Svetainės skyriai
Redaktoriaus pasirinkimas:
- Interneto greičio tikrinimas: metodų apžvalga Kaip sužinoti tikrąjį interneto greitį iš savo teikėjo
- Trys būdai atidaryti „Windows“ registro rengyklę Registro atidarymas naudojant paiešką
- Kaip padalinti standųjį diską
- Kietąjį diską padaliname į skaidinius
- Įjungus kompiuteris pypsi
- Teisingas failų plėtinių keitimas sistemoje Windows Kaip pakeisti archyvo plėtinį
- Skelbimų blokavimas „YouTube“ „YouTube“ be skelbimų
- TeamViewer – nuotolinis kompiuterio valdymas Atsisiųskite programą, kad galėtumėte bendrauti su kitu kompiuteriu
- Kaip sužinoti kompiuterio charakteristikas sistemoje „Windows“: sistemos metodai ir specialios programos
- Atnaujiname naršykles skirtinguose įrenginiuose: kompiuteryje, planšetėje, išmaniajame telefone Įdiekite atnaujintą naršyklę kur ir kaip
Reklama
Mikrotik: naudingi patarimai, kaip nustatyti. Mikrotik: Naudingi patarimai, kaip nustatyti Serverio apsauga nuo išorinio įsilaužimo per Mikrotik |
Mikrotik - maršrutizatorius, maršrutizatorius, prieigos taškas. Kaip nustatyti Mikrotik? Kaip apsaugoti „Mikrotik“ nuo priešo įsibrovimų iš išorės? Norėdami apsaugoti savo Mikrotik maršrutizatorių, turite: P.S. po komandos nustatymo R, - maršrutizatorius ištrins visus nustatymus, bet ne slaptažodžius, prie jo galite prisijungti per WinBox per IP - 192.168.88.1 Nustatymai iš konsolės: Pažiūrėkime, kokios yra sąsajos: Suaktyvinkite tuos, kurių jums reikia: Pažiūrėkime į IP: Pridėkite interneto tiekėjo DNS: Įgalinti NAT (maskaradą): Konfigūruoti ugniasienę, t.y. būtina organizuoti paketų filtravimą (įvesties grandines) ir, žinoma, kad po apsaugos jūsų tinklas veiktų - organizuoti paketų perdavimą - tai yra tiesioginės grandinės: P.S Pirmiausia eikite per WinBox - IP -> Firewall -> Service Port - išjunkite viską Išjunkite, palikite tai, ko reikia, būtent mūsų atveju pptp (VPN serveris), o jei norite naudoti įmontuotą FTP - ftp Taisyklių pridėjimas: Norėdami apsaugoti savo tinklą, turite patikrinti visą eismą ip ugniasienės filtras pridėti grandinė=persiuntimo protokolas=tcp connection-state=neleistinas veiksmas=drop komentaras="Pašalinti netinkamus ryšius" Blokuojame vidinių tinklų IP adresus. Arba: Sukurkime tcp grandinės tcp taisykles ir uždrauskime kai kuriuos prievadus: Išjunkite udp grandinės udp prievadus: Leiskime tik būtinus icmp grandinės icmp kodus: Gamintojo Mikrotik maršrutizatoriai tampa vis populiaresni dėl patrauklios kainos ir gausaus funkcionalumo. Galbūt SOHO segmente Mikrotik yra lyderis. Šiandien norime pakalbėti apie naudingas konfigūravimo parinktis, kurios padės sustiprinti atsparumą išoriniams atakoms ir užtikrinti stabilų Jūsų biuro Mikrotik darbą. Mikrotik apsauga1. Administratoriaus prisijungimo ir slaptažodžio keitimas Pradėkime nuo pagrindinės maršrutizatoriaus apsaugos – nuo įsilaužimo atsparaus administratoriaus prisijungimo ir slaptažodžio sukūrimo. Pagal numatytuosius nustatymus Mikrotik naudoja prisijungimą admin ir tuščią slaptažodį. Pataisykime tai: per Winbox prisijunkite prie mūsų maršrutizatoriaus ir eikite į nustatymų skyrių Sistema → Vartotojai. Mes matome vartotoją admin kuris yra sukonfigūruotas pagal numatytuosius nustatymus: Pridėkime naują vartotoją, kuris turės griežtesnę informaciją apie įsilaužimą (prisijungimo vardą / slaptažodį). Norėdami tai padaryti, spustelėkite „+“ piktogramą viršutiniame kairiajame kampe: Atkreipkite dėmesį, kad lauke Grupė turite pasirinkti pilnas suteikti vartotojui administravimo teises. Atlikę nustatymus, ištrinkite vartotoją admin ir nuo šiol prisijungimui prie administravimo sąsajos naudojame tik naują vartotoją. 2. Aptarnavimo prievadai „Mikrotik“ maršrutizatorius „sujungė“ kai kurias paslaugas, kurių prievadai pasiekiami iš viešojo interneto. Galbūt tai yra jūsų tinklo grandinės pažeidžiamumas. Todėl siūlome pereiti į nustatymų skyrių IP → Paslaugos: Jei „Mikrotik“ pasiekiate tik per „Winbox“, siūlome išjungti visas paslaugas, išskyrus winbox Ir ssh(palikite ssh tam atvejui), būtent:
