Sayt bo'limlari
Muharrir tanlovi:
- Internet tezligini tekshirish: usullarning umumiy ko'rinishi. Provayderingizdan haqiqiy Internet tezligini qanday aniqlash mumkin
- Windows ro'yxatga olish kitobi muharririni ochishning uchta usuli Qidiruv yordamida ro'yxatga olish kitobini ochish
- Qattiq diskni qanday qismlarga bo'lish kerak
- Biz qattiq diskni bo'limlarga ajratamiz
- Kompyuter yoqilganda signal beradi
- Windows-da fayl kengaytmalarini to'g'ri o'zgartirish Arxiv kengaytmasini qanday o'zgartirish mumkin
- YouTube YouTube-da reklamalarni reklamasiz bloklash
- TeamViewer - kompyuterni masofadan boshqarish Boshqa kompyuter bilan bog'lanish uchun dasturni yuklab oling
- Windows-da kompyuteringizning xususiyatlarini qanday aniqlash mumkin: tizim usullari va maxsus dasturlar
- Biz turli xil qurilmalarda brauzerlarni yangilaymiz: kompyuter, planshet, smartfon Yangilangan brauzerni qayerda va qanday qilib o'rnating
Reklama
Mikrotik: O'rnatish uchun foydali maslahatlar. Mikrotik: o'rnatish bo'yicha foydali maslahatlar Mikrotik orqali serveringizni tashqi xakerliklardan himoya qilish |
Mikrotik - router, router, kirish nuqtasi. Mikrotikni qanday sozlash kerak? Mikrotikni tashqi tomondan dushman hujumlaridan qanday himoya qilish kerak? Mikrotik routeringizni himoya qilish uchun sizga kerak: P.S. buyruqni o'rnatgandan so'ng, R, - router barcha sozlamalarni o'chirib tashlaydi, lekin parollarni emas, siz unga WinBox orqali IP orqali ulanishingiz mumkin - 192.168.88.1 Konsoldan sozlamalar: Keling, qanday interfeyslar mavjudligini ko'rib chiqaylik: Sizga kerak bo'lganlarni faollashtiring: Keling, IP-ni ko'rib chiqaylik: Internet-provayderning DNS-ni qo'shing: NAT (maskarad) ni yoqing: Xavfsizlik devorini sozlash, ya'ni. paketlarni filtrlashni (kirish zanjirlari) tashkil qilish kerak va tabiiyki, sizning tarmog'ingiz himoyalangandan keyin ishlashi uchun - paketlarning o'tishini tashkil qilish uchun - bu oldinga siljishlar: P.S Birinchidan, WinBox orqali o'ting - IP -> Xavfsizlik devori -> Xizmat porti - hamma narsani o'chirib qo'ying O'chirib qo'ying, kerakli narsani qoldiring, ya'ni bizning holatda pptp (VPN server) va agar siz o'rnatilgan FTP dan foydalanmoqchi bo'lsangiz - ftp Qo'shimcha qoidalar: Tarmoqingizni himoya qilish uchun siz o'tadigan barcha trafikni tekshirishingiz kerak IP xavfsizlik devori filtrini qo'shish zanjiri = oldinga o'tish protokoli = tcp ulanish holati = noto'g'ri harakat = sharhni o'chirish = "Yaroqsiz ulanishlarni o'chirish" Biz ichki tarmoqlarning IP manzillarini bloklaymiz. Yoki: Keling, tcp zanjiri uchun tcp qoidalarini yarataylik va ba'zi portlarni rad etamiz: Keling, udp zanjiri uchun udp portlarini o'chirib qo'yamiz: Keling, icmp zanjiri uchun faqat kerakli icmp kodlariga ruxsat beraylik: Mikrotik ishlab chiqaruvchisining marshrutizatorlari jozibador narxi va boy funksionalligi tufayli tobora ommalashib bormoqda. Ehtimol, SOHO segmentida Mikrotik yetakchi hisoblanadi. Bugun biz tashqi hujumlarga qarshilikni kuchaytirishga va Mikrotik ofisingizning barqaror ishlashini ta'minlashga yordam beradigan foydali konfiguratsiya variantlari haqida gaplashmoqchimiz. Mikrotik himoya1. Administrator