Abschnitte der Website
Die Wahl des Herausgebers:
- Samsung Galaxy A3 auf Werkseinstellungen zurückgesetzt
- BIOS: Von der Festplatte booten
- So booten Sie von einer „Installations“-DVD oder einem Flash-Laufwerk – BIOS-Setup in Bildern
- Wie stelle ich RAM-Timings richtig ein?
- Installieren von Navitel auf einem Navigator und Computer
- Ändern Sie das Passwort auf dem Minecraft-Server über Ihr persönliches Konto und im Client
- Was ist ein Lautsprecherkabel?
- Verwenden Sie Ihren Computer als Telefon
- So verwenden Sie ein Smartphone als Modem für einen Laptop
- So schließen Sie einen zweiten Fernseher an einen Receiver oder eine Digital-TV-Set-Top-Box an
Werbung
Mikrotik: Nützliche Tipps zur Einrichtung. Mikrotik: Nützliche Tipps zum Einrichten. Schützen Sie Ihren Server vor externem Hacking durch Mikrotik |
Mikrotik - Router, Router, Zugangspunkt. Wie richte ich Mikrotik ein? Wie schützt man Mikrotik vor feindlichen Eingriffen von außen? Um Ihren Mikrotik-Router zu schützen, müssen Sie: P.S. Nach dem Befehl setup, R, löscht der Router alle Einstellungen, jedoch keine Passwörter. Sie können über WinBox über IP - 192.168.88.1 eine Verbindung zu ihm herstellen Einstellungen über die Konsole: Mal sehen, welche Schnittstellen es gibt: Aktivieren Sie diejenigen, die Sie benötigen: Schauen wir uns die IP an: Fügen Sie den DNS des Internetanbieters hinzu: NAT (Maskerade) aktivieren: Konfigurieren Sie die Firewall, d. h. Es ist notwendig, die Paketfilterung (Eingabeketten) zu organisieren, und natürlich, damit Ihr Netzwerk nach dem Schutz funktionieren kann – um den Durchgang von Paketen zu organisieren – sind dies Vorwärtsketten: P.S. Gehen Sie zunächst über WinBox - IP -> Firewall -> Service-Port - alles deaktivieren. Deaktivieren Sie, lassen Sie das Notwendige, nämlich in unserem Fall pptp (VPN-Server), und wenn Sie das integrierte FTP verwenden möchten, ftp Regeln hinzufügen: Um Ihr Netzwerk zu schützen, müssen Sie den gesamten durchlaufenden Datenverkehr überprüfen IP-Firewall-Filter hinzufügen Kette = Protokoll weiterleiten = TCP-Verbindungsstatus = ungültige Aktion = Kommentar löschen = „Ungültige Verbindungen löschen“ Wir blockieren IP-Adressen interner Netzwerke. Oder: Lassen Sie uns TCP-Regeln für die TCP-Kette erstellen und einige Ports verweigern: Lassen Sie uns UDP-Ports für die UDP-Kette deaktivieren: Lassen wir nur die notwendigen ICMP-Codes für die ICMP-Kette zu: Router des Herstellers Mikrotik erfreuen sich aufgrund ihres attraktiven Preises und der reichhaltigen Funktionalität immer größerer Beliebtheit. Vielleicht ist Mikrotik im SOHO-Segment führend. Heute möchten wir über nützliche Konfigurationsoptionen sprechen, die dazu beitragen, die Widerstandsfähigkeit gegen externe Angriffe zu stärken und einen stabilen Betrieb Ihres Büros Mikrotik zu gewährleisten. Mikrotik-Schutz1. Administrator-Login und Passwort ändern Beginnen wir mit dem primären Schutz unseres Routers – der Erstellung eines hacksicheren Administrator-Logins und Passworts. Standardmäßig verwendet Mikrotik die Anmeldung Administrator und ein leeres Passwort. Lassen Sie uns das beheben: Stellen Sie über Winbox eine Verbindung zu unserem Router her und gehen Sie zum Abschnitt „Einstellungen“. System → Benutzer. Wir sehen den Benutzer Administrator was standardmäßig konfiguriert ist: Fügen wir einen neuen Benutzer hinzu, der über strengere Hacking-Details (Login/Passwort) verfügt. Klicken Sie dazu auf das „+“-Symbol in der oberen linken Ecke: Bitte beachten Sie, dass Sie im Feld Gruppe auswählen müssen voll um dem Benutzer Administratorrechte zu gewähren. Nachdem die Einstellungen vorgenommen wurden, löschen Sie den Benutzer Administrator und von nun an verwenden wir nur noch den neuen Benutzer, um uns mit der Administrationsoberfläche zu verbinden. 2. Service-Ports Der Mikrotik-Router hat einige Dienste „fest verdrahtet“, deren Ports über das öffentliche Internet zugänglich sind. Möglicherweise handelt es sich hier um eine Schwachstelle in Ihrem Netzwerk. Wir empfehlen daher, zum Abschnitt „Einstellungen“ zu gehen IP → Dienstleistungen: Wenn Sie nur über Winbox auf Mikrotik zugreifen, empfehlen wir Ihnen, alle Dienste außer zu deaktivieren Winbox Und ssh(lassen Sie ssh für alle Fälle), nämlich:
Zum Ausschalten klicken Sie auf das rote „x“-Symbol. Seit wir gegangen sind SSH Um Zugriff auf den Server zu erhalten, „sichern“ wir ihn, indem wir den Port von 22 auf 6022 ändern. Doppelklicken Sie dazu auf den SSH-Dienst-Port und legen Sie im folgenden Fenster die Einstellung fest: Klicken Anwenden Und OK. 3. Schutz vor roher Gewalt (Brute Force) Auf der offiziellen Mikrotik-Website finden Sie Empfehlungen, wie Sie Ihren Router vor Passwort-Brute-Force über FTP- und SSH-Zugriff schützen können. Im vorherigen Schritt haben wir den FTP-Zugriff gesperrt. Wenn Sie diese Anweisungen also genau befolgen, verwenden Sie nur den Code zum Schutz vor SSH-Angriffen. Andernfalls kopieren Sie beide. Öffnen Sie also das Router-Verwaltungsterminal. Klicken Sie dazu im rechten Navigationsmenü auf Neues Terminal. Kopieren Sie den folgenden Code nacheinander in die Router-Konsole: /IP-Firewallfilter #FTP-Angriffe blockieren add chain=input Protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \ comment="drop ftp brute forcers" add chain=output action=accept Protocol=tcp content ="530 Anmeldung falsch" dst-limit=1/1m,9,dst-address/1m add chain=output action=add-dst-to-address-list Protocol=tcp content="530 Anmeldung falsch" \ Adressliste =ftp_blacklist address-list-timeout=3h #Angriffe über SSH blockieren add chain=input Protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \ comment="drop ssh brute forcers" deaktiviert=keine Kette hinzufügen =Eingabeprotokoll=TCP DST-Port=22 Verbindungsstatus=Neu \ src-address-list=ssh_stage3 action=add-src-to-address-list Adressliste=ssh_blacklist \ Adressliste-Timeout=10d Kommentar= " " deaktiviert=keine Kette hinzufügen=Eingabeprotokoll=TCP DST-Port=22 Verbindungsstatus=neu \ src-address-list=ssh_stage2 action=add-src-to-address-list Adressliste=ssh_stage3 \ Adressliste - timeout=1m comment="" deaktiviert=keine Kette hinzufügen=Eingabeprotokoll=TCP dst-port=22 Verbindungsstatus=neue src-address-list=ssh_stage1 \ action=add-src-to-address-list Adressliste = ssh_stage2 address-list-timeout=1m comment="" deaktiviert=nein add chain=input Protocol=tcp dst-port=22 Connection-State=new action=add-src-to-address-list \ address-list=ssh_stage1 Adresse -list-timeout=1m comment="" deaktiviert=nein Erstellen einer KonfigurationssicherungIm Falle eines Ausfalls oder Unfalls des Routers müssen Sie für eine schnelle Wiederherstellung seine Konfiguration zur Hand haben. Das geht ganz einfach: Öffnen Sie das Terminal, indem Sie auf das Navigationsmenü klicken Neues Terminal und geben Sie den folgenden Befehl ein: Datei exportieren=backup2020-02-10_01:01:22 Die Datei finden Sie, indem Sie im Navigationsmenü auf den entsprechenden Abschnitt klicken Dateien. Laden Sie es auf Ihren PC herunter, indem Sie mit der rechten Maustaste klicken und auswählen Herunterladen Blockieren des Zugriffs auf die WebsiteWährend der Arbeitszeit müssen die Arbeitnehmer arbeiten. Blockieren wir daher den Zugriff auf Unterhaltungsressourcen wie Youtube, Facebook und Vkontakte. Gehen Sie dazu zum Abschnitt IP → Firewall. Klicken Sie auf die Registerkarte Layer-7-Protokoll und klicken Sie dann auf das „+“-Symbol in der oberen linken Ecke: Wir geben unserer Regel einen Namen, die auf Ebene 7 des OSI-Modells arbeiten wird, und fügen im Abschnitt Regexp Folgendes hinzu: ^.+(youtube.com|facebook.com|vk.com).*$ Klicken OK und gehen Sie zur Registerkarte Filterregeln und klicken Sie auf das „+“-Symbol: Wählen Sie im Abschnitt „Kette“ die Option „Weiter“ aus. Gehen Sie im selben Fenster zur Registerkarte Fortschrittlich und wählen Sie im Feld Layer 7-Protokoll die von uns erstellte Blockierungsregel aus: Gehen Sie zur Registerkarte Aktion, und wählen Sie dort Action = Drop: Wenn die Einstellungen abgeschlossen sind, klicken Sie auf Anwenden Und OK. War dieser Artikel für Sie nützlich?Bitte erzähle mir warum?Es tut uns leid, dass der Artikel für Sie nicht nützlich war: (Wenn es nicht schwierig ist, geben Sie bitte an, warum? Für eine ausführliche Antwort sind wir Ihnen sehr