Norėdami išjungti, spustelėkite raudoną „x“ piktogramą. Nuo tada, kai išvykome SSH prieigą prie serverio, „apsaugokime“ jį pakeisdami prievadą iš 22 į 6022. Norėdami tai padaryti, dukart spustelėkite SSH paslaugos prievadą ir atsidariusiame lange nurodykite nustatymą: Spustelėkite Taikyti Ir Gerai. 3. Apsauga nuo brutalios jėgos (žalia jėgos) Oficialioje „Mikrotik“ svetainėje yra rekomendacijų, kaip apsaugoti maršrutizatorių nuo slaptažodžio, naudojant FTP ir SSH prieigą. Ankstesniame veiksme uždarėme FTP prieigą, todėl jei griežtai laikotės šių nurodymų, naudokite tik kodą, kad apsisaugotumėte nuo SSH atakų. Kitu atveju nukopijuokite abu. Taigi atidarykite maršrutizatoriaus valdymo terminalą. Norėdami tai padaryti, dešiniajame naršymo meniu spustelėkite Naujas terminalas. Paeiliui nukopijuokite toliau pateiktą kodą į maršrutizatoriaus konsolę: /ip ugniasienės filtras #Blokuoti FTP atakas add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \ comment="drop ftp brute forcers" add chain=output action=accept protocol=tcp content ="530 Prisijungimas neteisingas" dst-limit=1/1m,9,dst-address/1m add chain=output action=add-dst-to-address-list protocol=tcp content="530 Prisijungimas neteisingas" \ adresų sąrašas =ftp_blacklist address-list-timeout=3h #Blokuoti atakas per SSH add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \ comment="drop ssh brute forcers" išjungta=nepridėti grandinės =input protocol=tcp dst-port=22 connection-state=new \ src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \ address-list-timeout=10d comment= " " Disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new \ src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \ address-list - timeout=1m comment="" išjungta=no add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \ action=add-src-to-address-list address-list = ssh_stage2 address-list-timeout=1m comment="" išjungta=no add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \ address-list=ssh_stage1 adresas -list-timeout=1m komentaras="" išjungta=ne Konfigūracijos atsarginės kopijos kūrimasJei maršrutizatorius sugenda ar nelaimingas atsitikimas, turite turėti jo konfigūraciją, kad galėtumėte greitai atkurti. Tai padaryti labai paprasta: atidarykite terminalą spustelėdami naršymo meniu Naujas terminalas ir nurodykite šią komandą: Eksportuoti failą=backup2020-02-10_01:01:22 Failą galite rasti naršymo meniu spustelėję skyrių Failai. Atsisiųskite jį į savo kompiuterį dešiniuoju pelės mygtuku spustelėdami ir pasirinkdami parsisiųsti Blokuoti prieigą prie svetainėsDarbo valandomis darbuotojai privalo dirbti. Todėl užblokuokime prieigą prie pramoginių išteklių, tokių kaip Youtube, Facebook ir Vkontakte. Norėdami tai padaryti, eikite į skyrių IP → Ugniasienė. Spustelėkite skirtuką 7 sluoksnio protokolas tada spustelėkite piktogramą „+“ viršutiniame kairiajame kampe: Suteikiame pavadinimą savo taisyklei, kuri veiks 7 OSI modelio lygyje, o skyriuje Regexp pridedame: ^.+(youtube.com|facebook.com|vk.com).