Разделы сайта
Выбор редакции:
- Как поставить музыку на звонок
- Обновление Андроид: как обновиться до новой версии, сделать откат?
- Что делать если не включается Nokia Lumia?
- Установка официальной прошивки на Lenovo RocStar (A319) Перепрошивка lenovo
- Обзор и тестирование игровой гарнитуры Kingston HyperX Cloud II
- Бесплатная проверка iPhone по IMEI
- Что такое доверительный платёж МТС?
- Программа «Аэрофлот Бонус»: как накопить мили и на что их можно потратить?
- Как узнать какой диск на компьютере: SSD или HDD Как узнать какой ssd стоит на компьютере
- Тестирование Fractal Design Define R5 Fractal Design Define R5 — Тихий, просторный
Реклама
Mikrotik: Полезные советы по настройке. Mikrotik: Полезные советы по настройке Защита сервера от внешнего взлома через микротик |
Mikrotik - маршрутизатор, роутер, точка доступа. Как настроить Mikrotik? Как защитить Mikrotik от вражеских вторжений из вне? Для защиты Mikrotik маршрутизатора необходимо: P.S. после команды setup, R, — роутер сотрёт все настройки, но не пароли, к нему можно подключиться через WinBox по IP — 192.168.88.1 Настройка из консоли: Смотрим какие есть интерфейсы: Активируем нужные: Смотрим IP: Добавляем DNS провайдера интернет: Включить NAT (masquerade): Настроить Firewall, т.е. необходимо организовать фильтрацию пакетов (цепочки input), и естественно чтобы после защиты ваша сеть смогла работать — организовать прохождение пакетов — это цепочки forward: P.S Для начала зайдите — через WinBox — IP -> Firewall -> Service Port — отключите всё Disable, оставьте то что необходимо, а именно в нашем случае pptp (VPN server), и если вы хотите задействовать встроенный FTP — ftp Добавляем правила: Для защиты сети вам необходимо проверять весь трафик, проходящий через ip firewall filter add chain=forward protocol=tcp connection-state=invalid action=drop comment=»Drop invalid connections» Блокируем IP адреса внутренних сетей. Либо: Создадим правила tcp для цепочке tcp и запретим некоторые порты: Запретим udp порты для цепочки udp: Разрешим только необходимые icmp коды для icmp цепочки: Маршрутизаторы от производителя Mikrotik приобретают все большую популярность благодаря привлекательной цене и богатому функционалу. Пожалуй, в SOHO сегмента Mikrotik является лидером. Сегодня хотим рассказать о полезных опциях настройки, которые помогут укрепить устойчивость к внешним атакам и обеспечить стабильную работу для вашего офисного Mikrotik. Защита Mikrotik1. Смена логина и пароля администратора Начнем с первичной защиты нашего маршрутизатора – созданию стойкого к взломам логина и пароля администратора. По умолчанию, в Mikrotik используется логин admin и пустой пароль. Давайте исправим это: подключаемся через Winbox к нашему маршрутизатору и переходим в раздел настройки System → Users . Видим пользователя admin , который настроен по умолчанию: Добавим нового пользователя, который будет обладать более строгими к взлому реквизитами (логин/пароль). Для этого, нажмите на значок «+» в левом верхнем углу: ![]() Обратите внимание, в поле Group необходимо выбрать full , чтобы предоставить администраторские привилегии для пользователя. После произведенных настроек удаляем пользователя admin и отныне используем только нового пользователя для подключения к интерфейса администрирования. 2. Сервисные порты В маршрутизаторе Микротик «зашиты» некоторые службы, порты которых доступны для доступа из публичной сети интернет. Потенциально, это уязвимость для Вашего сетевого контура. Поэтому, мы предлагаем перейти в раздел настройки IP → Services : ![]() Если вы используете доступ к Mikrotik только по Winbox, то мы предлагаем Вам отключить все сервисы, за исключением winbox и ssh (на всякий случай оставить ssh), а именно:
Для отключения нажмите красный значок «х». Так как мы оставили SSH доступ к серверу, давайте «засекьюрим» его, сменив порт с 22 на 6022. Для этого, дважды нажмите на сервисный порт SSH и в открывшемся окне укажите настройку: ![]() Нажимаем Apply и ОК . 3. Защита от брут – форса (перебора) На официальном сайте Mikrotik существуют рекомендации о том, как защитить свой маршрутизатор от перебора паролей по FTP и SSH доступу. В предыдущем шаге мы закрыли FTP доступ, поэтому, если Вы строго следуете по данной инструкции, то используйте только код для защиты от SSH – атак. В противном случае, скопируйте оба. Итак, открываем терминал управления маршрутизатором. Для этого, в правом меню навигации нажмите New Terminal . Последовательно скопируйте указанный ниже код в консоль роутера: /ip firewall filter #Блокируем атаки по FTP add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \ comment="drop ftp brute forcers" add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \ address-list=ftp_blacklist address-list-timeout=3h #Блокируем атаки по SSH add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \ comment="drop ssh brute forcers" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new \ src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \ address-list-timeout=10d comment="" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new \ src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \ address-list-timeout=1m comment="" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \ action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \ address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no Создание резервной копии конфигурацииНа случай выхода из строя или аварии роутера, необходимо иметь под рукой его конфиг для оперативного восстановления. Сделать его крайне просто: открываем терминал, нажав в меню навигации New Terminal и указываем следующую команду: Export file=backup2020-02-10_01:01:22 Файл можно обнаружить нажав в меню навигации на раздел Files . Скачайте его себе на ПК, нажав правой кнопкой мыши и выбрав Download ![]() Блокировка доступа к сайтаВ рабочее время сотрудники должны работать. Поэтому, давайте заблокируем доступ к развлекательным ресурсам, таким как Youtube, Facebook и Вконтакте. Для этого, перейдите в раздел IP → Firewall . Нажимаем на вкладку Layer 7 Protocol и затем нажимаем на значок «+» в левом верхнем углу: ![]() Даем имя нашему правилу, которое будет оперировать на 7 уровне модели OSI, а в разделе Regexp добавляем: ^.+(youtube.com|facebook.com|vk.com).*$ Нажимаем OK и переходим к вкладке Filter Rules и нажимаем значок «+»: ![]() В разделе Chain выбираем Forward. Переходим в том же окне во вкладку Advanced и в поле Layer 7 Protocol выбираем созданное нами правило блокировки: ![]() Переходим во вкладку Action , и там выбираем Action = Drop: ![]() По окончанию настроек нажимаем Apply и OK . Полезна ли Вам эта статья?Пожалуйста, расскажите почему?Нам жаль, что статья не была полезна для вас:(Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше! Брутфорс - это когда кто-то пытается, порой долго и упорно, подобрать наш пароль к чему-угодно методом перебора. В Linux для защиты от этого успешно используется fail2ban. В микротике такого удовольствия нет, поэтому мы будем иметь удовольствие создавать защиту от brutforce своими руками. Полный листинг команд, который вы наверняка видели в официальной wiki (http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention): add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no И в сети много где есть этот наборчик. Я просто чуть-чуть объясню, что он делает. Идея такова: даем три легитимные попытки в течение короткого времени на коннект по ssh (22/tcp, если у вас другой порт - поставте свой). При четвертой попытке - баним на 10 дней. Имеем право. Итак, по шагам. 1. При установлении нового соединения (connection-state=new) с портом 22/tcp мы запоминаем ip источника и помещаем его в список "ssh_stage1" на 1 минуту: add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no 2. Если в течение этой минуты этот "кто-то" (а его мы запомнили в "ssh_stage1") еще раз захочет установить новое соединение с 22/tcp, мы его добавим в список "ssh_stage2", и тоже на 1 минуту: add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no 3. Если в течение этой минуты этот "кто-то" (теперь он в "ssh_stage2") опять захочет соединиться с 22/tcp, мы его добавляем в список "ssh_stage3" (да, вы угадали, опять на 1 минуту): add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no 4. Если же он упорный, то что же, мы его на 10 дней добавим в наш "черный список" "ssh_blacklist", ибо нефиг. add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no 5. А этой командой всех из списка "ssh_blacklist" баним без тени сомнения (обратите внимание, что правило по-умолчанию неактивно): add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=yes В реальности, когда я сделал такую схему и попробовал соединиться из консоли Linux к внешнему ip моего mikrotik, уже со второй попытки (а не с 3 или 4) ip "злоумышленника" попал в список " ssh_blacklist ". Я ssh к микротик не использую, поэтому в моем случае это не смертельно, но если вы в самом деле подключаетесь так удаленно, то сначала может быть неплохо не включать правило (disabled=yes), отвечающее за бан . В список пускай попадают, нет вопросов. Оцените на практике, сколько раз вам требуется подключаться подряд до попадания всписок бана. После проверок активируйте правило бана по списку " ssh_blacklist "! Прошу прощения, что команды длинные, но парсер съедает обратный слеш, так что приходится в одну строку. |
Популярное:
Новое
- Обновление Андроид: как обновиться до новой версии, сделать откат?
- Что делать если не включается Nokia Lumia?
- Установка официальной прошивки на Lenovo RocStar (A319) Перепрошивка lenovo
- Обзор и тестирование игровой гарнитуры Kingston HyperX Cloud II
- Бесплатная проверка iPhone по IMEI
- Что такое доверительный платёж МТС?
- Программа «Аэрофлот Бонус»: как накопить мили и на что их можно потратить?
- Как узнать какой диск на компьютере: SSD или HDD Как узнать какой ssd стоит на компьютере
- Тестирование Fractal Design Define R5 Fractal Design Define R5 — Тихий, просторный
- Как ускорить "Андроид" - смартфон и планшет?