Page 5 of 5 FirstFirst ... 345
Results 61 to 75 of 75

Thread: Настройка brute force protection на роутере

  1. 17-06-2012, 18:20 #61
    Vampik
    Vampik is offline Forum Guru
    Join Date
    Mar 2009
    Location
    Moscow
    Posts
    968
    Quote Originally Posted by staticroute View Post
    Высокий порт никак вам не поможет, если вы не блочите попытки сканирования портов.
    Поможет, во всех случаях, кроме

    Quote Originally Posted by pollitra View Post
    профессиональный, заказанный взлом именно этого узла, но это уже из совсем другой сказки
    Так как сканируют обычно диапазон IP-адресов на открытые стандартные порты. Сканировать 65535 портов на каждом IP стандартные боты не будут.
    D-Link DIR-320 A1/A2, DIR-620 C1, Netgear WNR3500L v1 v2
    Reply With Quote Reply With Quote
  2. 17-06-2012, 19:26 #62
    TReX
    TReX is offline Forum Guru
    Join Date
    Mar 2009
    Location
    Default City
    Posts
    2,694
    Blog Entries
    4
    Quote Originally Posted by staticroute View Post
    Высокий порт никак вам не поможет, если вы не блочите попытки сканирования портов.

    Ну можно долго дискутировать.

    Собственно в контексте данной темы, мне кажется, если хотите защититься более-менее и таки необходим внешний доступ, то стоит сделать OpenVPN туннель с роутером. Поставить пароль на клиентский кей и ходить по ключу это уже по желанию.

    В этом случае, даже если кто-то получит ключ впн, он не получит доступа к SSH. В случае SSH-форвардинга, это более вероятно.
    Решения с OpenVPN обычно банки используют, а для простого человека антивиря достаточно, да стандартного фаирвола в системе... Ибо никто не будет к простому юзверю ломиться всерьез, а скрипт-киддеров такая защита легко остановит...
    RT-AC88U 3.0.0.4.380_7743
    RT-N16 3.0.0.4.380_7378
    Reply With Quote Reply With Quote
  3. 14-07-2012, 20:49 #63
    Shushik
    Shushik is offline Junior Member
    Send a message via ICQ to Shushik
    Join Date
    Apr 2008
    Location
    Сургут
    Posts
    24

    Exclamation Вопрос

    Подскажите пожалуйста по логу. Похоже тоже DDOSят? Весь лог засрался.

    https://dl.dropbox.com/u/54930448/syslog_15.07.cgi
    Asus WL-500gP (firmware by Oleg 1.9.2.7-10 transmission vnStat + vnStat PHP frontend) + WD 80Gb + (AgeStar IUB5A black)
    Reply With Quote Reply With Quote
  4. 27-09-2012, 19:38 #64
    xml111
    xml111 is offline Junior Member
    Join Date
    Oct 2010
    Posts
    7

    Question SINGLE_SCAN_PORT (48191)

    Здравствуйте.
    Проблема старая, но решил обратиться только сейчас.
    У меня rt-n16 в данный момент с прошивкой RT-N16-1.9.2.7-rtn-r4330.trx. Подозревал на вирус вначале. Windows менял несколько раз, проблема осталась, Agnitum Outpost регистрирует постоянно сканпорт, 95% это на порт (48191).
    На этот порт никаких программ не привязано, WAN>LAN фильтр включен в исключениях только NAT Setting:Virtual Server (где порты торрента только).LAN>WAN включен, разрешен только для нескольким локальным IP, tcp/udp 1-65535.
    Filtered ICMP(LAN to WAN) packet types: 3 8 10
    Filtered ICMP(WAN to LAN) packet types: 0 3 10 11

    Скрипт не установлен, флэшка и винт не подключен.

    Попробовал вписать через ssh:
    iptables -A INPUT -p tcp --dport 48191 -j DROP
    iptables -A INPUT -p udp --dport 48191 -j DROP
    Как я понял, это мера только до перезагрузки роутора.

