سلام
دوستان چند وقتی هست به میکروتیک ما از 2 تا ای پی داره حمله میشه چیکارش کنم؟؟؟/از کجا میشه فهمید کیه؟؟؟
به هر حال توصیه های امنیتیتون چیه؟؟
موضوعات مشابه:
- چگونگی طراحی شبکه؟؟؟؟؟
- پسورد میکروتیک یادم رفته چیکار کنم؟؟؟؟؟
- با كنترل اينترنت در شبكه داخلي مشكل دارم ؟؟؟؟؟
- هل من ترحيب حار ؟؟؟؟؟
- مشكل پهناي باند؟؟؟؟؟
ویرایش توسط barbyboy : 2014-12-21 در ساعت 10:21 AM
نام کاربری را از مواردی مثل root یا admin به چیز دیگری تغییر دهید.
از بخش IP -> Services سرویس هایی که استفاده نمی کنید را غیر فعال کنید. سرویس هایی را هم که استفاده می کنید به رنج مشخصی محدود کنید.
رمز عبور ساده انتخاب نکنید.
قبل از میکروتیک از یک Firewall دیگر که قابلیت IP یا ID دارد استفاده نمایید.
هر چند وقت یکبار لاگ ها را مانیتور کنید.
علاوه بر مواردی که دوستمون اشاره کردند ، پورت سرویس های مورد استفاده رو هم حتما عوض کنید .
ضمنا پیگیر اون ip ها بشید ببینید از کجاست . همینطور میتونید از طریق isp تون هم اقدام کنید تا از اونجا براتون بلاکش کنند تا پهنای باندتون هم اشغال نشه .
البته در این خصوص بحث زیاده که با کمی جستجو میتونید به نتایج خوبی برسید .
چطوری پورتها رو عوض کنم؟؟ مشکلی ایجاد نمیشه تو سیستم؟؟نوشته اصلی توسط al1p0ur
فککنم به isp هم بگم تا ببنده این ای پی هارو بد نباشه...من از پارس انلاین سرویس میگیرم انجام میدن"؟؟؟
چرا ادرس ها رو مارک کردین ؟ از IP داخل داره بهتون حمله میشه ؟ از یه آدرس داره بهتون حمله میشه چند ادرس ؟
جناب علیپور در ایران معمولا Provider ها این کار رو نمیکنند (Provider دوست نداره یه بار اضافی بیوفته روی دستگاههاشون) .در موردی هم که از Source آدرس های مختلفی استفاده بشه عملا سمت provider این کار نشدنیه .
یادمه قبلا یکی از دوستان یه رول نوشته بود در میکروتیک که اگه کسی چند بار Try کرد که SSH بزنه یک Access list نوشته بشه و SSH رو برای اون IP ببنده .
در صورتیکه تعداد IP هایی که حمله می کنند کم باشه میتونه گزینه خوبی باشه.
اینکه ISP ها اینکارو میکنن یا نه من نمیدونم .
یادمون باشه بلاک کردن ، رول نوشتن و ... همه این تنظیمات نمیتونه جلوی اشغال شدن پهنای باند رو بگیره .
ضمنا این Attack ها معمولا توسط روباتها انجام میشه و اونها در صورتیکه پورتی رو باز ببینند شروع به حمله میکنن . در غیر اینصورت کاری ندارند با شما و میرن سراغ IP های دیگر و...
با سلامسلام
دوستان چند وقتی هست به میکروتیک ما از 2 تا ای پی داره حمله میشه چیکارش کنم؟؟؟/از کجا میشه فهمید کیه؟؟؟
به هر حال توصیه های امنیتیتون چیه؟؟
دوست عزیز من فکر میکنم به میکروتیک شما brute force میشه و برای جلوگیری از این راهنما و لینک استفاده کنید :
Bruteforce login prevention - MikroTik Wiki
نکته :
این نوع حملات و هر نوع حمله ای در محیط مجازی طبیعی هست در مورد ssh فقط شما دسترسی به ssh رو هم محدود کنید و از آی پی خاصی قادر به دسترسی باشد. علاوه بر این از پسورد مناسب استفاده کنید.
bl2z7
حرف شما کاملا درست هست در صورتیکه حمله از نوع DOS و یا DDOS باشه .که اونو اگه Provider از RTBH حمایت کنه قابل حل هست.
اما در اینجا نوع حمله فرق میکنه این حمله Brute force هسن و میخواد پسورد رو حدس بزنه .
