Vietnes sadaļas
Redaktora izvēle:
- Kā zvana laikā ievietot mūziku
- Android atjauninājums: kā atjaunināt uz jaunu versiju, atgriešana?
- Ko darīt, ja Nokia Lumia neieslēdzas?
- Oficiālās programmaparatūras instalēšana uz Lenovo RocStar (A319) Lenovo mirgo
- Kingston HyperX Cloud II spēļu austiņu apskats un testēšana
- Bezmaksas iPhone IMEI pārbaude
- Kas ir MTS trasta maksājums?
- Aeroflot Bonusa programma: kā uzkrāt jūdzes un kam tās tērēt?
- Kā uzzināt, kurš disks ir jūsu datorā: SSD vai HDD Kā uzzināt, kurš ssd ir jūsu datorā
- Fractal Design Define R5 testēšana Fractal Design Define R5 — kluss, plašs
Reklāma
Mikrotik: Noderīgi padomi iestatīšanai. Mikrotik: Noderīgi padomi iestatīšanai Servera aizsardzība pret ārēju uzlaušanu, izmantojot Mikrotik |
Mikrotik - maršrutētājs, maršrutētājs, piekļuves punkts. Kā iestatīt Mikrotik? Kā pasargāt Mikrotik no ienaidnieka ielaušanās no ārpuses? Lai aizsargātu Mikrotik maršrutētāju, jums ir nepieciešams: P.S. pēc komandas iestatīšanas R, - maršrutētājs izdzēsīs visus iestatījumus, bet ne paroles, jūs varat izveidot savienojumu ar to, izmantojot WinBox, izmantojot IP — 192.168.88.1 Iestatījumi no konsoles: Apskatīsim, kādas saskarnes pastāv: Aktivizējiet tos, kas jums nepieciešami: Apskatīsim IP: Pievienojiet interneta pakalpojumu sniedzēja DNS: Iespējot NAT (maskādi): Konfigurēt ugunsmūri, t.i. ir jāorganizē pakešu filtrēšana (ievades ķēdes), un, protams, lai pēc aizsardzības jūsu tīkls varētu darboties - organizēt pakešu pāreju - tās ir priekšējās ķēdes: P.S Vispirms dodieties caur WinBox - IP -> Firewall -> Service Port - atspējojiet visu Atspējojiet, atstājiet nepieciešamo, proti, mūsu gadījumā pptp (VPN serveris), un, ja vēlaties izmantot iebūvēto FTP - ftp Noteikumu pievienošana: Lai aizsargātu tīklu, jums jāpārbauda visa trafika, kas iet cauri ip ugunsmūra filtrs add chain=forward protocol=tcp connection-state=invalid action=drop comment=”Atmest nederīgos savienojumus” Mēs bloķējam iekšējo tīklu IP adreses. Vai: Izveidosim tcp kārtulas tcp ķēdei un noliegsim dažus portus: Atspējosim udp pieslēgvietas udp ķēdei: Atļausim tikai nepieciešamos icmp kodus icmp ķēdei: Ražotāja Mikrotik maršrutētāji kļūst arvien populārāki to pievilcīgās cenas un bagātīgās funkcionalitātes dēļ. Iespējams, SOHO segmentā Mikrotik ir līderis. Šodien vēlamies parunāt par noderīgām konfigurācijas iespējām, kas palīdzēs nostiprināt izturību pret ārējiem uzbrukumiem un nodrošinās Jūsu biroja Mikrotik stabilu darbību. Mikrotik aizsardzība1. Administratora pieteikumvārda un paroles maiņa Sāksim ar mūsu maršrutētāja primāro aizsardzību - izveidojot pret uzlaušanu izturīgu administratora pieteikumvārdu un paroli. Pēc noklusējuma Mikrotik izmanto pieteikšanos admin un tukša parole. Novērsīsim šo: izveidojiet savienojumu ar mūsu maršrutētāju, izmantojot Winbox, un dodieties uz iestatījumu sadaļu Sistēma → Lietotāji. Mēs redzam lietotāju admin kas ir konfigurēts pēc noklusējuma: Pievienosim jaunu lietotāju, kuram būs stingrāka uzlaušanas informācija (pieteikšanās/parole). Lai to izdarītu, noklikšķiniet uz ikonas “+” augšējā kreisajā stūrī: Lūdzu, ņemiet vērā, ka laukā Grupa ir jāatlasa pilns lai piešķirtu lietotājam administratīvās tiesības. Pēc iestatījumu veikšanas izdzēsiet lietotāju admin un turpmāk mēs izmantojam tikai jauno lietotāju, lai izveidotu savienojumu ar administrācijas saskarni. 2. Servisa porti Mikrotik maršrutētājs ir "pieslēdzis" dažus pakalpojumus, kuru porti ir pieejami no publiskā interneta. Iespējams, tā ir jūsu tīkla ķēdes ievainojamība. Tāpēc mēs iesakām doties uz iestatījumu sadaļu IP → Pakalpojumi: Ja Mikrotik piekļūstat tikai caur Winbox, tad iesakām atslēgt visus pakalpojumus, izņemot winbox Un ssh(atstājiet ssh katram gadījumam), proti:
Lai izslēgtu, noklikšķiniet uz sarkanās ikonas "x". Kopš aizbraucām SSH piekļuvi serverim, “nodrošināsim” to, mainot portu no 22 uz 6022. Lai to izdarītu, veiciet dubultklikšķi uz SSH servisa porta un atveramajā logā norādiet iestatījumu: Klikšķis Pieteikties Un labi. 3. Aizsardzība pret brutālu spēku (brutāls spēks) Oficiālajā Mikrotik vietnē ir ieteikumi, kā aizsargāt maršrutētāju no paroles brutāla spēka, izmantojot FTP un SSH piekļuvi. Iepriekšējā darbībā mēs aizvērām FTP piekļuvi, tādēļ, ja stingri ievērojat šos norādījumus, izmantojiet tikai kodu, lai aizsargātu pret SSH uzbrukumiem. Pretējā gadījumā kopējiet abus. Tātad, atveriet maršrutētāja pārvaldības termināli. Lai to izdarītu, labajā navigācijas izvēlnē noklikšķiniet uz Jauns terminālis. Secīgi kopējiet tālāk norādīto kodu maršrutētāja konsolē: /ip ugunsmūra filtrs #Block FTP uzbrukumi add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \ comment="drop ftp brute forcers" add chain=output action=accept protocol=tcp content ="530 Nepareiza pieteikšanās" dst-limit=1/1m,9,dst-address/1m add chain=output action=add-dst-to-address-list protocol=tcp content="530 Nepareiza pieteikšanās" \ adrešu saraksts =ftp_blacklist address-list-timeout=3h #Bloķēt uzbrukumus, izmantojot SSH pievienot ķēdi=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \ comment="nomest ssh brute forcers" atspējots=nav pievienot ķēdi =input protocol=tcp dst-port=22 connection-state=new \ src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \ address-list-timeout=10d comment= " " Disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new \ src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \ address-list - timeout=1m comment="" atspējots=nav pievienošanas ķēde=ievades protokols=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \ action=add-src-to-address-list address-list = ssh_stage2 address-list-timeout=1m comment="" atspējots=nav pievienošanas ķēde=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \ address-list=ssh_stage1 adrese -list-timeout=1m komentārs="" atspējots=nē Konfigurācijas dublējuma izveideMaršrutētāja kļūmes vai negadījuma gadījumā jums ir jābūt pieejamai tā konfigurācijai, lai ātri atgūtu. Tas ir ļoti vienkārši izdarāms: atveriet termināli, noklikšķinot navigācijas izvēlnē Jauns terminālis un norādiet šādu komandu: Eksportēt failu=backup2020-02-10_01:01:22 Failu var atrast, navigācijas izvēlnē noklikšķinot uz sadaļas Faili. Lejupielādējiet to savā datorā, ar peles labo pogu noklikšķinot un atlasot Lejupielādēt Bloķēt piekļuvi vietneiDarba laikā darbiniekiem ir jāstrādā. Tāpēc bloķēsim piekļuvi tādiem izklaides resursiem kā Youtube, Facebook un Vkontakte. Lai to izdarītu, dodieties uz sadaļu IP → Ugunsmūris. Noklikšķiniet uz cilnes 7. slāņa protokols un pēc tam noklikšķiniet uz ikonas “+” augšējā kreisajā stūrī: Mēs piešķiram nosaukumu mūsu noteikumam, kas darbosies OSI modeļa 7. līmenī, un sadaļā Regexp mēs pievienojam: ^.+(youtube.com|facebook.com|vk.com).