+ Responder ao Tópico



  1. #1

    Padrão Logs do mikrotik

    boa tarde, algum poderia me ajudar, estou tendo estes logs em minha RB, será que deve ser tentativas de invasão?
    agradeço a todos.


    Clique na imagem para uma versão maior

Nome:	         mk.png
Visualizações:	434
Tamanho: 	163,5 KB
ID:      	56918

  2. #2

    Padrão Re: Logs do mikrotik

    oi Arthur ja estou colocando eles no black list, mas sabe como é né ficamos com medo. pois vai saber ja faz uma semana que estão tentando.

  3. #3

    Padrão Re: Logs do mikrotik

    kkk, cara do céu
    no meu servidor tem tentativas de invasão diárias, coisa de louco, ips diferentes, da china estados unidos,
    o segredo é por uma boa senha e um deixa que tentem.

  4. #4

    Padrão Re: Logs do mikrotik

    Citação Postado originalmente por fatos Ver Post
    kkk, cara do céu
    no meu servidor tem tentativas de invasão diárias, coisa de louco, ips diferentes, da china estados unidos,
    o segredo é por uma boa senha e um deixa que tentem.
    o segredo é mudar as portas padrão.

  5. #5

    Padrão Re: Logs do mikrotik

    Citação Postado originalmente por johnylopes Ver Post
    boa tarde, algum poderia me ajudar, estou tendo estes logs em minha RB, será que deve ser tentativas de invasão?
    agradeço a todos.


    Clique na imagem para uma versão maior

Nome:	         mk.png
Visualizações:	434
Tamanho: 	163,5 KB
ID:      	56918
    O jeito é mudar as portas... ter uma senha forte e fazer monitoramento da blacklist...

    ou restringir o acesso SSH somente para o bloco da sua rede.

  6. #6

    Padrão Re: Logs do mikrotik

    Vou agregar mais uma opção, particularmente é a que eu uso, não mudo a porta padrão em nem faço blacklist, faço uma white list com os ips que eu considero ter permissão de acesso, e drop em todo o resto...

  7. #7

    Padrão Re: Logs do mikrotik

    Citação Postado originalmente por felipeandrade55 Ver Post
    Vou agregar mais uma opção, particularmente é a que eu uso, não mudo a porta padrão em nem faço blacklist, faço uma white list com os ips que eu considero ter permissão de acesso, e drop em todo o resto...
    é uma boa ideia tambem, porem receber os ataques custa processamento de CPU... o ideal é nem receber os ataques

  8. #8

    Padrão Re: Logs do mikrotik

    Citação Postado originalmente por Arthur Bernardes Ver Post
    Isso parece um problema iminente de scanners, mudando a porta resolveria mesmo?
    Arthur... os Scanners ja vao em cima de dispositivos com portas abertas... sem senha e etc... acho que eles nao testam todas as portas para determinado serviço... se SSH usa porta 22 eles ja caem matando na porta 22 até achar 1 IP que está com brecha...

  9. #9

    Padrão Re: Logs do mikrotik

    Alisson, pro processador, custa o mesmo processar e dropar um pacote na porta 22 ou na 2222, independente do serviço estar rodando ou não, o firewall intercepta antes de chegar ao serviço, então o custo é o mesmo, e vc ganha por ter um firewall mais enxuto, sem address-list cheia de ips.

  10. #10

    Padrão Re: Logs do mikrotik

    Citação Postado originalmente por felipeandrade55 Ver Post
    Alisson, pro processador, custa o mesmo processar e dropar um pacote na porta 22 ou na 2222, independente do serviço estar rodando ou não, o firewall intercepta antes de chegar ao serviço, então o custo é o mesmo, e vc ganha por ter um firewall mais enxuto, sem address-list cheia de ips.
    Mas se o cara atacar a porta 22 e o ssh estiver na porta 2222 não irá gerar log no terminal...

  11. #11

    Padrão Re: Logs do mikrotik

    Então, na verdade se tiver firewall, tmb não gera log, como falei acima, o firewall intercepta antes de chegar no servidor SSH, então não gera log independente da porta.

  12. #12
    Alex Rock Avatar de alexrock
    Ingresso
    Jan 2006
    Localização
    S. J. do Rio Preto-SP
    Posts
    834

    Padrão Re: Logs do mikrotik

    Faço ao seguinte aqui (de forma resumida): uso portas diferentes da padrão, desativo o que não uso e tudo que chega em determinados portas já jogo na blacklist por 40 dias.
    Dessa forma, depois de cair na armadilha o cara não vai ter acesso a mais nada, nem mesmo ao serviço rodando na porta alternativa.
    Monitoro as portas 21, 22, 25, 53, 8080, 3128, 3389, 5900.
    No momento, essa address list já tem 4000 ips.

  13. #13

    Padrão Re: Logs do mikrotik

    Citação Postado originalmente por alexrock Ver Post
    Faço ao seguinte aqui (de forma resumida): uso portas diferentes da padrão, desativo o que não uso e tudo que chega em determinados portas já jogo na blacklist por 40 dias.
    Dessa forma, depois de cair na armadilha o cara não vai ter acesso a mais nada, nem mesmo ao serviço rodando na porta alternativa.
    Monitoro as portas 21, 22, 25, 53, 8080, 3128, 3389, 5900.
    No momento, essa address list já tem 4000 ips.
    Isso é uma otima forma de fazer tambem... posta as regras ai se puder pra ajudar o pessoal

  14. #14
    Alex Rock Avatar de alexrock
    Ingresso
    Jan 2006
    Localização
    S. J. do Rio Preto-SP
    Posts
    834

    Padrão Re: Logs do mikrotik

    Essas regra bloqueiam o input e forward para hosts internos dos ips da lista negra. Ela deve ficar no início, na aba filter:

    add action=drop chain=input comment="Drop input lista negra" in-interface=ether1 src-address-list=portscanner
    add action=drop chain=forward comment="Drop FW lista negra" src-address-list=portscanner

    Essa regra deve ficar no final das outras, também na aba filter, ela efetivamente jogas os ips na address list "portscanner":

    add action=add-src-to-address-list address-list=portscanner address-list-timeout=5w5d chain=input comment="Adiciona src_adr para lista negra" dst-port=21-25,53,81,3128,3389,5900,8080 in-interface=ether1 protocol=tcp src-address-list=!trustee

    Sendo ether1 onde chega seu link. Se for pppoe tem que selecionar a interface virtual pppoe.

    Nessa address list "trustee" coloco ips para burlar esse bloqueio, como por exemplo ip fixo de algum local onde uso para acessar de fora, somente para evitar de fica trancado para fora por engano.

    Não gosto muito de dar receita de bolo, por isso não inclui o /ip firewall filter, acho importante entender o que esta sendo feito.

    Para testar é so usar o http://www.yougetsignal.com/tools/open-ports/ e primeiro testar a porta real do serviço. Vai dar open port. Depois vc colocar para testar a 22, por exemplo. Vai dar closed. Ai vc testa de novo, se der certo, vai dar closed na porta correta. É só conferir na address list que vai estar o ip do site lá.

  15. #15

    Padrão Re: Logs do mikrotik

    Boa tarde, amigo estou postando aqui para vc se proteger com scaners que ficam rondando em sua rede é só setar nas interfaces.




    http://eniomarcelobuza.blogspot.com.br/2012/06/bloqueando-port-scanners.html