9 comments to Kako onemogućiti SSH napade na Mikrotik

  • Vasilije

    Šta ako napadač uradi ARP preusmerenje i počne da presreće sesiju i čeka da se korisnik uloguje na neki neenkriptovani servis, na primer na FTP?
    Znajući korisnike, vrlo je velika šansa da će neko od njih staviti istu šifru za sve servise.

  • Možda na prvi pogled teško izvodljivo, ali nije nemoguće.
    Napadač može da sazna IP adresu kompa sa kojeg će se administrator logovati tako što će se upustiti u e-mail dopisivanje sa tim adminom i onda će je dobiti iz zaglavlja poruka. Posle toga mu preostaje da nađe dobro mesto sa kojeg će da se poveže na internet, tako da ovome što manje uspori vezu.

    • Ne ide to tako. ARP spufing se može izvesti samo ako je napadač fizički povezan na isti mrežni interfejs rutera preko koga žrtva dolazi na taj ruter.

      Napad se može izvesti iz lokalne mreže što je opet velika otežavajuća okolnost s obzirom da ne može neko tek tako da se poveže na lokalnu mrežu.

  • Vasilije

    Zato sam i rekao da mora da nađe pravo mesto. ARP ne mora nužno da se radi na LAN mreži. Bitno je da postoji bar jedan zajednički subnet.

  • Goran

    Peđa, meni je ovo resilo problem zlonamernih napada
    ssh_conn_level_0
    ssh_conn_level_1
    ssh_conn_level_2
    i lista adresa u kojoj sam ubacio primecene IP adresa koji pokusavaju skriptama da „provale sifru“.
    Veliko Hvala, i pozdrav iz KG-a.
    Goran.

  • Duki

    Peđa, zar pravila ne bi trebalo da idu naopako?
    Od drop kao prvo pravilo, pa sve do ssh_conn_level_0 kao poslednje?
    U suprotnom, ako se ne varam, svaka nova konekcija će da se zaustavi uvek samo na prvom pravilu a ostala neće da procesira jer po definiciji: „When processing a chain, rules are taken from the chain in the order they are listed there from top to bottom. If a packet matches the criteria of the rule, then the specified action is performed on it, and no more rules are processed in that chain (the exception is the passthrough action). If a packet has not matched any rule within the chain, then it is accepted.“

  • U ovom slučaju, mislim da redosled pravila čak i nije bitan jer svako pravilo hvata samo određene konekcije a ne sve, a te koje hvata treba da uhvati u svakom slučaju.

    Na primer drop pravilo čak i ako stoji prvo neće uzimati u obzir sve konekcije nego samo one kojima je src-address-list=ssh_conn_level_2

    Redosled koji je primenjen je zgodan jer je logičan sled akcija pa je lak za praćenje.

  • Duki

    Ako stoji od 0 do drop, zar se ne dešava sledeće:
    1. Nova konekcija -> Ispunjava uslove i upada u listu 0;
    Pošto je kriterijum pravila zadovoljen, ne procesira se dalje.

    2. Nova konekcija -> Ispunjava uslove i upada u listu 0;
    Pošto je kriterijum pravila zadovoljen, ne procesira se dalje.

    3. Nova konekcija -> Ispunjava uslove i upada u listu 0;
    Pošto je kriterijum pravila zadovoljen, ne procesira se dalje.
    i tako u krug…
    ———————–
    A sa obrnutim pravilima, kada je drop prvo:

    1. Nova konekcija -> Da li je u ssh_conn_level_2 -> Nije -> Sledeće pravilo -> Da li je u ssh_conn_level_1 -> Nije -> Sledeće pravilo -> Da li je u ssh_conn_level_0 -> Nije -> Sledeće pravilo -> Postavi u ssh_conn_level_0

    2. Nova konekcija -> Da li je u ssh_conn_level_2 -> Nije -> Sledeće pravilo -> Da li je u ssh_conn_level_1 -> Nije -> Sledeće pravilo -> Da li je u ssh_conn_level_0 -> JESTE -> Postavi u ssh_conn_level_1

    3. Nova konekcija -> Da li je u ssh_conn_level_2 -> Nije -> Sledeće pravilo -> Da li je u ssh_conn_level_1 -> JESTE -> Postavi u ssh_conn_level_2

    4. Nova konekcija -> Da li je u ssh_conn_level_2 -> JESTE -> Drop

    Mislim da tako treba da ide, ali još sam nov :)
    Pozdrav!

Leave a Reply

 

 

 

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>


− 2 = šest