login va parolini o'zgartirish Routerimizning asosiy himoyasidan boshlaylik - buzib kirishga chidamli administrator login va parolini yaratish. Odatiy bo'lib, Mikrotik logindan foydalanadi admin va bo'sh parol. Keling, buni tuzatamiz: Winbox orqali routerimizga ulaning va sozlamalar bo'limiga o'ting Tizim → Foydalanuvchilar. Biz foydalanuvchini ko'ramiz admin sukut bo'yicha sozlangan: Keling, yanada qattiqroq xakerlik tafsilotlariga (login/parol) ega bo'lgan yangi foydalanuvchini qo'shamiz. Buning uchun yuqori chap burchakdagi "+" belgisini bosing: Guruh maydonida siz tanlashingiz kerakligini unutmang to'la foydalanuvchiga ma'muriy imtiyozlar berish. Sozlamalar amalga oshirilgandan so'ng, foydalanuvchini o'chiring admin va bundan buyon biz boshqaruv interfeysiga ulanish uchun faqat yangi foydalanuvchidan foydalanamiz. 2. Xizmat portlari Mikrotik marshrutizatori portlari umumiy Internetdan foydalanish mumkin bo'lgan ba'zi xizmatlarni "ulangan". Ehtimol, bu sizning tarmoq sxemangiz uchun zaiflikdir. Shuning uchun biz sozlamalar bo'limiga o'tishni taklif qilamiz IP → Xizmatlar: Agar siz Mikrotik-ga faqat Winbox orqali kirsangiz, bundan tashqari barcha xizmatlarni o'chirib qo'yishingizni tavsiya qilamiz winbox Va ssh(har holda ssh qoldiring), ya'ni:
O'chirish uchun qizil "x" belgisini bosing. Biz ketganimizdan beri SSH serverga kirish uchun portni 22 dan 6022 ga o'zgartirish orqali uni "xavfsiz" qilaylik. Buning uchun SSH xizmat portiga ikki marta bosing va ochilgan oynada sozlamani belgilang: bosing Murojaat qiling Va KELISHDIKMI. 3. Shafqatsiz kuchdan himoya qilish (qo'pol kuch) Mikrotik rasmiy veb-saytida routeringizni FTP va SSH kirish orqali parolni shafqatsiz kuchdan himoya qilish bo'yicha tavsiyalar mavjud. Oldingi bosqichda biz FTP-ga kirishni yopdik, shuning uchun agar siz ushbu ko'rsatmalarga qat'iy rioya qilsangiz, SSH hujumlaridan himoya qilish uchun faqat koddan foydalaning. Aks holda, ikkalasini ham nusxa ko'chiring. Shunday qilib, yo'riqnoma boshqaruv terminalini oching. Buning uchun o'ng navigatsiya menyusida bosing Yangi terminal. Quyidagi kodni marshrutizator konsoliga ketma-ket nusxa ko'chiring: /ip xavfsizlik devori filtri #FTP hujumlarini bloklash zanjirni qo'shish=kirish protokoli=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \ comment="drop ftp brute forcers" qo'shish zanjiri=chiqish harakati=protokolni qabul qilish=tcp kontenti ="530 Kirish noto'g'ri" dst-limit=1/1m,9,dst-manzil/1m qo'shish zanjiri=chiqarish harakati=add-dst-to-address-list protocol=tcp content="530 Kirish noto'g'ri" \ manzil ro'yxati =ftp_blacklist address-list-timeout=3 soat #SSH orqali hujumlarni bloklash zanjiri qoʻshish=kirish protokoli=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \ comment="drop ssh brute forcers" oʻchirilgan=zanjir qoʻshilmaydi =kirish protokoli=tcp dst-port=22 ulanish holati=yangi \ src-adres-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \ address-list-timeout=10d comment= " " o'chirilgan = zanjir qo'shilmagan = kirish protokoli = tcp dst-port = 22 ulanish holati = yangi \ src-address-list = ssh_stage2 action = add-src-to-address-list address-list = ssh_stage3 \ manzillar ro'yxati - timeout=1m comment=""o'chirilgan=zanjir qo'shish yo'q=kirish protokoli=tcp dst-port=22 ulanish holati=yangi src-manzil-list=ssh_stage1 \ action=add-src-to-address-list address-list = ssh_stage2 address-list-timeout=1m comment="" o'chirilgan=zanjir qo'shilmagan=kirish protokoli=tcp dst-port=22 ulanish holati=yangi amal=add-src-to-address-list \ address-list=ssh_stage1 manzili -list-timeout=1m comment="" o'chirilgan=yo'q Konfiguratsiya zahirasini yaratishRouter ishlamay qolsa yoki avariya bo'lsa, tez tiklanish uchun uning konfiguratsiyasi qo'lingizda bo'lishi kerak. Buni qilish juda oddiy: navigatsiya menyusida bosish orqali terminalni oching Yangi terminal va quyidagi buyruqni belgilang: Eksport fayli=zaxira2020-02-10_01:01:22 Faylni navigatsiya menyusidagi bo'limni bosish orqali topish mumkin Fayllar. Sichqonchaning o'ng tugmachasini bosish va tanlash orqali uni kompyuteringizga yuklab oling Yuklab olish Saytga kirishni bloklashIsh vaqti davomida xodimlar ishlashi kerak. Shuning uchun, keling, Youtube, Facebook va Vkontakte kabi ko'ngilochar resurslarga kirishni bloklaylik. Buning uchun bo'limga o'ting IP → Xavfsizlik devori. Yorliq ustiga bosing 7-qavat protokoli va keyin yuqori chap burchakdagi "+" belgisini bosing: Biz qoidamizga nom beramiz, u OSI modelining 7-darajasida ishlaydi va Regexp bo'limida biz quyidagilarni qo'shamiz: ^.+(youtube.com|facebook.com|vk.com).*$ bosing KELISHDIKMI va tabga o'ting Filtrlash qoidalari va "+" belgisini bosing: Zanjir bo'limida Oldinga ni tanlang. Xuddi shu oynada yorliqga o'ting Murakkab va Layer 7 Protocol maydonida biz yaratgan blokirovka qoidasini tanlang: Yorliqga o'ting Harakat, va u erda Action = Drop-ni tanlang: Sozlamalar tugagach, bosing Murojaat qiling Va KELISHDIKMI. Ushbu maqola siz uchun foydali bo'ldimi?Iltimos, ayting-chi, nega?Maqola siz uchun foydali bo'lmagani uchun uzr so'raymiz: (Iltimos, qiyin bo'lmasa, sababini ko'rsating? Batafsil javob uchun juda minnatdor bo'lamiz. Bizni yaxshilashga yordam berganingiz uchun tashakkur! Shafqatsiz kuch - bu kimdir qo'pol kuch ishlatadigan har qanday narsa uchun parolimizni topishga, ba'zan uzoq va qattiq harakat qilganda. Linuxda fail2ban bundan himoyalanish uchun muvaffaqiyatli ishlatiladi. Mikrotikda bunday zavq yo'q, shuning uchun biz o'z qo'llarimiz bilan shafqatsiz kuchdan himoya qilishdan zavqlanamiz. Rasmiy vikida (http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention) ko'rgan bo'lsangiz kerak, to'liq buyruqlar ro'yxati: zanjirni qo'shish = kirish protokoli = tcp dst-port = 22 src-adres-list = ssh_blacklist action = izoh qoldir = "Drop ssh brute forcers" o'chirilgan = yo'q Va Internetda bu to'plam mavjud bo'lgan ko'plab joylar mavjud. Men nima qilishini bir oz tushuntirib beraman. G'oya shunday: biz qisqa vaqt ichida ssh orqali ulanish uchun uchta qonuniy urinish beramiz (22/tcp, agar sizda boshqa port bo'lsa, o'zingiznikidan foydalaning). To'rtinchi urinishda biz sizni 10 kunga taqiqlaymiz. Bizning huquqimiz bor. Shunday qilib, bosqichma-bosqich. 1. 