    Уважаемые знатоки, подскажите пожалуйста, как это решить?
    Attached Images Attached Images  
    ASUS RT-N16; прошивка: 1.9.2.7-rtn-r4330
    Reply With Quote Reply With Quote
  5. 27-09-2012, 19:44 #65
    dimez
    dimez is offline Senior Member
    Join Date
    Oct 2009
    Posts
    262
    где порты торрента только
    И какие порты торрента?
    А вообще рекомендую включить тихий режим на персональном файрволе.
    Reply With Quote Reply With Quote
  6. 27-09-2012, 19:51 #66
    xml111
    xml111 is offline Junior Member
    Join Date
    Oct 2010
    Posts
    7
    Quote Originally Posted by dimez View Post
    И какие порты торрента?
    А вообще рекомендую включить тихий режим на персональном файрволе.
    порты в диапазоне 16000-17000.
    Да у меня он в тихом режиме, просто когда логи смотришь напрягает, а когда винду поменяешь и смотришь, то мягко говоря странно, один и тот же порт.
    ASUS RT-N16; прошивка: 1.9.2.7-rtn-r4330
    Reply With Quote Reply With Quote
  7. 27-09-2012, 19:59 #67
    tempik
    tempik is offline Senior Member
    Join Date
    Jan 2009
    Posts
    456
    Quote Originally Posted by xml111 View Post
    порты в диапазоне 16000-17000.
    Да у меня он в тихом режиме, просто когда логи смотришь напрягает, а когда винду поменяешь и смотришь, то мягко говоря странно, один и тот же порт.
    Очень похоже на опрос торрент трекера (жив сид/пир или нет) но почему порт не из диапазона ... Для начала попробовать последить без работающего торрента будет или нет ...
    tempik aka Mirage-net
    Reply With Quote Reply With Quote
  8. 03-10-2012, 03:05 #68
    xml111
    xml111 is offline Junior Member
    Join Date
    Oct 2010
    Posts
    7
    Quote Originally Posted by tempik View Post
    Очень похоже на опрос торрент трекера (жив сид/пир или нет) но почему порт не из диапазона ... Для начала попробовать последить без работающего торрента будет или нет ...
    Отключил в моем BitComet, DHT сети и логин на их сайте. проблема продолжилась с внешних ип.
    Поменял на uTorrents, проблема так же осталась. Отключил на uTorrants DHT сети, с внешних IP атак на этот порт не наблюдается, только с локальных IP (провайдера). Думаю это связанно тем что IP локальный, внутри провайдера, еще не сменился (он меняется иногда).
    В чём была причина, можете объяснить?

    P.S. Проблема все так же продолжается, наблюдение показало и без торрентов(
    Last edited by xml111; 12-10-2012 at 13:49.
    ASUS RT-N16; прошивка: 1.9.2.7-rtn-r4330
    Reply With Quote Reply With Quote
  9. 23-03-2014, 19:12 #69
    VA_DOS
    VA_DOS is offline Member
    Join Date
    Jan 2010
    Location
    Kharkov, Ukraine
    Posts
    60

    Скрипт "автобан SSH-брутеров"

    Повадились ко мне в последнее время лазать на роутер китайцы, африканцы и латино-американцы. Некоторые просто коннектятся и тут же отключаются, некоторые делают одну попытку подбора логина/пароля за раз, некоторые откровенно брутят. При чем, что самое интересное, смена SSH-порта на новый помогает всего на пару дней. Затем, видимо насканивают новый, медом им намазано, что ли?.. В общем, надоели.

    Побудило меня это на написание скриптика, который бы дергался пару раз в сутки из cron, определял свеженьких "клиентов" и добавлял их в бан-лист при помощи встроенного iptables да и в post-firewall заодно. Кроме того, мне было интересно получать при этом SMS в случае пополнения блеклиста.

    Алгоритм был выбран примерно такой:

    1. Из /tmp/syslog.log получаем список IP-адресов, подключения с которых окончились "Exit before auth"

    2. Удаляем из списка уже заблокированные iptables диапазоны (использована цепочка BRUTE)

    3. Оставшийся список IP-адресов при помощи whois (поля CIDR - ARIN, inetnum - RIPE, Network Numbers - JP) превращаем в список IP-подсетей.

    4. Подсеть, встречающаяся в списке более заданного количества (выбрано более 10) раз добавляется iptables в цепочку BRUTE правилом
    Code:
    iptables -I BRUTE -s $ipnet -j logdrop
    и в post-firewall с последующим сохранением, дабы не потерять список "героев" при пропадании электричества.

    5. Сюда же, покурив http://wl500g.info/showthread.php?25191 и http://habrahabr.ru/post/147583/, была добавлена отправка SMS через Google-календарь. Большое спасибо авторам этих замечательных скриптов.


    Что понадобилось доустановить:
    Code:
    opkg install whois
    Включить (будет добавлена iptables-цепочка BRUTE):

    Веб-морда --> Internet Firewall --> Basic Config --> Protection against Brute Force Attacks from WAN for SSH and FTP Servers --> Enable Brute Force Protection for SSH Server --> Yes

    Для отправки SMS:
    Code:
    opkg install python-expat
opkg install python-openssl
расширение gdata и скрипты для SMS
    UPD: 24.03.2014 - Добавлено определение перебора паролей

    P.S> Наверняка что-то написано не оптимально и можно реализовать по-проще - я с удовольствием приму замечания и предложения по оптимизации.

