L2tp+ipsec защита от перебора паролей из WAN

[Alex_2019]

Коллеги, здравствуйте. Прошу направить на путь истинный, что стоит почитать, чтобы написать скрипт, который будет вносить в блэк-лист IP адреса ботов, которые из интернета смогли пробраться через все ловушки и добрались до открытых портов, и подбирают пароли к l2tp-IPsec ?
Пока что таких инцидентов не более 5 за сутки из разных регионов мира. Я глазами просматриваю логи, руками вношу в черные списки, а на следующие сутки вижу, что с тех же провайдеров с других (соседних) IP адресов продолжают подбирать пароли. Хотелось бы автоматизирвать данный процесс и блокировать хитрецов максимум спустя минуту с момента начала подбора пароля.

Нашел схожий вопрос на сходном ресурсе, но там итогового скрипта не опубликовали.
https://spw.ru/forum/threads/l2tp-ipsec-firewall.781/
Процитирую вопрос: "
после поднятия L2tp(server)+ipsec в микротик начинают стучать боты
500 port udp в лог микротика начинают приходить логи ( ipsec,error ip parsing packet failed,possible cause :wrong password ) что свидетельствует о подборе пароля ipsec
Подскажите пожалуйста как можно в firewall создать правило для добавления src adress lis таких товарищей
чтоб именно оно было к ipsec авторизации
"
Мысль как решить задачу:
"... возможен ли такой вариант...
... написать скрипт каторый будет каждые 10-15 секунд анализировать Лог файл на предмет сообщения ipsec,error xxx.xxx.xxx.xxx(ip)
брать данный ip и добавлять ip>firewall adress list
а в самом firewall соответственно готовое правило стоит, что такой лист необходимо reject "

ВОПРОС: встречали ли вы подходящий под данную задачу скрипт?

[Volant]

у себя сделал так:

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment=for_block_l2tp_brutforce dst-port=\
    1701,4500,500 protocol=udp src-address-list=l2tp_success tcp-flags=""
add action=reject chain=input dst-port=1701,4500,500 protocol=udp \
    reject-with=icmp-network-unreachable src-address-list=l2tp_blacklist
add action=add-dst-to-address-list address-list=l2tp_blacklist \
    address-list-timeout=none-static chain=output content="M=bad" \
    dst-address-list=l2tp_stage2
add action=add-dst-to-address-list address-list=l2tp_stage2 \
    address-list-timeout=3d chain=output content="M=bad" dst-address-list=\
    l2tp_stage1
add action=add-dst-to-address-list address-list=l2tp_stage1 \
    address-list-timeout=3d chain=output content="M=bad"

[Alex_2019]

у себя сделал так:

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment=for_block_l2tp_brutforce dst-port=\
    1701,4500,500 protocol=udp src-address-list=l2tp_success tcp-flags=""
add action=reject chain=input dst-port=1701,4500,500 protocol=udp \
    reject-with=icmp-network-unreachable src-address-list=l2tp_blacklist
add action=add-dst-to-address-list address-list=l2tp_blacklist \
    address-list-timeout=none-static chain=output content="M=bad" \
    dst-address-list=l2tp_stage2
add action=add-dst-to-address-list address-list=l2tp_stage2 \
    address-list-timeout=3d chain=output content="M=bad" dst-address-list=\
    l2tp_stage1
add action=add-dst-to-address-list address-list=l2tp_stage1 \
    address-list-timeout=3d chain=output content="M=bad"

Большое спасибо! Скопировал, вставил в терминалке, поднял в файрволе. Смотрится красиво. Счетчики пока по нулям.
Отпишусь о результатах по мере сбора статистики.

[Volant]

у себя сделал так:

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment=for_block_l2tp_brutforce dst-port=\
    1701,4500,500 protocol=udp src-address-list=l2tp_success tcp-flags=""
add action=reject chain=input dst-port=1701,4500,500 protocol=udp \
    reject-with=icmp-network-unreachable src-address-list=l2tp_blacklist
add action=add-dst-to-address-list address-list=l2tp_blacklist \
    address-list-timeout=none-static chain=output content="M=bad" \
    dst-address-list=l2tp_stage2
add action=add-dst-to-address-list address-list=l2tp_stage2 \
    address-list-timeout=3d chain=output content="M=bad" dst-address-list=\
    l2tp_stage1
add action=add-dst-to-address-list address-list=l2tp_stage1 \
    address-list-timeout=3d chain=output content="M=bad"

Большое спасибо! Скопировал, вставил в терминалке, поднял в файрволе. Смотрится красиво. Счетчики пока по нулям.
Отпишусь о результатах по мере сбора статистики.