*$ Klikšķis labi un dodieties uz cilni Filtra noteikumi un noklikšķiniet uz ikonas “+”: Sadaļā Ķēde atlasiet Pārsūtīt. Tajā pašā logā dodieties uz cilni Papildu un laukā Layer 7 Protocol atlasiet izveidoto bloķēšanas noteikumu: Dodieties uz cilni Darbība, un tur mēs izvēlamies Darbība = Drop: Kad iestatījumi ir pabeigti, noklikšķiniet uz Pieteikties Un labi. Vai šis raksts jums bija noderīgs?Sakiet, lūdzu, kāpēc?Atvainojamies, ka raksts jums nebija noderīgs: (Lūdzu, ja nav grūti, norādiet, kāpēc? Būsim ļoti pateicīgi par detalizētu atbildi. Paldies, ka palīdzējāt mums kļūt labākiem! Brutāls spēks ir tad, kad kāds mēģina dažreiz ilgi un cītīgi uzminēt mūsu paroli jebkam, izmantojot brutālu spēku. Operētājsistēmā Linux fail2ban tiek veiksmīgi izmantots, lai aizsargātu pret to. Mikrotikā tāda prieka nav, tāpēc mums būs prieks ar savām rokām izveidot aizsardzību pret brutālu spēku. Pilns komandu saraksts, ko jūs, iespējams, redzējāt oficiālajā wiki (http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention): pievienot ķēde=ievades protokols=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="nomest ssh brute forcers" atspējots=nē Un internetā ir daudz vietu, kur šis komplekts ir pieejams. Es tikai nedaudz paskaidrošu, ko tas dara. Ideja ir šāda: mēs veicam trīs likumīgus mēģinājumus īsā laikā izveidot savienojumu, izmantojot ssh (22/tcp, ja jums ir cits ports, izmantojiet savu). Ceturtajā mēģinājumā mēs jūs aizliedzam uz 10 dienām. Mums ir tiesības. Tātad, soli pa solim. 1. Izveidojot jaunu savienojumu (connection-state=new) ar portu 22/tcp, atceramies avota ip un ievietojam to sarakstā “ssh_stage1” uz 1 minūti: add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" atspējots=nē 2. Ja šīs minūtes laikā šis "kāds" (un mēs viņu atceramies "ssh_stage1") vēlreiz vēlas izveidot jaunu savienojumu ar 22/tcp, mēs pievienosim viņu sarakstam "ssh_stage2", kā arī uz 1 minūti: add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=" " atspējots = nē 3. Ja šīs minūtes laikā šis "kāds" (tagad viņš atrodas "ssh_stage2") atkal vēlas izveidot savienojumu ar 22/tcp, mēs pievienojam viņu sarakstam "ssh_stage3" (jā, jūs uzminējāt, atkal uz 1 minūti): add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment=" " atspējots = nē 4. Ja viņš ir neatlaidīgs, tad mēs viņu pievienosim savam “melnajam sarakstam” “ssh_blacklist” uz 10 dienām, jo tam nav nozīmes. add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment=" " atspējots = nē 5. Un ar šo komandu mēs bez šaubām izslēdzam visus no saraksta “ssh_blacklist” (ņemiet vērā, ka noteikums pēc noklusējuma ir neaktīvs): pievienot ķēde=ievades protokols=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="nomest ssh brute forcers" atspējots=jā Reāli, kad uztaisīju šādu shēmu un mēģināju pieslēgties no Linux konsoles pie sava mikrotik ārējā ip, jau otrajā mēģinājumā (un nevis 3. vai 4.) “uzbrucēja” ip tika iekļauts “ssh_blacklist” ” sarakstu. Es neizmantoju ssh uz Mikrotik, tāpēc manā gadījumā tas nav liktenīgs, bet, ja jūs patiešām izveidojat savienojumu attālināti šādi, tad Sākumā varētu būt laba ideja neiespējot aizlieguma noteikumu (disabled=yes). Ļaujiet viņiem iekļūt sarakstā, bez jautājumiem. Praksē aprēķiniet, cik reižu jums pēc kārtas ir jāpieslēdzas pirms nokļūšanas aizliegumu sarakstā. Pēc pārbaudēm aktivizējiet aizlieguma noteikumu saskaņā ar sarakstu "ssh_blacklist"! Es atvainojos, ka komandas ir garas, bet parsētājs apēd atpakaļvērsto slīpsvītru, tāpēc tas nonāk vienā rindā. |
Populārs:
Jauns
- Android atjauninājums: kā atjaunināt uz jaunu versiju, atgriešana?
- Ko darīt, ja Nokia Lumia neieslēdzas?
- Oficiālās programmaparatūras instalēšana uz Lenovo RocStar (A319) Lenovo mirgo
- Kingston HyperX Cloud II spēļu austiņu apskats un testēšana
- Bezmaksas iPhone IMEI pārbaude
- Kas ir MTS trasta maksājums?
- Aeroflot Bonusa programma: kā uzkrāt jūdzes un kam tās tērēt?
- Kā uzzināt, kurš disks ir jūsu datorā: SSD vai HDD Kā uzzināt, kurš ssd ir jūsu datorā
- Fractal Design Define R5 testēšana Fractal Design Define R5 — kluss, plašs
- Kā paātrināt Android viedtālruni un planšetdatoru?