAIS 1 MES.
GOSTARIA DE SABER O SIGNIFICADO DO QUE SUBLINHEI EM VERMELHO.


[Tue Jun 12 18:17:21 2012]:[FW] **Port Scan Detected** 200.180.4.79 -> 187.55.227.10, deny 200.180.4.79 for 5 mins
[Tue Jun 12 18:27:24 2012]:[FW] **Port Scan Detected** 200.180.4.79 -> 187.55.227.10, deny 200.180.4.79 for 5 mins
[
[Tue Jun 12 19:06:24 2012]:[FW] **Port Scan Detected** 201.14.187.125 -> 187.55.227.10, deny 201.14.187.125 for 5 mins
[Tue Jun 12 19:12:10 2012]:[FW] **Port Scan Detected** 201.14.187.125 -> 187.55.227.10, deny 201.14.187.125 for 5 mins
[Tue Jun 12 19:35:03 2012]:[FW] **Port Scan Detected** 201.14.187.125 -> 187.55.227.10, deny 201.14.187.125 for 5 mins
[Tue Jun 12 20:17:20 2012]:[POE] Rcv unknown ETHERTYPE_PPPOE_SESSS(64623)
[Tue Jun 12 20:22:56 2012]:[POE] Rcv unknown ETHERTYPE_PPPOE_SESSS(579)
[Tue Jun 12 20:26:47 2012]:[POE] Rcv unknown ETHERTYPE_PPPOE_SESSS(2239)

OBRIGADO

[demattos]

amigo, nao a necessidade de desativar o ssh, basta vc criar um firewall bloqueando o IP invasor, pois vai que vc precisa acessar ela por ssh e vai estar bloqueada, muitas das vezes nao é uma pessoa que conheçe sua rede qe esta tentando invadir, é apenas um mané com bot rodando um script para tentar invadir certas faixas de IP, isso aconteçe direto aqui, basta dropar esses IPs. abrço

eu faco o seguinte, troco a porta de acesso, de 22 ou 23 para outra porta

exemplo
set ssh disabled=no port=2200
set telnet disabled=yes port=23 ( este vc pode desativar nao sera usado ja que vc usa o ssh )

assim ja acaba com este scanner que tentam acessa-lo

[jailtonnetlink]

Boa tarde,
qual e versão do seu mk?

[trober]

eu faco o seguinte, troco a porta de acesso, de 22 ou 23 para outra porta

Normalmente alterar a porta padrão ajuda bastante, uma vez que varreduras fazem tentativas de conexão em portas conhecidas (well known ports[1]). Mas ainda assim, você "está na vitrine", conforme já citado em outro tópico, pelo colega Jorge Aldo.

isso é segurança por obfuscação.

Particularmente, não deixo nenhum derivado de GNU/Linux (no qual inclui-se o MikroTik RouterOS) exposto publicamente. Estabeleço um túnel até um FreeBSD na borda, onde de lá, se o endereço do requisitante não estiver filtrado no IDS (Intrusion Detection System), então serão negociadas as credenciais. Havendo uma sequência de X erros em Y segundos, o endereço do requisitante entra em Z minutos "na geladeira".

Resumindo, para chegar até os MikroTik RouterOS, você precisa validar as credenciais do túnel primeiro, e sem errar mais que X vezes em Y segundos.

Tem "corajoso" que faz isso com MikroTik RouterOS, usando Port Knocking[2]. Enfim, o medo é subjetivo e proporcional ao quanto cada um dimensiona a iminente ameaça.

[1] http://www.iana.org/assignments/port-numbers
[2] http://wiki.mikrotik.com/wiki/Port_Knocking

Saudações,

Trober

[jailtonnetlink]

Boa tarde trober,
o que fiquei digamos (curioso) e que já tive uma versão crackeada (não dizendo que o do amigo seja),com ip vindo da mesma região,agora me vem uma duvida pode ser algum serviço do cliente batendo na porta do Mikrotik?

Ashburn, VA 20147, EUA

[trober]

Oi Jailton

Desculpe-me, mas não entendi essa parte:

...pode ser algum serviço do cliente batendo na porta do Mikrotik?

Abraço,

Trober

[jailtonnetlink]

sera possível algum serviço do cliente que se utiliza porta ssh,esteja caindo na porta ssh do mk do amigo ai?
por que tanto pode ser invasão,como também um serviço que o cliente esta utilizando.

mas melhor prevenir do que remediar!!hehe

[cooloverdrive]

Particularmente, não deixo nenhum derivado de GNU/Linux (no qual inclui-se o MikroTik RouterOS) exposto publicamente. Estabeleço um túnel até um FreeBSD na borda, onde de lá, se o endereço do requisitante não estiver filtrado no IDS (Intrusion Detection System), então serão negociadas as credenciais. Havendo uma sequência de X erros em Y segundos, o endereço do requisitante entra em Z minutos "na geladeira".

Resumindo, para chegar até os MikroTik RouterOS, você precisa validar as credenciais do túnel primeiro, e sem errar mais que X vezes em Y segundos.

Olá Trober.

Poderia passar mais detalhes dessa implementação?
O que deve ser protegido em uma rede roteada?

