Jump to content

Recommended Posts

Posted

Постоянно стучаться с нескольких разных ip. Поднят VPN - сервер PPTP для сервака 1с и постоянно кто-то стучится на него левые ip.  Пример: [I] May 17 14:36:27 ndhcps: sending ACK of 192.168.1.221 to 52:90:34:7a:e4:3f. 
[I] May 17 14:36:50 ppp-pptp: pptp: new connection from 104.255.69.246 
[I] May 17 14:36:50 ppp-pptp: ppp2:: connect: ppp2 <--> pptp(104.255.69.246) 
[W] May 17 14:36:51 ppp-pptp: ppp2:: mschap-v2: user not found 
[E] May 17 14:36:51 ppp-pptp: ppp2:admin: admin: authentication failed 
[I] May 17 14:36:51 ppp-pptp: ppp2:: pptp: disconnected 

Как от таких избавиться?

Posted (edited)

@Migel

Что мешает организовать команду в прошивке роутера, которая вместе с прогрузкой и согласованием текущего времени по NTP с серверов кинетика "тянул" бы бан-лист, с изначально "собранным" списком вредоносных сеток, инициирующих атаки брутфорса и прочего, да и дополнять который поможем мы сами, просто "пробивая" ip по whois и присылая его на какой-либо адрес почты ТП кинетиков?

Edited by KeyYerS
Posted (edited)
16 часов назад, KeyYerS сказал:

@Migel

Что мешает организовать команду в прошивке роутера, которая вместе с прогрузкой и согласованием текущего времени по NTP с серверов кинетика "тянул" бы бан-лист, с изначально "собранным" списком вредоносных сеток, инициирующих атаки брутфорса и прочего, да и дополнять который поможем мы сами, просто "пробивая" ip по whois и присылая его на какой-либо адрес почты ТП кинетиков?

Потому что нет такого списка и быть не может. Занесет кто нибудь в этот список IP адрес с которого вы подключаетесь к своему PPTP серверу и все.

Единственный вариант это как-то прикрутить списки адресов Geo IP. Такая возможность например присутствует в межсетевых экранах Zyxel.

Например мне бы хотелось разрешить доступ к роутеру снаружи только с российских ip адресов. Для всех остальных запретить.

Edited by Migel
  • Upvote 1
Posted (edited)
3 часа назад, Migel сказал:

Занесет кто нибудь в этот список IP адрес

Что или кто мешает это реализовать?  Технически это возможно.  Было бы желание у ТП или разработчиков cloud'а.
Реализация желаемого на уровне роутера - это не устранение причины, а борьба с последствиями /причём бесконечная с учётом внедрения ipv6/.

Запрет по Geo IP спискам (всем кроме РФ/СНГ) нужно делать централизованно, на стороне cloud'а - зловреды пытаются использовать лень покупателей, даже не изменивших деф логин/пароль на роутере, либо с "простым" легкоподбираемым паролем.
Ну если Вы с этого ip хулиганите в сторону чужих роутеров - Вам в бан.

Edited by KeyYerS
Posted
3 часа назад, Migel сказал:

прикрутить списки адресов Geo IP

просто создав сервис на cloud'е, на котором будет реализована давно бесплатная фича собратьев из Zyxel'я, к которому /при включенной пользователем галочке/ роутер обращается /после прогрузки либо регулярно/ за бан-списком, автоматом формируя в роутере правило блокировки "не РФ/СНГ сегмента" ip-адресов.

Тогда вопрос по какому-либо (возможно ошибочно) забаненному ip можно решать через ТП или отдельный канал связи с разработчиками.

Posted (edited)

На стороне роутера такое лепить только "ручками"  - 9346 сегментов типа "93.158.128.0-93.158.130.251", поскольку даже <LITE FREE GEO-IP> отсюда lite.ip2location.com (только IPv4 версия) уже почти 12 Мб "весом".  А простой текстовик с этим же списком - 258 кб.
Поэтому правило выглядит так:  "в бан всех, кроме РФ/СНГ", сегменты адресов которые указаны в "подтянутом списке" (перечислением).

Edited by KeyYerS
Posted
В 17.05.2024 в 17:13, Migel сказал:

Спасибо. Занёс ip в запрещающие правила. Тестирую. 3 часа полёт нормальный. В логах не отображается, но и так понятно, что заблокированные ip не могут достучаться. До того, как создал правила, стучали каждые две минуты. Заносил все из журнала, их было не так уж и много. 

Posted
1 час назад, Alucard_AT сказал:

Спасибо. Занёс ip в запрещающие правила. Тестирую. 3 часа полёт нормальный. В логах не отображается, но и так понятно, что заблокированные ip не могут достучаться. До того, как создал правила, стучали каждые две минуты. Заносил все из журнала, их было не так уж и много. 

Лучше запрещать не конкретный IP, а всю сеть, в которую входит этот адрес.

Проверив тут http://www.whois-service.ru/lookup/

  • Upvote 1
Posted
6 часов назад, Alucard_AT сказал:

их было не так уж и много

Конкретно к Вам которые "ломились"?  Раздобыл список бан-листа - 9346 "диапазонов"  IPv4.  Вот кумекаю - влезет ли?