*$ Spustelėkite Gerai ir eikite į skirtuką Filtro taisyklės ir spustelėkite „+“ piktogramą: Skiltyje Grandinė pasirinkite Persiųsti. Tame pačiame lange eikite į skirtuką Išplėstinė ir lauke Layer 7 Protocol pasirinkite mūsų sukurtą blokavimo taisyklę: Eikite į skirtuką Veiksmas, ir ten pasirinkite Veiksmas = Drop: Kai nustatymai bus baigti, spustelėkite Taikyti Ir Gerai. Ar šis straipsnis buvo jums naudingas?Prašau pasakyk kodėl?Atsiprašome, kad straipsnis jums nebuvo naudingas: (Prašau, jei nesunku, nurodykite kodėl? Būsime labai dėkingi už išsamų atsakymą. Dėkojame, kad padėjote mums tapti geresniais! Brutalia jėga yra tada, kai kas nors bando, kartais ilgai ir sunkiai, atspėti mūsų slaptažodį bet kam, naudodamas brutalią jėgą. Linux sistemoje fail2ban sėkmingai naudojamas apsisaugoti nuo to. Mikrotik tokio malonumo nėra, todėl turėsime malonumą savo rankomis sukurti apsaugą nuo brutumo. Visas komandų sąrašas, kurį tikriausiai matėte oficialiame wiki (http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention): add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" išjungta=ne Ir internete yra daug vietų, kur galima įsigyti šį rinkinį. Aš tik šiek tiek paaiškinsiu, ką tai daro. Idėja tokia: mes suteikiame tris teisėtus bandymus per trumpą laiką prisijungti per ssh (22/tcp, jei turite kitą prievadą, naudokite savo). Ketvirtuoju bandymu mes jus užblokuojame 10 dienų. Mes turime teisę. Taigi, žingsnis po žingsnio. 1. Užmegzdami naują ryšį (connection-state=new) su prievadu 22/tcp, prisimename šaltinio ip ir įdedame jį į „ssh_stage1“ sąrašą 1 minutei: add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" išjungta=ne 2. Jei per šią minutę šis „kažkas“ (o mes jį prisimename „ssh_stage1“) dar kartą norės užmegzti naują ryšį su 22/tcp, įtrauksime jį į sąrašą „ssh_stage2“, taip pat 1 minutę: add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=" " išjungta = ne 3. Jei per šią minutę šis „kažkas“ (dabar jis yra „ssh_stage2“) vėl nori prisijungti prie 22/tcp, įtraukiame jį į sąrašą „ssh_stage3“ (taip, atspėjote, vėl 1 minutę): add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment=" " išjungta = ne 4. Jei jis atkaklus, tai gerai, mes įtrauksime jį į savo „juodąjį sąrašą“ „ssh_blacklist“ 10 dienų, nes tai nesvarbu. add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment=" " išjungta = ne 5. Ir su šia komanda mes be jokios abejonės uždraudžiame visus iš „ssh_blacklist“ sąrašo (atkreipkite dėmesį, kad taisyklė pagal numatytuosius nustatymus yra neaktyvi): pridėti grandinė=įvesties protokolas=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" išjungta=taip Realiai, kai padariau tokią schemą ir bandžiau prisijungti iš Linux konsolės prie išorinio savo mikrotik ip, jau antruoju bandymu (o ne 3 ar 4) „attacker“ ip buvo įtrauktas į „ssh_blacklist“. “ sąrašą. Aš nenaudoju ssh prie Mikrotik, todėl mano atveju tai nėra mirtina, bet jei taip jungiatės nuotoliniu būdu, tada Iš pradžių gali būti naudinga neįjungti draudimo taisyklės (išjungta = taip). Tegul jie patenka į sąrašą, jokių klausimų. Praktiškai įvertinkite, kiek kartų iš eilės reikia prisijungti, kad patektumėte į uždraustų asmenų sąrašą. Po patikrinimų suaktyvinkite uždraudimo taisyklę pagal sąrašą „ssh_blacklist“! Atsiprašau, kad komandos ilgos, bet analizatorius suvalgo pasvirąjį brūkšnį, todėl jis patenka į vieną eilutę. |
Nauja
- Trys būdai atidaryti „Windows“ registro rengyklę Registro atidarymas naudojant paiešką
- Kaip padalinti standųjį diską
- Kietąjį diską padaliname į skaidinius
- Įjungus kompiuteris pypsi
- Teisingas failų plėtinių keitimas sistemoje Windows Kaip pakeisti archyvo plėtinį
- Skelbimų blokavimas „YouTube“ „YouTube“ be skelbimų
- TeamViewer – nuotolinis kompiuterio valdymas Atsisiųskite programą, kad galėtumėte bendrauti su kitu kompiuteriu
- Kaip sužinoti kompiuterio charakteristikas sistemoje „Windows“: sistemos metodai ir specialios programos
- Atnaujiname naršykles skirtinguose įrenginiuose: kompiuteryje, planšetėje, išmaniajame telefone Įdiekite atnaujintą naršyklę kur ir kaip
- Kaip sutepti procesoriaus, vaizdo plokštės, maitinimo šaltinio ir kompiuterio aušintuvą