Страница 1 из 1
Firewwall - отловить неудачную авторизацию на веб-интерфейсе
Добавлено: 21 янв 2017, 09:23
bolotnikoff
Есть сильное желание смотреть кто ходил на вебморду не листая тонны логов, а еще если слишком часто ходит и брутит пароль то дропать... пока мои мысли направлены в Layer7 Protocols толком ничего пока не получилось, да и с девайсами это фирмы знаком не так давно... а может я вообще не с той стороны подхожу к решению задачи, подскажите а...
Re: Firewwall - отловить неудачную авторизацию на веб-интерфейсе
Добавлено: 21 янв 2017, 09:59
vqd
под "кто" что имеется в виду?
Re: Firewwall - отловить неудачную авторизацию на веб-интерфейсе
Добавлено: 21 янв 2017, 10:18
DmNuts
vqd писал(а):под "кто" что имеется в виду?
А у меня другой вопрос: под веб-интерфейсом понимается веб-интерфейс Микротика?
Если так, проще всего закрыть его...
Но можно скриптом парсить лог и дальше выполнять любые действия.
Re: Firewwall - отловить неудачную авторизацию на веб-интерфейсе
Добавлено: 21 янв 2017, 10:29
podarok66
И почему всех так тянет к Layer7 Protocols ? Неужели попроще инструментов не видите? Простой фаервол выполнит эту задачу в лучшем виде. Скажем так, если достал брутфорс по 80 порту, ищем в Гугле по запросу mikrotik brute force protection документацию из Вики и переделываем под себя. Там, если мне память не изменяет, описана ситуация с 22 портом, переделываем под нужный вам и погнали.
А еще можно просто вебморду перевесить на сторонний порт в IP->Services и это еще один заслон получится.
Дерзайте.
Re: Firewwall - отловить неудачную авторизацию на веб-интерфейсе
Добавлено: 21 янв 2017, 10:56
bolotnikoff
podarok66 писал(а):И почему всех так тянет к Layer7 Protocols ?
Дерзайте.
Да видал я эти мануалы про 22-й, пробовал даже, после первой же попытки дроп. Видимо от того что они основаны на логике "много новых подключений с одного IP"
Код: Выделить всё
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no
как тут. Я уж не знаю, либо там какой JS допустим AJAX-ом плодит эти "новые подключения" либо все дело в том что для HTTP каждое подключение "новое", либо я очки не протер когда по мануалу все делал, или мануал отстой...
Естественно с 80-го вебморду убрал сразу.
Re: Firewwall - отловить неудачную авторизацию на веб-интерфейсе
Добавлено: 21 янв 2017, 19:31
podarok66
Ну сам я не пробовал, мне ни к чему. У меня вебинтефейс не используется практически. После того, как я несколько раз попал с косяками этого интерфейса, я отказался от него в пользу winbox или ssh, если winbox не возможен или дел на пару минут...
А что там с портом, отличным от 80?