Posted
17 часов назад, KeyYerS сказал:

Конкретно к Вам которые "ломились"?  Раздобыл список бан-листа - 9346 "диапазонов"  IPv4.  Вот кумекаю - влезет ли?

Да, которые ко мне ломились. 104.255.69.192 - один из таких ip.

Posted
9 часов назад, Alucard_AT сказал:

104.255.69.192 - один из таких ip

В списке бан-листа этого адреса нет.  Там вот так ".....; 104.244.164.0-104.244.167.255; 107.150.93.0-107.150.93.255; ....."

Блокируйте всю подсеть этих канадцив   = 104.255.64.0 - 104.255.71.255 =.

  • 2 months later...
Posted

17.07 обращался в ИП за помощью по настройке запрещающих правил.  Обрисовал проблему, предложил решение как у их собратьев ZyXel реализовано:

Скрытый текст
"""
1))
В связи с катастрофически возрастающими атаками ddos, bruteforce и прочими со стороны "недружелюбных" стран категорически востребован становится сервис на Вашем ресурсе, суть работы которого в следующем (как это уже реализовано у Ваших "младших" братьев в ZyXel):
- на Ваших серверах размещается список ip-сетей, доступ из которых запрещается на роутеры Keenetic/ZyXel, любые порты-протоколы;
- роутер периодически (настраиваемый параметр) после загрузки обращается к этому списку и одним правилом в своей конфигурации блокирует любые запросы с этих ip-сетей.
Самостоятельное создание правил на роутере бесполезно, т.к. ограничено кол-вом создаваемых правил;  а по данным сервиса GEO-IP одних только ipv4 сегментов сетей (источников атак) более 9000.
2)))
- по п.1 - порт меняю на роутере с 80-го на "другой" (чаще на 8080) ещё на стадии настройки локально, до подключения роутера к паблик сети; огорчает, что нет возможности задавать "свой" порт, не из списка, который всем широко известен.....;
- по п.2 - а какой в этом смысл? если роутер в момент загрузки задействует любой порт, какой бы я ни назначал, для проверки соединения, "стучась" на три ресурса:  ya.ru, vk.com  и youtube.com именно по этому порту (хоть 443, хоть 8443)?  А типа на "той" стороне запроса роутера никому типа не видно - откуда и через какой порт приходит запрос? Типа  ИИ такое "не под силу"?
-- И кстати: в связи с предстоящими блокировками "ихтуба", регулярными взломами "воконтакте", и продажей "тындекса"   - может есть смысл проверку адресовать на созданную Вами "площадку"?  Чисто для запрета аналитики поступающих запросов от роутеров... Чтобы данные вообще не "утекали" на сторонние ресурсы?
- по п.3 -  сразу возникает вопрос:  а для чего тогда мне настраиваемый и управляемый роутер, если мне нельзя использовать правила переадресации, службу Upnp?
- по п.4 - "местечковые" провайдеры в городах 3-ей категории и ниже (с населением в 40-150 т/человек) даже не вникают в систему защиты клиентов  - в самом наилучшем случае дают "белый" ip, а в большинстве - "серый"...
- по п.5 - даже этот запрет не прекращает попытки взломать роутер - в мониторе "Активных соединений" постоянно (иногда до двух-трёх десятков) подключения на лок адрес роутера по 80, 443 и другим портам - а это нагрузка на роутер, замедляющая его работу для "своих" клиентов.
"Отслеживание" зловредов можно организовать просто и даже на Вашей стороне - сделайте отдельно вирт стенд с разными моделями/прошивками/провайдерами, не публикуя его нигде  - включите логирование подключений к роутерам  - за одну-две недели "выловите" всех...  Да и мы, активные пользователи и зарегистрированные участники форума, заинтересованные в чистоте "паблик инета" регулярно Вам присылали бы ip таких вредителей для пополнения такого списка.
Напомню, что Ваши "младшие" коллеги в компании ZyXel реализовали этот сервис для своего оборудования. Как уж у них это получилось без возрастания нагрузки , да ещё и одним правилом  - просто "Вкл" галочку в настройках....
3)))
"Галочка одна, но по сути придется проверять адрес источника на соответствие всем возможным адресам злоумышленников."  
- именно об этом я Вам и пишу:   доступ к конкретному роутеру "идёт" через Ваши сервисы по доменному имени, так?  Значит нужно (что будет являться устранением причины как таковой) на Вашей стороне и "поднять" этот МСЭ, /аналогия решения ZyXel/ который и будет отсекать целиком сегментами адреса зловредов (на стороне роутера это просто "латание дыр", т.е. борьба с последствиями).  А "прямые тупые" попытки зловреда на "белый ip" роутера просто отсекаются правилом, блокирующим все возможные сети бессрочно (источник атаки, дважды сгенерировавший ошибку доступа)
...

И мне кроме помощи ещё ответили:  ""Решение с одной галочкой наметили к реализации. Скорее всего оно войдет в версию KeeneticOS 4.3.""

  • Thanks 1
  • Upvote 1

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.