Сейчас просматривают тему: 0 -> --, и гостей: 1

Защита роутера Mikrotik от брутфорса VPN туннеля

Ссылка на пост #1 Добавлено: 5 октября 2015 12:27
Автор темы  
Полное имя: Макс
Группа: Администраторы
Азъ: библиАтекарь
Возраст: 33 Водолей
Пол:
С нами: 9 лет 1 месяц
Сообщений: 6386
Поблагодарил: 5505
Благодарностей: 20347
Предупреждений: 0

Награды:

     

Иногда нужно защитить свой роутер от брутфорса VPN туннеля. Если с SSH это решается защитой от брутфорса по новым соединениям то с L2TP это не подойдет, так как обмен сообщениями идет в рамках одной сессии. И с точки зрения роутера устанавливается только одно соединение (после неправильного пароля связь не обрывается).
Тут нам на помощь придет небольшое знание структуры пакетов.

Защита роутера Mikrotik от брутфорса VPN туннеля


Открываем поток, вскрываем пакет ответа о неправильном пароле и что же мы видим. Правильно – обычный текст о том что “нифига” не правильно. Ага, значит по этому мы и будем ловить

1м правилом режем коннекты кулхацкеров, после чего строим защиту.

Код:[Выделить]
/ip firewall filter add action=reject chain=input src-address-list=black


если action=drop то пакеты по тихому дропаются.
если action=reject (оно по дефолту будет отправлять сообщение icmp network unreachable) то комп атакующего будет получать сообщение что данная сеть недоступна. Разница в том что при drop отправитель ничего не будет знать о судьбе пакетов и будет продолжать их слать,
а при reject его устройство получит уведомление что сеть недоступна и возможно перестанет отправлять нам пакеты.
Но reject больше грузит процессор роуетра. Поэтому нужно в каждом отдельном случае решать, что будет лучше с точки зрения нагрузки на роутер

Код:[Выделить]
/ip firewall filter add action=add-dst-to-address-list address-list=black chain=output content=”M=bad” dst-address-list=level2 add action=add-dst-to-address-list address-list=level2 address-list-timeout=1m chain=output content=”M=bad” dst-address-list=level1 add action=add-dst-to-address-list address-list=level1 address-list-timeout=1m chain=output content=”M=bad”


Логика простая – если юзер логонится и получает ответ о непрвильном пароле то его заносим в адрес-лист1 на одну минуту. Если в течении этой минуты он опять неверно логонится то на минуту заносим его в адрес-лист2. Если же будучи в адрес-листе2 он опять неверно логонится то ему прямой путь в адрес-лист запрещенных. Потом можно дропать все пакеты от адресов из адрес-листа запрещенных, это как вам будет нужно.
Количество уровней выберете сами, 2-3 самое оптимальное число. что бы и себя не забанить если случайно 2 раза ошиблись и не мучать роутер долгими брутфорсами “дятлов” из интернета

С ув.erazel

Мой телевизор: Samsung LE-32C550J1WXUA, Samsung UE55D6100, Samsung UE65°ES8007

Мой ресивер: Sat-Integral S-1210 HD Aron, Sat-Integral TH-7200 PVR I, iNeXT HD1, GI Vu+ Duo 2

Мои спутники: 4°W+4.8°E+9°E+13°E+36°E+75°E+85°E+90°E

Cказали Спасибо: 1 : zmej74
Реклама
Информация

Посетители, находящиеся в группе Гости, не могут оставлять сообщения в данной теме.

