Защита NAS от подбора логинов и паролей к FTP силами маршрутизатора
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
Atomic79
- Сообщения: 125
- Зарегистрирован: 25 сен 2017, 19:07
Приветствую. Подскажите как можно защитить (или хотя бы ограничить) попытки доступа к FTP NAS силами MikroTik. На самом NAS включена блокировка в случае попытки несанкционированного доступа долее 10 раз с одного ip. В логах видно что ломятся через открытый 21 порт микротика.
Дома: Mikrotik hAP AC (RB962UiGS-5HacT2HnT )
MikroTik hAP AC^2 (RBD52G-5HacD2HnD)
Mikrotik mAP Lite (RBmAPL-2nD)
Работа: MikroTik RB750Gr3
MikroTik hAP AC^2 (RBD52G-5HacD2HnD)
Mikrotik mAP Lite (RBmAPL-2nD)
Работа: MikroTik RB750Gr3
-
Sertik
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Сменить порт 21 на другой на Микротике (открыть другой порт) и NAS. Использовать возможности port knoking на Микротике.
А в идеале для доступа к NAS снаружи вообще лучше использовать VPN.
А в идеале для доступа к NAS снаружи вообще лучше использовать VPN.
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
Atomic79
- Сообщения: 125
- Зарегистрирован: 25 сен 2017, 19:07
Благодарю. Поменял номер порта FTP и в микроте и на NAS.
Дома: Mikrotik hAP AC (RB962UiGS-5HacT2HnT )
MikroTik hAP AC^2 (RBD52G-5HacD2HnD)
Mikrotik mAP Lite (RBmAPL-2nD)
Работа: MikroTik RB750Gr3
MikroTik hAP AC^2 (RBD52G-5HacD2HnD)
Mikrotik mAP Lite (RBmAPL-2nD)
Работа: MikroTik RB750Gr3
-
IntelOut
- Сообщения: 38
- Зарегистрирован: 16 окт 2019, 23:12
Как вариант можно использовать примеры из WIKI...
https://wiki.mikrotik.com/wiki/Brutefor ... prevention
https://wiki.mikrotik.com/wiki/Brutefor ... prevention
With best regards,
IntelOut
______________________________________
Homo homini lupus est...
Home: hAPac2, hAPac, hAPmini, CHR P1, hAP lite, hAP ac lite, cAP lite, mAP lite, hEX PoE lite, SXT Lite2, SXTsq Lite2
Work: MikroTik Zoo
MTCNA
IntelOut
______________________________________
Homo homini lupus est...
Home: hAPac2, hAPac, hAPmini, CHR P1, hAP lite, hAP ac lite, cAP lite, mAP lite, hEX PoE lite, SXT Lite2, SXTsq Lite2
Work: MikroTik Zoo
MTCNA
-
Atomic79
- Сообщения: 125
- Зарегистрирован: 25 сен 2017, 19:07
Спасибо. Правила добавил, посмотрим как пойдет.
Дома: Mikrotik hAP AC (RB962UiGS-5HacT2HnT )
MikroTik hAP AC^2 (RBD52G-5HacD2HnD)
Mikrotik mAP Lite (RBmAPL-2nD)
Работа: MikroTik RB750Gr3
MikroTik hAP AC^2 (RBD52G-5HacD2HnD)
Mikrotik mAP Lite (RBmAPL-2nD)
Работа: MikroTik RB750Gr3
-
Atomic79
- Сообщения: 125
- Зарегистрирован: 25 сен 2017, 19:07
За пять дней наблюдений попыток входа в FTP не зафиксировано.... Все ок. Всем спасибо.
Дома: Mikrotik hAP AC (RB962UiGS-5HacT2HnT )
MikroTik hAP AC^2 (RBD52G-5HacD2HnD)
Mikrotik mAP Lite (RBmAPL-2nD)
Работа: MikroTik RB750Gr3
MikroTik hAP AC^2 (RBD52G-5HacD2HnD)
Mikrotik mAP Lite (RBmAPL-2nD)
Работа: MikroTik RB750Gr3
-
MaxoDroid
- Сообщения: 355
- Зарегистрирован: 14 май 2019, 22:55
- Откуда: Краснодар
Здравствуйте!