    P.P.S> До инсталлятора руки пока не дошли.
    Attached Files Attached Files
    Last edited by VA_DOS; 24-03-2014 at 07:29.
    WL-500gP v2 (1.9.2.7-rtn-r4772) / rTorrent 0.9.3 / ruTorrent 3.4
    ImageVue r16 (patched) / lighttpd + ssl + auth
    WDTV Gen1 / WDLXTV 0.5.8.1 / D-Link DWA-110 WiFi
    WDTV Live / WDLXTV 0.4.7.3 / WDTV Live Hub
    Reply With Quote Reply With Quote
  10. 24-03-2014, 07:30 #70
    VA_DOS
    VA_DOS is offline Member
    Join Date
    Jan 2010
    Location
    Kharkov, Ukraine
    Posts
    60
    Прошу прощения, заметил, что выложил "старую" версию без определения перебора паролей. Исправляюсь.
    WL-500gP v2 (1.9.2.7-rtn-r4772) / rTorrent 0.9.3 / ruTorrent 3.4
    ImageVue r16 (patched) / lighttpd + ssl + auth
    WDTV Gen1 / WDLXTV 0.5.8.1 / D-Link DWA-110 WiFi
    WDTV Live / WDLXTV 0.4.7.3 / WDTV Live Hub
    Reply With Quote Reply With Quote
  11. 22-04-2015, 13:00 #71
    Baton
    Baton is offline Junior Member
    Join Date
    Dec 2010
    Location
    Omsk
    Posts
    18
    Может быть глупый вопрос, но сам не могу понять.
    Где посмотреть список заблокированных IP?
    Reply With Quote Reply With Quote
  12. 22-04-2015, 14:21 #72
    VA_DOS
    VA_DOS is offline Member
    Join Date
    Jan 2010
    Location
    Kharkov, Ukraine
    Posts
    60
    Quote Originally Posted by Baton View Post
    Может быть глупый вопрос, но сам не могу понять.
    Где посмотреть список заблокированных IP?
    если в консоли, то
    Code:
    iptables -S BRUTE
    если через вебморду, то Status & Log -> Diagnostic Info -> IP Tables, chain BRUTE
    WL-500gP v2 (1.9.2.7-rtn-r4772) / rTorrent 0.9.3 / ruTorrent 3.4
    ImageVue r16 (patched) / lighttpd + ssl + auth
    WDTV Gen1 / WDLXTV 0.5.8.1 / D-Link DWA-110 WiFi
    WDTV Live / WDLXTV 0.4.7.3 / WDTV Live Hub
    Reply With Quote Reply With Quote
  13. 23-04-2015, 04:53 #73
    Baton
    Baton is offline Junior Member
    Join Date
    Dec 2010
    Location
    Omsk
    Posts
    18
    Quote Originally Posted by VA_DOS View Post
    если в консоли, то
    Code:
    iptables -S BRUTE
    если через вебморду, то Status & Log -> Diagnostic Info -> IP Tables, chain BRUTE
    Правила я вижу. А где посмотреть IP адреса, которые заблокированы в данный момент? И как их вручную разблокировать не дожидаясь таймаута?
    Reply With Quote Reply With Quote
  14. 26-02-2016, 07:08 #74
    mspuz
    mspuz is offline Member
    Join Date
    Aug 2009
    Posts
    62

    Как указать определенные IP для подключения извне.

    RT-N66U, прошивка от Merlina. Включен доступ извне к панели и по ssh. Сегодня заметил в логах множество записей о попытках логиниться с разных IP. Попытки все не увенчались успехом, но сам факт - кто-то пытается подобрать логин и пароль. Знаю, что есть возможность указать список внешних IP-адресов, с которых разрешается подключаться, но не могу найти где. Подскажите, как обеспечить безопасность в данной ситуации.
    Reply With Quote Reply With Quote
  15. 26-02-2016, 07:22 #75
    bbsc
    bbsc is offline Senior Member
    Send a message via ICQ to bbsc
    Join Date
    Apr 2008
    Posts
    478
    Quote Originally Posted by mspuz View Post
    Подскажите, как обеспечить безопасность в данной ситуации.
    Варианты (в порядке возрастания паранойи):
    1. Забить. Кетайцы всех пытаются брутить.
    2. Пересадить SSH на другой порт.
    3. Включить "Enable SSH Brute Force Protection" - IP будет получать отлуп после нескольких неудачных попыток соединения.
    4. Заблочить кетайцев и т.п. с помощью ipset.


    Естественно, при всём этом пароль для доступа нужно иметь нормальный.
    Reply With Quote Reply With Quote
Page 5 of 5 FirstFirst ... 345
« Previous Thread | Next Thread »

Similar Threads

  1. Установка и настройка asterisk на роутере
    By ptabashov in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 247
    Last Post: 04-11-2021, 08:59
  2. Настройка CRON на роутере
    By dccharacter in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 338
    Last Post: 04-11-2014, 20:25
  3. Настройка mpcs на роутере
    By poptab in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 1059
    Last Post: 17-07-2012, 06:22
  4. [HowTo] avoid brute force in AP mode
    By newbiefan in forum WL-500gP Tutorials
    Replies: 8
    Last Post: 17-06-2010, 19:58
  5. VSFTP Brute force attacks
    By sarlacc in forum WL-500g Q&A
    Replies: 2
    Last Post: 28-08-2007, 19:56

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Forum Rules