این مورد رو ما هر روزه داریم ! روی تمام روتر ها مون ! هر جوجه هکری خدمت ما و روترها ابراز محبت می کنه !!! منم مثل دوستان پیشنهاد می کنم یا سرویس رو غیر فعال کنید یا پورتشو عوض کنید یا اینکه از پورت ناکینگ استفاده کنید . برای اطلاعات بیشتر هم این تاپیک رو مطالعه کنید :
امنیت در میکروتیک (بخش اول ) - وبلاگ های تخصصی - Persian Networks
پیرو صحبت دوستان عزیز:
چند وقتی بود برای ما هم این اتفاقات پیش میومد که با بررسی ای پی متوجه شدیم که از کشور همیشه در صحنه چین هست.
اغلب این حملات از نوع بروتی هست.
پیشنهادات دوستان در مورد تغییر پورت و یوزر و پسوورد بد نیست ، اما این کارها فقط زمان کاره هکر رو افزایش میده و گرنه هنوز پهنای باند داره اشغال میشه.
به نظر من بهترین روش :
پستن پورتهای غیر قابل استفاده و همچنین ساخت White list برای دسترسی ای پی های مجاز هست.
البته اگه توانایی راه اندازی یه IDS رو دارید ، خیلی پیشنهاد میشه .
البته راه اندازی یک فایروال قبل از میکروتیک هم فکر خوبیه.
موفق باشید.
ممنون از همه دوستان عزیز
دوستان با توجه به اینکه شرکت ما اطلاعات مهمی داره و پهناوره....فککنم اگه فایروال بتونم بزارم بهتره حالا هزینه بر هم باشه عیب نداره
فقط باید چیکارکنم بره راه اندازی فایروال؟؟؟
sshرو چطوری ببندم بستنش تو ریموت زدن به سرورو اینا تاثیر نداره؟
به نظر من اولین قدم در تهیه فایروال تحقیق و بررسی است. منظور این است که دقیقاً با فایروال می خواهید چه کاری انجام دهید. سپس مشخص می شود چه نوع فایروالی برای شما مناسب است.
stateful firewall یا stateless firewall
سخت افزاری یا نرم افزاری
لایسنس دار یا بدون لایسنس
ایرانی یا خارجی
امکانات جانبی
و ...
- - - ادامه - - -
برای بحث ریموت هم به دنبال گزینه ای باشید که AAA داشته باشد.
یه راه راحت و امن اینه که روی روترتون vpn server راه اندازی کنید و براش رنج private در نظر بگیرید مثلا 192.168.1.0/24 . بعد برای تمام سرویس های ssh , telnet , web و ... از قسمت ip > service فقط اجازه دسترسی با اون رنج private رو بدید. بعد هرکس که بخواد به اون سرویس دسترسی داشته باشه باید اول به سرور vpn بزنه. مثال:
کد:/ip service set ssh address=192.168.1.0/24 /ip service set telnet address=192.168.1.0/24کد:/ip service set ssh disabled=yes
ویرایش توسط mojtaba461 : 2014-12-21 در ساعت 09:18 PM
دوستان توجه کنید اینجور حملات کار دولت کمونیست چین هستند(با رهگیری ip)
بنده الان بیش از +100 روتر، سرور و ... زیر دستمه هرکدومش که یک سری پورت خاص روش بازه این حملات صورت می گیره
این حملات بروت فورس به صورت غیر هدفمند و شناسی هستند و درصورتی که پسورد امن بگذارین خبری نیست
عمدا پسورد یکی از میکروتیک ها را گذاشتم admin 1234 طرف تونست پسوردشو پیدا کنه ولی تاحالا ندیدم login کند
بروت فورسر بات نت این عزیزان بر اساس پورت پوزر را تعریف می کنند
مثلا برای ssh یوزر root و telnet یوزر admin
توجه:
این حملات به پورت های زیر روزانه انجام می شود
اگه لاگ سرورتون رو بررسی کنید به حرف من خواهید رسید
البته بررسی auth fails سرور به آسونی میکروتیک نیست
1433 ms sql با یوزر sa
3306 my sql با root
3389 remote desktop
23 telnet
22 ssh
135 139 445 ms share service
برای جلوگیری از این حملات پورت 23 را بر روی روتر اصلی باز کنید و rule زیر را بر روی فایروال بنویسید
همه ip هایی که 3 بار یوزر اشتباه وارد میکنند مسدود کند
در این صورت دست بات نت از کل شبکه کشیده میشود
دوستانی که به دنبال امن کردن روتر و یا سروسشون هستن پیغام خصوصی بدن
نمونه این حملات:
20 هزار بار(!) تو چند روز درخواست اشتباه به سمت سرور ارسال شده!
ip مربوط به کشور عزیز و برادر کمونیست چین هستند. (خدا لعنتشون کنه)
ویرایش توسط peymansham : 2014-12-22 در ساعت 01:11 PM
مجوز های ارسال و ویرایش
51سپاس
LinkBack URL
About LinkBacks