Pergunta boba, se eu desativar todos os serviços do meu router, como alguém pode "atacá-lo"? DDOS?

[trober]

Olá Trober.

Olá.

Poderia passar mais detalhes dessa implementação?

Alguns detalhes sim. Para SSH uso SSHGuard[1]. O funcionamento remete às funcionalidades do Fail2Ban[2], mas sem a restrição de licença. Para VPN, desenvolvi em Python[3] um serviço que monitora os logs e envia comandos para o firewall. Devido às restrições de licença, não posso usar Suricata[4] nem Snort[5].

O que deve ser protegido em uma rede roteada?

É uma pergunta bem ampla, e é difícil dar uma "receita de bolo". Mas pode começar por previnir[6][7] o fluxo de alguns tipos ICMP, com instruções de redirecionamento, negar alguns sequências de TCPFlags.

Em roteamento dinâmico OSPF, você deve ter em mente que sua tabela de rota pode ser sequestrada[8]. Tem como prevenir

Enfim, não é tão simples assim, mas já é um bom começo, principalmente nos casos quando não se tem nada.

Pergunta boba, se eu desativar todos os serviços do meu router, como alguém pode "atacá-lo"? DDOS?

A página 9, do link[9], tem a resposta para você.

Espero ter sido útil a todos.

[1] http://www.sshguard.net
[2] http://www.fail2ban.org
[3] http://www.python.org
[4] https://redmine.openinfosecfoundatio.../show/suricata
[5] http://www.snort.org
[6] http://serverfault.com/questions/643...er-conf-kernel
[7] http://www.mebsd.com/freebsd-securit...ysctl-101.html
[8] http://media.blackhat.com/bh-us-11/N...ble_Slides.pdf
[9] http://www.recife.pe.gov.br/pr/secfi...prelPagano.ppt

Saudações,

Trober

[Ollenini]

RickBrito por favor voce poderia descrever como seria esta regra exemplo

[Ollenini]

seria isso

add action=drop chain=forward comment="BLOQUEIO Tentativa invasao" \
disabled=no dst-address=000.000.000.00

[cooloverdrive]

Olá.

Alguns detalhes sim. Para SSH uso SSHGuard[1]. O funcionamento remete às funcionalidades do Fail2Ban[2], mas sem a restrição de licença. Para VPN, desenvolvi em Python[3] um serviço que monitora os logs e envia comandos para o firewall. Devido às restrições de licença, não posso usar Suricata[4] nem Snort[5].


É uma pergunta bem ampla, e é difícil dar uma "receita de bolo". Mas pode começar por previnir[6][7] o fluxo de alguns tipos ICMP, com instruções de redirecionamento, negar alguns sequências de TCPFlags.

Em roteamento dinâmico OSPF, você deve ter em mente que sua tabela de rota pode ser sequestrada[8]. Tem como prevenir

Enfim, não é tão simples assim, mas já é um bom começo, principalmente nos casos quando não se tem nada.



A página 9, do link[9], tem a resposta para você.

Espero ter sido útil a todos.

[1] http://www.sshguard.net
[2] http://www.fail2ban.org
[3] http://www.python.org
[4] https://redmine.openinfosecfoundatio.../show/suricata
[5] http://www.snort.org
[6] http://serverfault.com/questions/643...er-conf-kernel
[7] http://www.mebsd.com/freebsd-securit...ysctl-101.html
[8] http://media.blackhat.com/bh-us-11/N...ble_Slides.pdf
[9] http://www.recife.pe.gov.br/pr/secfi...prelPagano.ppt

Saudações,

Trober

Obrigado pela resposta. Links muito bons. Desculpa a demora em responder.

Meus routers são Mikrotik, já usava as recomendações do Maia [1].
Agora, depois do que comentou, estou pensando seriamente em usar um Freebsd para ser firewall.

Vi seu tópico [2] sobre black-holes, há algo novo?

Para acesso externo, pensando em desativar o ssh uma boa solução seria VPN com L2TP/IPSEC ?





[1] http://mum.mikrotik.com/presentations/PL10/maia.pdf
[2] https://under-linux.org/f97/redistri...o-ospf-153931/

[trober]

Obrigado pela resposta. Links muito bons. Desculpa a demora em responder.

Meus routers são Mikrotik, já usava as recomendações do Maia [1].
Agora, depois do que comentou, estou pensando seriamente em usar um Freebsd para ser firewall.

Vi seu tópico sobre black-holes, há algo novo?

Opa.

Não há novidades, no blackhole server, via OSPF. Até pela razão de, conforme comentei na mensagem[1], ser mais elegante usar communities do BGP, em vez de filtros OSPF.

Funciona, isso é fato. Entretanto, é muito mais elegante trabalhar com Communities em BGP.

Para acesso externo, pensando em desativar o ssh uma boa solução seria VPN com L2TP/IPSEC ?

É uma alternativa. Você pode usar FreeBSD[2] e MikroTik nessa solução[3].

[1] https://under-linux.org/f97/redistri...31/#post604730
[2] http://www.freebsd.org/doc/en/books/handbook/ipsec.html
[3] http://wiki.mikrotik.com/wiki/Manual...eer.27s_config

Saudações,

Trober