Защита от brutforce по 443 порту

Обсуждение ПО и его настройки
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

MaxoDroid писал(а): 27 окт 2019, 15:50 А пусть нам автор укажет источник.
Не понял, зачем "нам" источник, откуда взят конфиг?
Источник как-то меняет работоспособность или что?!
MaxoDroid писал(а): 27 окт 2019, 15:50 А Вы, пожалуйста, покажите мне на WiKi пример правильной защиты прокидываемых портов.
В смысле?
Что вам мешает переписать этот конфиг из вики под свой случай?
Я же вроде вам объяснил в чем разница?
Или вы предполагаете, что на вики должны быть случаи конфига на все случаи жизни, которые друг от друга отличаются парой строчек, и инструкция, когда какой применять? :-)


Telegram: @thexvo
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Временно отключите всё это, подключитесь и посмотрите в Connections: может правда несколько соединений активных нужно для нормальной работы.


Telegram: @thexvo
Chai
Сообщения: 63
Зарегистрирован: 25 авг 2017, 08:13

MaxoDroid писал(а): 27 окт 2019, 15:50 А пусть нам автор укажет источник.
А Вы, пожалуйста, покажите мне на WiKi пример правильной защиты прокидываемых портов.
Вот пример для проброса портов RDP от Ильи Князева
https://weblampa.ru/mikrotik/srezaem-br ... ik-om.html

Остальные примеры используют цепочку input, потому что имеют целью защитить сам роутер. Потому и на примерах вроде с SSH и т.п.

xvo писал(а): 27 окт 2019, 11:38 "new" - это статус соединения в connection tracker'е микротика, а не tcp флаг.
Т.е. таблица состояний сессий у роутера своя, а сервер ведет свою "статистику"?
Если флаг SYN маршрутизатором для контроля трафика не используется, тогда почему статус established есть только у TCP-подключений?
https://wiki.mikrotik.com/wiki/File:2009-01-26_1346.jpg


Chai
Сообщения: 63
Зарегистрирован: 25 авг 2017, 08:13

xvo писал(а): 27 окт 2019, 16:28 Временно отключите всё это, подключитесь и посмотрите в Connections: может правда несколько соединений активных нужно для нормальной работы.
Действительно, при перезагрузке страницы на несколько секунд открывается три ТСР-подключений со статусом Time wait и established . После ввода логина-пароля открытых подключений становится восемь.
Значит, число стадий stage_хх нужно увеличивать? Сколько сделать, восемь, десять, с учетом, что пользователь потом полезет в письма и контакты?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ведет свою, параллельную, причем она применима и для других протоколов, не только для TCP. Для которых общепринятого понятия соединения то и нет как такового.

А TCP-флаги вы тоже можете использовать при желании, для этого есть отдельный matcher: tcp-flags.

Собственно в этой колонке состояние TCP и отображается в абсолютно стандартном смысле (что даже видно по названию и по состояниям).
Последний раз редактировалось xvo 27 окт 2019, 18:29, всего редактировалось 1 раз.


Telegram: @thexvo
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Chai писал(а): 27 окт 2019, 18:20 Действительно, при перезагрузке страницы на несколько секунд открывается три ТСР-подключений со статусом Time wait и established . После ввода логина-пароля открытых подключений становится восемь.
Значит, число стадий stage_хх нужно увеличивать? Сколько сделать, восемь, десять, с учетом, что пользователь потом полезет в письма и контакты?
Я думаю лучше не количество стадий увеличивать, а попробовать в правила для каждой стадии добавить лимиты либо для количества соединений, либо для количества первых открывающих эти соединения пакетов: connection-limit и dst-limit соответственно.


Telegram: @thexvo
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ещё вот какая мысль.
Что происходит при вводе неправильного пароля?
Может быть имеет смысл добавлять в список не на основе открываемых соединений, на основе закрываемых?


Telegram: @thexvo
Аватара пользователя
MaxoDroid
Сообщения: 355
Зарегистрирован: 14 май 2019, 22:55
Откуда: Краснодар

Я прочитал тему Ильи Князева.
Обратите внимание, что он предлагает обрабатывать запросы специально созданной цепочкой "chain=check-bruteforce", к которой он отсылает все цепочки "chain=forward", перенаправляемые на обработку по указанному порту по протоколам tcp и udp.
Если перебор продолжается, то ломящийся навсегда остается в бане, а соединение после проверки дропается.
Вы, как мне кажется, несколько неверно переделали правило, предлагаемое Ильей Князевым.

А ещё 443 порт используется Микротиком как порт управления по WWW-ssl (IP Service List). Может быть в этом и есть загвоздка?


... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

MaxoDroid писал(а): 27 окт 2019, 18:38 Может быть в этом и есть загвоздка?
Чукча не читатель, чукча писатель.
В чем проблема уже выяснили.
Вопрос, как её теперь решить.


Telegram: @thexvo
Аватара пользователя
MaxoDroid
Сообщения: 355
Зарегистрирован: 14 май 2019, 22:55
Откуда: Краснодар

xvo писал(а): 27 окт 2019, 18:47 Чукча не читатель, чукча писатель.
Писал ответ, не обновив страницу.
Теперь я стал Чукчей :bra_vo: Прошу модеров поменять мое имя с "MaxoDroid"
на "Чукча" :hi_hi_hi:


... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!
Ответить