Вторник
21.11.2017, 02:04
Приветствую Вас Гость | RSS
Главная Каталог статей Регистрация Вход
Меню сайта

Категории раздела
Разное [15]
Документация [18]
Авторские статьи [45]

Поиск

Свежие статьи
Динамическое деление скоро...
port knocking на mikrotik
Установка NGINX без прав R...
Как настроить время (NTP S...
Настраеваем CROND
Биллинг MikBill на UBUNTU
Даунгрейд PHP до версии 5....
Устанавливаем в Ubuntu 10....
Как настроить MySQL
Как настроить ZendOptimize...

Форма входа
Логин:
Пароль:

Главная » Статьи » Авторские статьи

Защита mikrotik от внешних вторжений

Защита mikrotik от внешних вторжений

Обычно в Mikrotik RouterBoard задействовано, как минимум, два интерфейса. Один смотрит в локальную сеть, другой - в интернет. И через интерфейс, который смотрит в интернет, злодеи будут пытаться проникнуть на Mikrotik RouterBoard.

Чтобы увидеть, пытается ли кто-то проникнуть на Mikrotik RouterBoard, зайдем в раздел LOG.

 

 

Рис. 1. Содержимое лог-файла.

 

На данный момент какой-то гад нагло пытается подобрать пароль к Mikrotik RouterBoard. Об этом свидетельствуют записи system error critical. Опции отображаются красным цветом. Так же из этой записи можно видеть и дату, когда пытались подключиться, время, IP адрес злодея и сервис, на который идет атака. В данном случае это via ssh, то есть SSH сервис.

Что мы можем предпринять для зашиты Mikrotik RouterBoard? Первым делом нужно определить, какие службы запущены на Mikrotik RouterBoard. Переходим в раздел Ip Services.

 

Рис. 2. Раздел Services.

 

 

Рис. 3. Список запущенных сервисов.
 

В появившемся окне мы видим список запущенных сервисов. Name это название сервиса.

FTP – это ftp сервер, с помощью которого можно загружать файлы на сервер и скачивать их.

SSH – это сервер, с помощью которого можно подключиться к Mikrotik RouterBoard при помощи консольных клиентов  (таких  как putty) и управлять Mikrotik RouterBoard консольными командами.

WINBOX – это графический интерфейс для управления Mikrotik RouterBoard.

WWW – это Веб сервер, который дает возможность с помощью браузера подключится к Mikrotik RouterBoard. 

Port –  это порт, на котором сервисы ожидают подключения.

Available From – указывает, для какого ip адреса или подсети разрешен доступ. 0.0.0.0/0 разрешает доступ с любого IP адреса. 

Available From можно изменить таким образом, чтобы доступ к Mikrotik RouterBoard был только из внутренней сети.

 

 

Рис. 4. Изменяем сеть для которой разрешен доступ.

 

Кликаем дважды левой клавишей мыши на интересующем нас сервисе. Заменяем 0.0.0.0/0 на нужную нам сеть (допустим 192.168.4.0/24). Теперь сервис доступен только для сети 192.168.4.0/24.

 

Рис. 5. Разрешенная сеть.

 

Также можно разрешить доступ только с компьютера администратора: кликаем на нужном сервисе и указываем IP адрес компьютера администратора.

 

Рис. 6. Разрешенный IP адрес.

 

Сервисы FTP и WWW можно вообще отключить, если они вами редко используются.

Выбираем сервис и жмём красный крестик.

 

Рис. 7. Оставшиеся активные сервисы.

 

Рис. 8. Результат проделанной работы.

 

Вот и всё. Как мы видим, после выполнения действий взломщик еще один раз успел попытаться подключится. После  применения настроек его попытки закончились.



Источник: http://asp24.com.ua/

Спонсоры данной статьи


Категория: Авторские статьи | Добавил: -=shurf=- (14.08.2010)
Просмотров: 14382 | Комментарии: 2 | Рейтинг: 0.0/0

Настройка Mikrotik
NAT
Настраиваем биллинг UTM с Mikr...
Mikrotik Burst Limit и ABills
Установка биллинга Abills на U...
Mikrotik - winbox or console
Серверные сценарии ч.1
MCS – система управления Mikro...
Списки адресов
Настройка Микротика. Базовая с...
Mikrotik и VLAN

Всего комментариев: 2
1  
На SSH доступ ограничен, а на Winbox так и остался со всех. А если извне надо подключаться? Проще скрипт на зщиту от брута сделать. Да и подбор был для логина root, удачи "хацкеру", на МТК по умолчанию логин Admin, и вряд ли кто будет делать root логин...

2  
Есть возможность организовать на микротике простукивание определенных портов. Постучавшийся айпишник к примеру на порты 5555, 1278, 9999, (любое количество и номера портов), а после этого в микротике создается правило на разрешение конекта с адреса простукивателя на определенное время. tongue

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Профиль
Привет: Гость

Сообщения:

Гость, мы рады вас видеть. Пожалуйста зарегистрируйтесь или войдите!

Реклама

Наш опрос
Вы нашли на сайте нужную информацию?
Всего ответов: 55

Нашел ошибку?
Система Orphus

Статистика

Онлайн всего: 2
Гостей: 2
Пользователей: 0



Бесплатный хостинг uCoz