лучше протестируйте. обратите внимание - бан там "вечный"

[Alex_2019]

...
лучше протестируйте. обратите внимание - бан там "вечный"

Сделал, сутри собирал статистику. Правила не отработали совершенно, счетчики по нулям.

В ночных логах вижу такие строчки (три плюс одна, все четыре в одну и ту же секунду времени):
Topics = ipsec,error
Message=
216.218.206.102 phase1 negotiation failed.
216.218.206.102 failed to pre-process ph1 packet (side: 1, status 1).
216.218.206.102 failed to get valid proposal.

Topics = ipsec,info
Message=
respond new phase 1 (Identity Protection): ***.***.***.***[500]<=>216.218.206.102[58376]
(на месте звездочек был внешний IP микротика)

Посмотрел откуда любопытное устройство - уже несколько IP аресов блокировал руками с того города, такое ощущение, что какой то управляющий сервер с разных IP каждые сутки "незаметно" ищет дыры на моём микротике:
ip: "216.218.206.102"
hostname: "scan-05i.shadowserver.org"
city: "Fremont"
region: "California"
country: "US"
loc: "37.5176,-121.9287"
postal: "94539"
timezone: "America/Los_Angeles"

Подскажите куда теперь смотреть? Что еще приписать в файрволе? Или просто скрипт какой то написать, который будет отлавливать вышеуказанные фразы и вносить IP в долгий бан?

[Erik_U]

В случае L2TP+IPSEC сначала должно установиться шифрованное соединение IPSEC, а уже внутри него авторизация L2TP.
Подобрать ключ IPSEC вероятно возможно, но нужно пару лет.

Если не нравится наблюдать в логах попытки, сделайте белый лист, и внесите в него диапазоны IP ваших операторов (с которыми вы подключаетесь). Остальные запретите.

[Volant]

2 Alex_2019, приведенные правила направлены ТОЛЬКО на защиту от брута учетной записи l2tp сервера. Все. Больше они ничего не выполняют. я ж написал - протестируйте...
Правила работают так: при удачном подключении ip заносится в address-list=l2tp_success и болтается там, согласно таймауту 24ч, при повторном подключении, в теч таймаута, данный ip больше не проверяется.
При попытке неудачного подключения ip попадает в address-list=l2tp_stage1 и болтается там 3d. если в рамках данного таймаута происходит повторная неудачная попытка коннекта с этого же ip, то ip добавляется в stage2 и счетчики таймаута обоих stage обнуляются. При третьей неудачной попытке, в рамках таймаута, ip залетает в blacklist. Все.
Приведенный вами лог - "атака"(если можно так сказать) на ipsec. по этому поводу вам уже сказали выше.

[PROlite]

Фонд Shadowserver...

Если вы просматриваете эту страницу, то, скорее всего, вы заметили сканирование, исходящее с этого сервера по вашей сети и / или выявляющее запущенную вами службу.

Фонд Shadowserver Foundation в настоящее время реализует проект по поиску общедоступных устройств, на которых работают службы, которые не должны быть открыты, поскольку их легко использовать или злоупотреблять. Цель этого проекта - определить хосты, на которых доступны эти типы сервисов, и сообщить о них владельцам сети для исправления.

В блок...и ложись спасть :)
216.218.206.0/24

[Alex_2019]

Фонд Shadowserver...

Если вы просматриваете эту страницу, то, скорее всего, вы заметили сканирование, исходящее с этого сервера по вашей сети и / или выявляющее запущенную вами службу.

Фонд Shadowserver Foundation в настоящее время реализует проект по поиску общедоступных устройств, на которых работают службы, которые не должны быть открыты, поскольку их легко использовать или злоупотреблять. Цель этого проекта - определить хосты, на которых доступны эти типы сервисов, и сообщить о них владельцам сети для исправления.

В блок...и ложись спасть :)
216.218.206.0/24

Благодарю за действенный совет! Именно такое правило у меня включено с 25/9/2020 и жизнь стала намного спокойнее, т.к. до того момента я успел заблокировать IP оканчивающиеся на
.66
.82
.98
.102
.106
.118
Видимо у этой конторы несколько десятков IP.

Будем надеяться, что среди заблокированных адресов не попадется нужный.

Я заметил, что после настройки черных списков у меня стал хуже работать скайп.