Сейчас просматривают тему: 0 -> --, и гостей: 1

Защита роутера Mikrotik от брутфорса VPN туннеля

Ссылка на пост #1 Добавлено: 5 октября 2015 12:27
Автор темы  
Полное имя: Макс
Группа: Администраторы
Азъ: библиАтекарь
Возраст: 34 Водолей
Пол:
С нами: 9 лет 6 месяцев
Сообщений: 6620
Поблагодарил: 5636
Благодарностей: 21479
Предупреждений: 0

Награды:

      

Иногда нужно защитить свой роутер от брутфорса VPN туннеля. Если с SSH это решается защитой от брутфорса по новым соединениям то с L2TP это не подойдет, так как обмен сообщениями идет в рамках одной сессии. И с точки зрения роутера устанавливается только одно соединение (после неправильного пароля связь не обрывается).
Тут нам на помощь придет небольшое знание структуры пакетов.

Защита роутера Mikrotik от брутфорса VPN туннеля


Открываем поток, вскрываем пакет ответа о неправильном пароле и что же мы видим. Правильно – обычный текст о том что “нифига” не правильно. Ага, значит по этому мы и будем ловить

1м правилом режем коннекты кулхацкеров, после чего строим защиту.

Код:[Выделить]
/ip firewall filter add action=reject chain=input src-address-list=black


если action=drop то пакеты по тихому дропаются.
если action=reject (оно по дефолту будет отправлять сообщение icmp network unreachable) то комп атакующего будет получать сообщение что данная сеть недоступна. Разница в том что при drop отправитель ничего не будет знать о судьбе пакетов и будет продолжать их слать,
а при reject его устройство получит уведомление что сеть недоступна и возможно перестанет отправлять нам пакеты.
Но reject больше грузит процессор роуетра. Поэтому нужно в каждом отдельном случае решать, что будет лучше с точки зрения нагрузки на роутер

Код:[Выделить]
/ip firewall filter add action=add-dst-to-address-list address-list=black chain=output content=”M=bad” dst-address-list=level2 add action=add-dst-to-address-list address-list=level2 address-list-timeout=1m chain=output content=”M=bad” dst-address-list=level1 add action=add-dst-to-address-list address-list=level1 address-list-timeout=1m chain=output content=”M=bad”


Логика простая – если юзер логонится и получает ответ о непрвильном пароле то его заносим в адрес-лист1 на одну минуту. Если в течении этой минуты он опять неверно логонится то на минуту заносим его в адрес-лист2. Если же будучи в адрес-листе2 он опять неверно логонится то ему прямой путь в адрес-лист запрещенных. Потом можно дропать все пакеты от адресов из адрес-листа запрещенных, это как вам будет нужно.
Количество уровней выберете сами, 2-3 самое оптимальное число. что бы и себя не забанить если случайно 2 раза ошиблись и не мучать роутер долгими брутфорсами “дятлов” из интернета

С ув.erazel

Мой телевизор: Samsung LE-32C550J1WXUA, Samsung UE55D6100, Samsung UE65°ES8007

Мой ресивер: Sat-Integral S-1210 HD Aron, Sat-Integral TH-7200 PVR I, iNeXT HD1, GI Vu+ Duo 2

Мои спутники: 4°W+4.8°E+9°E+13°E+36°E+75°E+85°E+90°E

Cказали Спасибо: 1 : zmej74
Информация

Посетители, находящиеся в группе Гости, не могут оставлять сообщения в данной теме.

    Новые каналы для просмотра онлайн!

    Подписчикам онлайн?телевидения НТВ?ПЛЮС теперь доступно до 142 телеканалов!

    Изменение в составе пакета «Базовый Запад»

    С 18 мая 2017 года телеканал ДОМ Кино переходит из пакета «Кино Плюс» в пакет «Базовый Запад».

    НТВ?ПЛЮС предлагает еще больше телеканалов в любом месте и на любых устройствах!

    Компания «НТВ?ПЛЮС» существенно расширила тематическое предложение сервиса «НТВ?ПЛЮС ТВ».

    Телеканал «ТВОЙ ДОМ» для зрителей НТВ?ПЛЮС

    Канал вошел в состав пакета «Базовый Запад».

    Каналы Duck и World Business Channel на платформе НТВ?ПЛЮС

    На платформе НТВ?ПЛЮС началось вещание детского канал Duck и познавательного канала World Business Channel.

    Партнерский семинар в Якутске

    19 июня 2017 года (понедельник) в Якутске пройдет семинар для партнеров «Телекарты»

    Партнерский семинар в Ростове-на-Дону

    9 июня 2017 года (пятница) в Ростове-на-Дону пройдет семинар для партнеров «Телекарты»

    Партнерский семинар в Новосибирске

    9 июня 2017 года (пятница) в Новосибирске пройдет семинар для партнеров «Телекарты»

    Партнерский семинар в Красноярске

    7 июня 2017 года (среда) в Красноярске пройдет семинар для партнеров «Телекарты»

    Партнерский семинар в Хабаровске

    7 июня 2017 года (среда) в Хабаровске пройдет семинар для партнеров «Телекарты»

Телепрограмма

СТБ
05:40 - Т/с "Когда мы дома".
07:25 - Х/ф "Любимый по найму".
09:25 - Т/с "Девичник", 1-4 с.
13:35 - Т/с "Девичник", 5-8 с.
Футбол 1
06:00 - Александрия - Черноморец. Чемпионат Украины.
07:45 - Шахтёр - Олимпик. Чемпионат Украины.
09:30 - "Моя игра". Сергей Погорелый.
10:00 - Футбол News. Live.
ICTV
05:40 - Гражданская оборона.
06:30 - Утро в большом городе.
06:45 - Факты.
06:50 - Утро в большом городе.
Кинопремьера HD
05:45 - Х/ф "Ночь в Париже".
07:20 - Х/ф "Неизвестная".
09:05 - Х/ф "Последний бриллиант".
10:55 - Х/ф "БайБайМэн".
Вся телепрограмма

Мы в Вконтакте

Мы в Facebook

Голосование

Сколько телевизоров у Вас дома?

1
2
3
4
5
6
7

Случайное фото

Sat-integral club

Sat-Integral S-1228 HD Heavy Metal

Добрый вечер ! Может кто подскажет, проблема со звуком АС3 при проигрывании фильмов с носителя. ...

ПО Sat-Integral S-1218HD / S-1228HD версии 2.20

Как правильно наполнить плейлист IPTV чтобы работал ? Встроенное приложение M3U работает нормально ...

ПО Sat-Integral S-1227HD / S-1237HD / S-1247HD версии 2.15

Стартовый канал - эта функция вызывает включение приемника из режима standby всегда на одном и том ...

Низкое качество и сила сигнала...

Цитата: E2ard1967 от Вчера в 21:20:35Это вообще что-то новенькое! Объясни доступно - про флеш и все ...

Проблема при использовании официальной карты \"Телекарта\"

Цитата: E2ard1967 от Вчера в 21:12:58На 3.65 точно так же, мне принесли рес - пришлось откатиться ...

Базовая настройка Centos 6

Установка редактора ...

Подмена провайдером DNS-запросов

Предыстория После ...