Защищаемся от брутфорса по SSH и DDOS ping

Обсуждение ПО и его настройки
Ответить
Ishimura
Сообщения: 24
Зарегистрирован: 16 фев 2012, 15:37

Добрый день. На порт SSH постоянно ломятся брутфорс роботы и опасаюсь DDOS атаки пакетами нестандартного размера. Хочу решить эту проблему.

От DDOS создал правило в файрфоле, отправляющее в reject (icmp network unreacheble) все пинги на внешний IP адрес. Так правильно? Может лучше по другому или лучше вообще drop вместо reject?

По поводу брутфорса ssh нарыл статейку со скриптом:

Для SSH – разрешаем перебор не более 1 минуты с последующей блокировкой на 3 часа ( 3 h, 3 дня – 3d ) по желанию:

Код: Выделить всё

ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment=”drop ssh brute forcers” disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=3h comment=”" disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment=”" disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=”" disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment=”" disabled=no


Так будет правильно? Будет ли такой вариант нормально защитой?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

нормальный вариант. только если у вас управление железкой автоматизированное идёт. например биллинг периодически ходит на железку и что то там делает, не забудьте добавить свои адреса в исключение. потому что скрипт не регистрирует удачные\не удачны попытки авторизации, он регистрирует факт нового соединения по ssh.

еще как вариант развития, закрывать полностью доступ с чужих адресов, и через какой нибудь vpn тунель внутрь сети, получать доступ со своих адресов.


Ishimura
Сообщения: 24
Зарегистрирован: 16 фев 2012, 15:37

simpl3x писал(а):нормальный вариант. только если у вас управление железкой автоматизированное идёт. например биллинг периодически ходит на железку и что то там делает, не забудьте добавить свои адреса в исключение. потому что скрипт не регистрирует удачные\не удачны попытки авторизации, он регистрирует факт нового соединения по ssh.

еще как вариант развития, закрывать полностью доступ с чужих адресов, и через какой нибудь vpn тунель внутрь сети, получать доступ со своих адресов.


Т.е. от DDOS reject'ом я закрыт?

В целом ситуация такая: за микротиком терминальный сервак, к которому юзеры должны подключаться откуда угодно и с чего угодно, так что привязываться к определенным адресам я не могу. Единственное что сделал- редирект RDP порта)).

Скрипт для SSH вообще рабочий?

Его нужно под себя редактировать?

Билинга никакого нет, всё делаю руками через winbox)))


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Ishimura писал(а):
simpl3x писал(а):нормальный вариант. только если у вас управление железкой автоматизированное идёт. например биллинг периодически ходит на железку и что то там делает, не забудьте добавить свои адреса в исключение. потому что скрипт не регистрирует удачные\не удачны попытки авторизации, он регистрирует факт нового соединения по ssh.

еще как вариант развития, закрывать полностью доступ с чужих адресов, и через какой нибудь vpn тунель внутрь сети, получать доступ со своих адресов.


Т.е. от DDOS reject'ом я закрыт?

В целом ситуация такая: за микротиком терминальный сервак, к которому юзеры должны подключаться откуда угодно и с чего угодно, так что привязываться к определенным адресам я не могу. Единственное что сделал- редирект RDP порта)).

Скрипт для SSH вообще рабочий?

Его нужно под себя редактировать?

Билинга никакого нет, всё делаю руками через winbox)))

стоп, скрипт с ping вообще никак не связан, он закрывает только ssh.

а как связано ssh на микротике и терминальный сервер за ним?

скрипт на первый взгляд рабочий, править под себя не надо. покрайней мере у меня примерно так и работает.

если вы делаете все руками через winbox, то зачем вам ssh? )))))


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

на тему пинга. я бы вообще запретил отвечать железке на внешний пинг, если вы боитесь его ddos


Ishimura
Сообщения: 24
Зарегистрирован: 16 фев 2012, 15:37

simpl3x писал(а):на тему пинга. я бы вообще запретил отвечать железке на внешний пинг, если вы боитесь его ddos


От DDOS у меня правило которое Reject icmp на внешний интерфейс.

А что касается SSH: в логах роботы ломятся на роутер! Хочу их отшить.
Вложения
SSH_Broot1.jpg
SSH_Broot1.jpg (167.11 КБ) 5730 просмотров


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

ну на тему картинки, скрипт должен помочь, три соединения в течении минуты и источник посылается на три часа отдыхать.


Ishimura
Сообщения: 24
Зарегистрирован: 16 фев 2012, 15:37

simpl3x писал(а):ну на тему картинки, скрипт должен помочь, три соединения в течении минуты и источник посылается на три часа отдыхать.


А как мне скрипт засунуть? Через терминал вбить? Или можно как то проще или по другому?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

ну да, открываете консоль из winbox и копипастом туда.
в результате в разделе ip - firewall - filter rules, появятся новые правила. их желательно перетащить наверх, над всеми остальными правилами.


Ответить