firewall rules работают неправильно

Обсуждение ПО и его настройки
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

beatlejuse писал(а):ок.
т.е. я так понимаю, все эти примеры - фейковые?
а вы не подскажете, как реализовать защиту от перебора пароля, чтобы она работала?

Да почему же фейковые? Они для защиты от соединений по FTP и SSH. И не стоит переносить это на веб.
beatlejuse писал(а):да это всё понятно.
это вообще универсальный ответ - не используйте это.

Я вас уверяю, не единожды говорилось, что вебинтерфейс у Тика может совершать ошибки. Winbox надежнее.
Если же просто край, как надо, ну сделайте серьезную пару логин-пароль, уведите соединение на нестандартный порт. По-моему вполне достаточно для начала.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
beatlejuse
Сообщения: 6
Зарегистрирован: 06 фев 2017, 23:10

Dragon_Knight писал(а):Не использовать www по причине кривизны и ненадёжности это раз.
Использовать хороший пароль и логин отличный от 'admin' это два.
Разрешать доступ ко всем службам управления только изнутри сети это три.

www нужен. это не хотелка, это условие задачи.
логин/пароль ок
доступ нужен снаружи - это тоже условие задачи.

если менять условия задачи - то самое просто решение - забить вообще на эту задачу... или на эту работу... или на эту жизнь...
вспомните задачку про семь взаимноперпендикулярных линий. (это к вопросу о том, что включив мозги можно решить даже нерешаемую на первый взгляд задачу)

я вполне себе осознаю, что мы живём в далёком от идеала мире и к идеалу можем только стремиться.
поэтому несмотря на все недостатки ситуации я вижу смысл приложить максимум усилий к тому, чтобы увеличить безопасность в меру своих возможностей.
у меня своих мозгов не хватает, поэтому и пишу суда.
на данный момент по ssh вышеуказанный метод работает исправно.
с вебом пока проблемы.
я сейчас примеряю для себя метод Port Knocking (http://wiki.mikrotik.com/wiki/Port_Knocking)
и ещё есть мнение, что на микротик можно прикрутить капчу для авторизации в вебе, но найти намёков на реализацию пока не удалось.
если у вас есть какая то инфа про капчу или ещё какие методы - прошу поделиться.

podarok66 писал(а):Если же просто край, как надо, ну сделайте серьезную пару логин-пароль, уведите соединение на нестандартный порт. По-моему вполне достаточно для начала.

спасибо. делаю.
Dragon_Knight писал(а):Вот, посмотрите: https://www.youtube.com/watch?v=jeX1CDj5XZo

спасибо, посмотрю.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

beatlejuse, если Ваша 'задача' нарушает общие принципы защиты сетей и устройств, то стоит подумать о правильном направлении решения задачи...
Если нужна капча, то купите себе dlink серии dir, там есть капча...

И теперь давайте порассуждаем.
Если в системе неизвестно о баге, это не значит что его нету. Быстренько вспоминаем историю про SSL, когда была истерия о том, что он не уязвим, а потом нашли дырку, позволяющую сломать 100% серверов без особого труда и в том числе и микротиковское оборудование. Все кричащие притихли и пошли обновлять сервера... Мораль в начале образца.

Если по прежнему хотелки остались, то защитить http вышеописанным методом нельзя. Максимум что можно сделать, - это ограничить кол-во подключений с IP адреса, что всё равно не спасёт от подбора пароля, т.к. обычно этим занимаются ботнеты.
Единственный рабочий способ это делать белый листы IP адресов и разрешать подключение только с них.
Прицепи можно и Port Knocking использовать, но это менее надёжно и менее удобно чем создания VPN до сети и подключение к устройству уже изнутри сети.

PS: Пункт номер два, что нужно удалить в ROS7 это веб морду...


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Ответить