dankbar. Vielen Dank, dass Sie uns dabei geholfen haben, besser zu werden! Von Brute-Force spricht man, wenn jemand manchmal lange und hart versucht, unser Passwort für irgendetwas mit Brute-Force zu erraten. Unter Linux wird fail2ban erfolgreich zum Schutz davor eingesetzt. Bei Mikrotik gibt es kein solches Vergnügen, daher werden wir das Vergnügen haben, mit unseren eigenen Händen einen Schutz gegen Brutalität zu schaffen. Vollständige Befehlsliste, die Sie wahrscheinlich im offiziellen Wiki gesehen haben (http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention): add chain=input Protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" deaktiviert=nein Und es gibt viele Stellen im Internet, wo dieses Set erhältlich ist. Ich werde nur ein wenig erklären, was es bewirkt. Die Idee ist folgende: Wir geben innerhalb kurzer Zeit drei legitime Versuche, eine Verbindung über SSH herzustellen (22/tcp, wenn Sie einen anderen Port haben, verwenden Sie Ihren eigenen). Beim vierten Versuch sperren wir Sie für 10 Tage. Wir haben das Recht. Also Schritt für Schritt. 1. Beim Aufbau einer neuen Verbindung (connection-state=new) mit Port 22/tcp merken wir uns die Quell-IP und platzieren sie für 1 Minute in der Liste „ssh_stage1“: add chain=input Protocol=tcp dst-port=22 Connection-State=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" deaktiviert=nein 2. Wenn dieser „Jemand“ (und wir erinnern uns an ihn in „ssh_stage1“) in dieser Minute noch einmal eine neue Verbindung mit 22/tcp aufbauen möchte, werden wir ihn zur Liste „ssh_stage2“ hinzufügen und außerdem für 1 Minute: add chain=input Protocol=tcp dst-port=22 Connection-State=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=" " deaktiviert=nein 3. Wenn sich dieser „Jemand“ (jetzt ist er in „ssh_stage2“) in dieser Minute erneut mit 22/tcp verbinden möchte, fügen wir ihn zur Liste „ssh_stage3“ hinzu (ja, Sie haben es erraten, wieder für 1 Minute): add chain=input Protocol=tcp dst-port=22 Connection-State=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment=" " deaktiviert=nein 4. Wenn er hartnäckig ist, dann werden wir ihn für 10 Tage zu unserer „schwarzen Liste“ „ssh_blacklist“ hinzufügen, denn das spielt keine Rolle. add chain=input Protocol=tcp dst-port=22 Connection-State=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment=" " deaktiviert=nein 5. Und mit diesem Befehl verbannen wir ohne jeden Zweifel jeden von der „ssh_blacklist“-Liste (beachten Sie, dass die Regel standardmäßig inaktiv ist): add chain=input Protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers"disabled=yes Als ich in Wirklichkeit ein solches Schema erstellte und versuchte, von der Linux-Konsole aus eine Verbindung zur externen IP meines Mikrotik herzustellen, wurde die „Angreifer“-IP bereits beim zweiten Versuch (und nicht beim dritten oder vierten) in die „ssh_blacklist“ aufgenommen " Liste. Ich verwende kein SSH für Mikrotik, daher ist es in meinem Fall nicht fatal, aber wenn man tatsächlich so eine Remote-Verbindung herstellt, dann Zunächst könnte es eine gute Idee sein, die Sperrregel nicht zu aktivieren (deaktiviert=ja).. Lassen Sie sie auf die Liste kommen, ohne dass Fragen gestellt werden. Schätzen Sie in der Praxis ab, wie oft Sie sich hintereinander verbinden müssen, bevor Sie auf die Verbotsliste gelangen. Aktivieren Sie nach Überprüfung die Sperrregel gemäß der Liste „ssh_blacklist“! Es tut mir leid, dass die Befehle lang sind, aber der Parser frisst den Backslash, sodass er in einer Zeile endet. |
Beliebt:
Neu
- BIOS: Von der Festplatte booten
- So booten Sie von einer „Installations“-DVD oder einem Flash-Laufwerk – BIOS-Setup in Bildern
- Wie stelle ich RAM-Timings richtig ein?
- Installieren von Navitel auf einem Navigator und Computer
- Ändern Sie das Passwort auf dem Minecraft-Server über Ihr persönliches Konto und im Client
- Was ist ein Lautsprecherkabel?
- Verwenden Sie Ihren Computer als Telefon
- So verwenden Sie ein Smartphone als Modem für einen Laptop
- So schließen Sie einen zweiten Fernseher an einen Receiver oder eine Digital-TV-Set-Top-Box an
- Die besten Netbooks laut Kundenrezensionen