Забеспокоился и я защитой портов NAS. Стандартный порт 80 подменяется в интернете на 62430, а 5000 - на 62429. Заменяются в NAT.
Накидал правила в фаервол:
Решил проверить защищенность своего аппарата. Взял свой сотовый и попытался 7 раз войти в приложение DS File с заведомо неправильным паролем.
К моему удивлению, мой IP-шник в бан не попал, и попытка войти с правильным паролем на 8-й раз увенчалась успехом.
Иных портов, кроме перечисленных в правилах выше, мой NAS не использует.
Вопрос. Где я накосячил? Подскажите, плиз.
Забеспокоился и я защитой портов NAS. Стандартный порт 80 подменяется в интернете на 62430, а 5000 - на 62429. Заменяются в NAT.
Накидал правила в фаервол:
Код: Выделить всё
/ip firewall filter
# Посылаю в цепь проверки только те запросы, которые идут из внешнего мира – WAN
add action=jump chain=forward comment="10.1 - NAS ports request check jump for TCP" connection-state=new dst-port=5000,5001,6690,80,443,5005,5006 jump-target=check-bruteforce in-interface-list=WAN protocol=tcp
add action=jump chain=forward comment="10.2 - NAS ports request check jump for UDP" connection-state=new dst-port=5000,5001 jump-target=check-bruteforce in-interface-list=WAN protocol=udp
# Дропаю, все, что попало в список "bruteforcer"
add action=drop chain=forward comment="10.3 – Drop the bruteforcer" connection-state=new log=yes log-prefix="--DROP NAS_PORTs brute forcer--" src-address-list= bruteforcer
# Тут идут ступени для аутентификации
add action=add-src-to-address-list comment="10.4 – Lock the bruteforcer" address-list=bruteforcer address-list-timeout=10m chain=check-bruteforce src-address-list=bruteforce-stage-5
add action=add-src-to-address-list comment="10.5 – bruteforcer check – Stage 4" address-list=bruteforce-stage-5 address-list-timeout=1m chain=check-bruteforce src-address-list=bruteforce-stage-4
add action=add-src-to-address-list comment="10.6 – bruteforcer check – Stage 3" address-list=bruteforce-stage-4 address-list-timeout=1m chain=check-bruteforce src-address-list=bruteforce-stage-3
add action=add-src-to-address-list comment="10.7 – bruteforcer check – Stage 2" address-list=bruteforce-stage-3 address-list-timeout=1m chain=check-bruteforce src-address-list=bruteforce-stage-2
add action=add-src-to-address-list comment="10.8 – bruteforcer check – Stage 1" address-list=bruteforce-stage-2 address-list-timeout=1m chain=check-bruteforce src-address-list=bruteforce-stage-1
# Принимаю все, что прошло проверку
add action=accept chain=forward comment="10.9 – NAS ports request accept for TCP " connection-state=new dst-port=5000,5001,6690,80,443,5005,5006 protocol=tcp
add action=accept chain=forward comment="10.10 – NAS ports request accept for UDP " connection-state=new dst-port=5000,5001 protocol=udpК моему удивлению, мой IP-шник в бан не попал, и попытка войти с правильным паролем на 8-й раз увенчалась успехом.
Иных портов, кроме перечисленных в правилах выше, мой NAS не использует.
Вопрос. Где я накосячил? Подскажите, плиз.
... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!
-
MaxoDroid
- Сообщения: 355
- Зарегистрирован: 14 май 2019, 22:55
- Откуда: Краснодар
А еще по защиту портов от взлома нашел и другую философию защиты:
https://www.mihanik.net/mikrotik-zashhi ... brutforsa/
https://www.mihanik.net/mikrotik-zashhi ... brutforsa/
... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
А где правило то, которое в самый первый список закидывает?
Telegram: @thexvo
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
А чем другая то? Это же то же самое, что у вас.MaxoDroid писал(а): ↑13 ноя 2019, 22:02 А еще по защиту портов от взлома нашел и другую философию защиты:
https://www.mihanik.net/mikrotik-zashhi ... brutforsa/
Telegram: @thexvo