22/tcp porti bilan yangi ulanish (connection-state=new) o'rnatilganda biz manba ipni eslaymiz va uni 1 daqiqa davomida “ssh_stage1” ro'yxatiga joylashtiramiz: zanjir qo'shish=kiritish protokoli=tcp dst-port=22 ulanish holati=yangi harakat=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" o'chirilgan=yo'q 2. Agar shu daqiqada bu “kimdir” (va biz uni “ssh_stage1” da eslaymiz) yana bir bor 22/tcp bilan yangi ulanish o‘rnatmoqchi bo‘lsa, biz uni “ssh_stage2” ro‘yxatiga qo‘shamiz, shuningdek, 1 daqiqaga: zanjir qo'shish=kiritish protokoli=tcp dst-port=22 ulanish holati=yangi src-manzil-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" " o'chirilgan = yo'q 3. Agar shu daqiqada bu “kimdir” (hozir u “ssh_stage2” da) yana 22/tcp ga ulanishni istasa, biz uni “ssh_stage3” ro‘yxatiga qo‘shamiz (ha, siz taxmin qildingiz, yana 1 daqiqaga): zanjir qo'shish=kiritish protokoli=tcp dst-port=22 ulanish holati=yangi src-manzil-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" " o'chirilgan = yo'q 4. Agar u qat'iyatli bo'lsa, unda biz uni 10 kun davomida "qora ro'yxat"imizga "ssh_blacklist" ga kiritamiz, chunki bu muhim emas. zanjir qo'shish=kiritish protokoli=tcp dst-port=22 ulanish holati=yangi src-manzil-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" " o'chirilgan = yo'q 5. Va bu buyruq bilan biz hammani “ssh_blacklist” roʻyxatidan hech qanday shubhasiz man qilamiz (qoida sukut boʻyicha faol emasligini unutmang): zanjirni qo'shish = kirish protokoli = tcp dst-port = 22 src-adres-list = ssh_blacklist action = izohni qo'shish = "ssh brute forcersni tushirish" o'chirilgan = ha Aslida, men bunday sxemani tuzganimda va Linux konsolidan mikrotikimning tashqi IP-ga ulanishga harakat qilganimda, ikkinchi urinishda (3 yoki 4-da emas) "hujumkor" IP "ssh_blacklist" ro'yxatiga kiritilgan edi. ” roʻyxati. Men Mikrotik uchun ssh dan foydalanmayman, shuning uchun mening holatimda bu halokatli emas, lekin agar siz haqiqatan ham shunday masofadan ulansangiz, unda Avvaliga taqiqlash qoidasini yoqmaslik yaxshi fikr bo'lishi mumkin (o'chirilgan = ha). Ular ro'yxatga kiritilsin, hech qanday savol berilmasin. Taqiqlanganlar ro'yxatiga kirishdan oldin ketma-ket necha marta ulanishingiz kerakligini amalda hisoblang. Tekshiruvlardan so'ng "ssh_blacklist" ro'yxati bo'yicha taqiqlash qoidasini faollashtiring! Buyruqlar uzun bo'lgani uchun uzr so'rayman, lekin tahlilchi teskari chiziqni yeydi, shuning uchun u bir qatorda tugaydi. |
Mashhur:
Yangi
- Windows ro'yxatga olish kitobi muharririni ochishning uchta usuli Qidiruv yordamida ro'yxatga olish kitobini ochish
- Qattiq diskni qanday qismlarga bo'lish kerak
- Biz qattiq diskni bo'limlarga ajratamiz
- Kompyuter yoqilganda signal beradi
- Windows-da fayl kengaytmalarini to'g'ri o'zgartirish Arxiv kengaytmasini qanday o'zgartirish mumkin
- YouTube YouTube-da reklamalarni reklamasiz bloklash
- TeamViewer - kompyuterni masofadan boshqarish Boshqa kompyuter bilan bog'lanish uchun dasturni yuklab oling
- Windows-da kompyuteringizning xususiyatlarini qanday aniqlash mumkin: tizim usullari va maxsus dasturlar
- Biz turli xil qurilmalarda brauzerlarni yangilaymiz: kompyuter, planshet, smartfon Yangilangan brauzerni qayerda va qanday qilib o'rnating
- Protsessor, video karta, quvvat manbai va kompyuter sovutgichini qanday moylash kerak