    «Триколор ТВ» развивает новые каналы обслуживания абонентов

    Крупнейший российский оператор цифрового телевидения «Триколор ТВ» запустил новые каналы обслуживания — теперь абоненты оператора могут получить специализированную помощь онлайн, используя один из популярных мессенджеров или просто написав сообщение в официальную группу «Триколор ТВ» в социальной сети

    «Триколор ТВ» и Mezzo: эффективная реализация международных принципов пакетирования

    «Триколор ТВ» и телеканал Mezzo организуют прямую трансляцию исполнения мирового шедевра

    Новый виток развития телевидения — дроны

    Крупнейший российский оператор цифрового телевидения «Триколор ТВ» совместно с НП «ГЛОНАСС» и телеканалом Life запускает федеральный проект «Россия глазами дронов»

    Индустрия дронов — будущее России

    1 декабря 2016 года на пресс-конференции по Кубку чемпионов по дрон-рейсингу в рамках «Транспортной недели-2016» помощник Президента России Игорь Левитин, заместитель министра транспорта Алексей Цыденов, президент НП «ГЛОНАСС» Александр Гурко и генеральный директор «Триколор ТВ» Алексей Холодов обсудят перспективы развития отрасли беспилотных авиационных систем (БАС) в России и их применение в телекоммуникационной отрасли

    «Триколор ТВ» признан самым инновационным оператором Европы

    25 ноября 2016 года российский оператор цифрового телевидения «Триколор ТВ» единственный из европейских операторов стал обладателем премии за внедрение инновационных сервисов и технологий в рамках международной премии Eutelsat TV Awards

    Конкурс детской новогодней открытки

    В преддверии Нового года Телекарта и Канал Disney представляют конкурс детской новогодней открытки!

    Абоненты Телекарты получают «Приоритет»

    «Приоритет» – это комплексная услуга для абонентов «Телекарты», предоставляющая своим пользователям право на эксклюзивное обслуживания, уникальные услуги и предложения.

    «Премия Рунета» досталась «Телекарте Онлайн»

    SMART TV ОТ «ТЕЛЕКАРТЫ» ТЕПЕРЬ В LG!

    Как мы и обещали, линейка «умных» телевизоров, на которых доступна «Телекарта Онлайн» пополнилась модельным рядом телевизоров LG!

    TOPSONG TV и DANGE TV меняют название

    TOPSONG TV и DANGE TV меняют название

Телепрограмма

СТБ
13:20 - "МастерШеф", 6 сезон, 29 и 30 эп.
19:00 - "Битва экстрасенсов", 16 сезон, 11 эп.
21:20 - "Один за всех".
22:25 - "Х-Фактор", 7 сезон, 16 эп.
Футбол 1
15:10 - "Моя игра". Фред.
15:40 - Футбол News. Live.
16:00 - Футбол Live.
16:55 -  Александрия - Черноморец. Чемпионат Украины. 1-й тайм. Прямая трансляция.
ICTV
13:30 - Х/ф "Миссия невыполнима 3".
16:05 - Х/ф "Миссия невыполнима 4. Протокол Фантом".
18:45 - Факты недели.
20:25 - Х/ф "Миссия невыполнима 5. Племя изгоев".
Кинопремьера HD
13:50 - Х/ф "Колония Дигнидад".
15:40 - Х/ф "В Гонконге уже завтра".
17:00 - Х/ф "Любовь и дружба".
18:40 - Х/ф "Месть от кутюр".
Вся телепрограмма

Мы в Вконтакте

Мы в Facebook

Голосование

Нужны ли вам прошивки для ресиверов?

нет...смысл!
а что это?
нужны...
у меня уже есть!
я блондинко....

Случайное фото

Sat-integral club

ПО Sat-Integral S-1221 HD Stealth версии 3.46

была у меня такая хрень, измена лупанула норм., скачал заново файл с прошивкой,но перед этим прошил ...

Натройка платного шаринга на SI1226k3

После всех издевательств над тюнером 1226. 1 Не получалось настроить шару. 2 При заливке готового ...

подключение с компьютера по ftp

Цитата: imagin1984 от Сегодня в 00:39:47Ребята, подскажите, пожалуйста, возможно ли подключиться к ...

обсуждение ключей pavervu

Цитата: vetam от Вчера в 23:44:28не открывает нтв и первый )))),последними ключами каким боком эта ...

проблема с G шарой

Цитата: SSK5230 от 05 Декабрь 2016, 12:42:35У меня на рокете тоже было,но давнотакое-решил проблему ...

Установка MySQL 5.6 на Centos 6

Будем использовать ...