ایجاد black list پس از چندین بار login failure در روتر

**sadegh7** · 2015-05-19, 07:38 AM

دوستان همانطور که می دونید زمانی که login اشتباه در میکروتیک داشته باشیم در قسمت log ثبت میشه.
به چه صورت می تونیم در فایروال قانونی بنویسم که اگر سه بار لوگین ناموفق وجود داشت لیستی را ایجاد کنه و اون IP ها را درون آن لیست قرار بده و در نهایت بلاکشون کنه.

همچین رولی هم نوشتم اما لیست Black list ایجاد نمیشه تا بشه اونها را reject کرد.

add action=add-src-to-address-list address-list=Black list address-list-timeout=5d chain=output content="login failure" limit=1/1m,3
add action=reject chain=input src-address-list=Black list
add action=reject chain=forward src-address-list=Black list

موضوعات مشابه:

**mehrzadmo** · 2015-05-19, 09:01 AM

از این روش استفاده کن البته این روش برای ssh هست :

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \comment="drop ssh brute forcers" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=10d comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \ address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

کلا تزش اینه که میگه اگر شما سه بار پشت سر هم توی یه زمان کوتاه به یه سرویس درخواست بدی حتما یه منظوری داری . البته باید مواظب باشی این روی پروتکل های پرمصرف استفاده نشه . مثل وب ، دی ان اس و ...

روش خودت مشکلش اینه که الزاما تمام پروتکل ها جوابی مثل جواب شما رو بر نمی گردونن به درخواست دهنده . بعد از قضا ssh عزیز هم که رمزنگاری شده است و شما دسترسی به محتواش رو نداری . اما روشت مثلا برای ftp کار می کنه :
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
comment="drop ftp brute forcers"

add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m

add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
address-list=ftp_blacklist address-list-timeout=3h

پیشنهاد می کنم بر عکس این روش رو عمل کنی ! پورت ناکینگ بهت اجازه میده که مشخص کنی اگر شخصی کار خاصی رو انجام داد یه سرویس براش برای مدت محدودی باز شه . مثلا اگر یک نفر ای پی x.x.x.x رو که داخل شبکه من هست رو مثلا ده بار پینگ کرد اجازه بده ده دقیقه از طریق ssh به روتر من وصل شه .
Port Knocking - MikroTik Wiki

**sadegh7** · 2015-05-19, 11:05 AM

ممنون از پاسخ شما
امکان استفاده از ICMP Count توی تنظیمات رول در روتر وجود داره؟
به طور مثال اگر 8 بسته ICMP وارد روتر شد اون IP Address را بگذار توی یک لیست

**mehrzadmo** · 2015-05-19, 11:56 AM

نه باید از روش بالا استفاده کنی . دقت کن چطوری داره سه بار تلاش رو تشخیص میده همون کار رو برای این هم انجام بده .

**kbt2003** · 2015-05-19, 12:10 PM

نوشته اصلی توسط mehrzadmo

اما روشت مثلا برای ftp کار می کنه :
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
comment="drop ftp brute forcers"

add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m

add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
address-list=ftp_blacklist address-list-timeout=3h

ضمن تشکر این مورد برای بنده هم کاربرد داره اگر راهنمایی کنید ممنون میشم.
یک سرور لینوکس تو شبکه دارم که خیلی روی اون brute force برای ftp انجام میشه. در خصوص مثال بالا تعداد دفعات ورود اشتباه کدوم قسمت تعریف شده؟ 3 بار کمه بنده نیاز دام که به 10 بار تغییر بدم و آیا این قانون برای سرویس ftp خارج از روتر هم به همین شکله؟

**mojtaba461** · 2015-05-19, 01:06 PM

نوشته اصلی توسط kbt2003

ضمن تشکر این مورد برای بنده هم کاربرد داره اگر راهنمایی کنید ممنون میشم.
یک سرور لینوکس تو شبکه دارم که خیلی روی اون brute force برای ftp انجام میشه. در خصوص مثال بالا تعداد دفعات ورود اشتباه کدوم قسمت تعریف شده؟ 3 بار کمه بنده نیاز دام که به 10 بار تغییر بدم و آیا این قانون برای سرویس ftp خارج از روتر هم به همین شکله؟

مثال جناب مقدس 3 آدرس لیست داره و به ازای هرکدوم یک رول فایروال. برای 10 بار باید 10 آدرس لیست و 10 رول تعریف کنید. دو رول اول هم ثابت میمونه فقط src-address-list رول دوم باید بشه آخرین آدرس لیستتون که میشه دهمی.

منظورتون از ftp خارج از روتر چیه؟ روی لینوکس میتونید با ip tables پیاده کنید.

**peymansham** · 2015-05-19, 03:41 PM

همونطور که قبلا عرض کردم این حملات بروت فروس به صورت باتنت هست و به اکثر پورت های باز حمله میکنه..............

این حملات هدفمند نیست ولی برای اطمینان بهتره پورت را مسدود و یا به یک آی پی خاص محدود کنید.(بهترین روش)

**mehrzadmo** · 2015-05-19, 04:25 PM

خیلی روی اون brute force برای ftp انجام میشه.

من فکر می کنم بهتره از پورت ناکینگ استفاده کنید .

**kbt2003** · 2015-05-19, 07:00 PM

نوشته اصلی توسط mojtaba461

منظورتون از ftp خارج از روتر چیه؟ روی لینوکس میتونید با ip tables پیاده کنید.

منظورم اینه که دسترسی به ftp خود روتر مد نظرم نیست و اگر بشه از فایر وال میکروتیک برای کل شبکه استفاده کنم چون 3 تا ftp سرور دیگه هم دارم و اگر بشه که attacker از خود روتر جلوش گرفته بشه خیلی بهتره تا اینکه روی هر سرور یکی یکی رولز تعریف کنم.

نوشته اصلی توسط mehrzadmo

من فکر می کنم بهتره از پورت ناکینگ استفاده کنید .

آیا برای سرور ftp عمومی که کاربران از طریق اینترنت متصل می شن مناسبه؟

**mehrzadmo** · 2015-05-19, 08:35 PM

نه

**kbt2003** · 2015-05-20, 10:21 AM

اگر فرض بر این باشه که روتر مشکل cpu نداره و فایروال جدا هم امکانش نیست. استفاده به عنوان فایروال شبکه برای جلوگیری از brute force روی سرورهای مختلف و سرویسهایی مثل ftp چطور؟ آیا امکان پذیره؟

موضوع: ایجاد black list پس از چندین بار login failure در روتر

پیوند

ابزارهای موضوع

نمایش

ایجاد black list پس از چندین بار login failure در روتر

کلمات کلیدی در جستجوها:

برچسب برای این موضوع

مجوز های ارسال و ویرایش