11 comments to Како онемогућити SSH нападе на Микротик

  • Vasilije

    Šta ako napadač uradi ARP preusmerenje i počne da presreće sesiju i čeka da se korisnik uloguje na neki neenkriptovani servis, na primer na FTP?
    Znajući korisnike, vrlo je velika šansa da će neko od njih staviti istu šifru za sve servise.

  • Možda na prvi pogled teško izvodljivo, ali nije nemoguće.
    Napadač može da sazna IP adresu kompa sa kojeg će se administrator logovati tako što će se upustiti u e-mail dopisivanje sa tim adminom i onda će je dobiti iz zaglavlja poruka. Posle toga mu preostaje da nađe dobro mesto sa kojeg će da se poveže na internet, tako da ovome što manje uspori vezu.

    • Не иде то тако. АРП спуфинг се може извести само ако је нападач физички повезан на исти мрежни интерфејс рутера преко кога жртва долази на тај рутер.

      Напад се може извести из локалне мреже што је опет велика отежавајућа околност с обзиром да не може неко тек тако да се повеже на локалну мрежу.

  • Vasilije

    Zato sam i rekao da mora da nađe pravo mesto. ARP ne mora nužno da se radi na LAN mreži. Bitno je da postoji bar jedan zajednički subnet.

  • Goran

    Peđa, meni je ovo resilo problem zlonamernih napada
    ssh_conn_level_0
    ssh_conn_level_1
    ssh_conn_level_2
    i lista adresa u kojoj sam ubacio primecene IP adresa koji pokusavaju skriptama da „provale sifru“.
    Veliko Hvala, i pozdrav iz KG-a.
    Goran.

  • Duki

    Peđa, zar pravila ne bi trebalo da idu naopako?
    Od drop kao prvo pravilo, pa sve do ssh_conn_level_0 kao poslednje?
    U suprotnom, ako se ne varam, svaka nova konekcija će da se zaustavi uvek samo na prvom pravilu a ostala neće da procesira jer po definiciji: „When processing a chain, rules are taken from the chain in the order they are listed there from top to bottom. If a packet matches the criteria of the rule, then the specified action is performed on it, and no more rules are processed in that chain (the exception is the passthrough action). If a packet has not matched any rule within the chain, then it is accepted.“

  • У овом случају, мислим да редослед правила чак и није битан јер свако правило хвата само одређене конекције а не све, а те које хвата треба да ухвати у сваком случају.

    На пример дроп правило чак и ако стоји прво неће узимати у обзир све конекције него само оне којима је src-address-list=ssh_conn_level_2

    Редослед који је примењен је згодан јер је логичан след акција па је лак за праћење.

  • Duki

    Ako stoji od 0 do drop, zar se ne dešava sledeće:
    1. Nova konekcija -> Ispunjava uslove i upada u listu 0;
    Pošto je kriterijum pravila zadovoljen, ne procesira se dalje.

    2. Nova konekcija -> Ispunjava uslove i upada u listu 0;
    Pošto je kriterijum pravila zadovoljen, ne procesira se dalje.

    3. Nova konekcija -> Ispunjava uslove i upada u listu 0;
    Pošto je kriterijum pravila zadovoljen, ne procesira se dalje.
    i tako u krug…
    ———————–
    A sa obrnutim pravilima, kada je drop prvo:

    1. Nova konekcija -> Da li je u ssh_conn_level_2 -> Nije -> Sledeće pravilo -> Da li je u ssh_conn_level_1 -> Nije -> Sledeće pravilo -> Da li je u ssh_conn_level_0 -> Nije -> Sledeće pravilo -> Postavi u ssh_conn_level_0

    2. Nova konekcija -> Da li je u ssh_conn_level_2 -> Nije -> Sledeće pravilo -> Da li je u ssh_conn_level_1 -> Nije -> Sledeće pravilo -> Da li je u ssh_conn_level_0 -> JESTE -> Postavi u ssh_conn_level_1

    3. Nova konekcija -> Da li je u ssh_conn_level_2 -> Nije -> Sledeće pravilo -> Da li je u ssh_conn_level_1 -> JESTE -> Postavi u ssh_conn_level_2

    4. Nova konekcija -> Da li je u ssh_conn_level_2 -> JESTE -> Drop

    Mislim da tako treba da ide, ali još sam nov 🙂
    Pozdrav!

  • Nemanja

    Dobar dan
    Uradio sam sve navedeno ali mi ruter i dalje daje da se ulogujem preko ssh, iako sam 3 puta kucao pogresnu sifru. IP adresa sa koje pokusavam da se ulogujem se nalazi u Address Lists tabu, odbrojava 10m, ali da i dalje mogu da pristupim ruteru preko ssh, daje mi login.
    Gde gresim ?

    Hvala

  • Marko

    Pozdrav u roku 24 sata imam na mikrotiku minimum 20 napada sa razliciti ip adresa pretezno rusija i ukraina. Napadi su ssh telnet i ftp medjutim ftp su sa interne to jest lokalne ip adrese imam u kuci 3 kompa ispada kao da sam sebe napadam ip adrese od telefona ne koristi za napad. Napadac na ftp uvek koristi ista korisnicka imena koda ima sablon od tridesetak korisnicki imena. Povodom ovog blokirao sam ftp port i ssh … telnet nisam jer neznam dali cu moci pristupiti mikrotiku preko winboksa to jest dali cu u winboksu moci koristiti terminal…

Leave a Reply

 

 

 

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Попуните израз тако да буде тачан: *