Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

ip https lockout-policy 4 60 1

Mamay

Ответ от Mamay,

 Поделиться

Вопрос

Mamay Старожил

Mamay

Опубликовано
Опубликовано

Giga 2 - 2.11.A.4.0-2

ip https lockout-policy 4 60 1 - насколько я понимаю некорректно и работает лишь вариант без security ip http lockout-policy 4 60 1?

Есть ли шансы на появление lockout на https?

24 ответа на этот вопрос

Рекомендуемые сообщения

  • 0
Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
  В 18.10.2017 в 11:06, Mamay сказал:

Giga 2 - 2.11.A.4.0-2

ip https lockout-policy 4 60 1 - насколько я понимаю некорректно и работает лишь вариант без security ip http lockout-policy 4 60 1?

Есть ли шансы на появление lockout на https?

Показать  

А что, уже лезут по https? :)

На самом деле там механизм авторизации все равно един, потому нет необходимости задавать lockout-policy на https - оно уже работает.

  • 0
Mamay Старожил

Mamay

Опубликовано
  • Автор
Опубликовано
  В 18.10.2017 в 12:42, Le ecureuil сказал:

А что, уже лезут по https? :)

Показать  

Да. Только что почистил свои логи. С 8-45 до 8-47 бот упорно пытался подобрать пароль для пользователей: user, cicso, admin, test. Собственно с чего я и задал сей вопрос, ибо ip http security-level private!

  • 0
Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
  В 18.10.2017 в 12:55, Mamay сказал:

Да. Только что почистил свои логи. С 8-45 до 8-47 бот упорно пытался подобрать пароль для пользователей: user, cicso, admin, test. Собственно с чего я и задал сей вопрос, ибо ip http security-level private!

Показать  

Что-то здесь не так.

Какие-нибудь порты снаружи открыты явно?

  • 0
Marceline Пользователь

Marceline

Опубликовано
Опубликовано (изменено)
  В 18.10.2017 в 12:42, Le ecureuil сказал:

А что, уже лезут по https? :)

Показать  

очень часто сканируют через "RouterScan" по логам с роутера видно одинаковый подбор логинов (admin, root и т.д) (хорошо что эксплойты не нашли под нашу прошивку)

Изменено пользователем Marceline
  • 0
Mamay Старожил

Mamay

Опубликовано
  • Автор
Опубликовано
  Показать контент

К слову об https...

  • 0
r13 Старожил

r13

Опубликовано
Опубликовано (изменено)
  В 18.10.2017 в 12:42, Le ecureuil сказал:

А что, уже лезут по https? :)

На самом деле там механизм авторизации все равно един, потому нет необходимости задавать lockout-policy на https - оно уже работает.

Показать  

Потыкался к себе (2.11A5):

Если по http идти, то неуспешные попытки войти не логгируются. Появляется только лог о бане ip

Если по https идти, то неуспешные попытки логгируются,  но бан не наступает.

Так что для https пока не работает.

Изменено пользователем r13
  • Лайк 1
  • 0
Mamay Старожил

Mamay

Опубликовано
  • Автор
Опубликовано
  В 25.10.2017 в 15:57, Le ecureuil сказал:

Починено, в следующем draft должно работать как надо.

Показать  
  Показать контент

2.11.A.6.0-0

  • 0
Mamay Старожил

Mamay

Опубликовано
  • Автор
Опубликовано

В webui доступ к веб-конфигуратору через Интернет disable, хотя в startup-config внезапно:

ip http port 80
ip http security-level private
ip http lockout-policy 4 60 1
ip http ssl enable
ip http ssl redirect

 

  • 0
Mamay Старожил

Mamay

Опубликовано
  • Автор
Опубликовано

Хехе, а вот ещё забавней кусок лога:

[E] Nov  1 06:11:15 ndm: Core::Authenticator: no such user: "kyivstar".
[E] Nov  1 06:11:16 ndm: Core::Authenticator: no such user: "kyivstar".
Nov  1 06:11:17 ndm: Core::Authenticator: generating.
[E] Nov  1 06:11:17 ndm: Core::Authenticator: user "admin": invalid password.
Nov  1 06:11:19 ndm: Core::Authenticator: generating.
[E] Nov  1 06:11:19 ndm: Core::Authenticator: user "admin": invalid password.
[E] Nov  1 06:11:20 ndm: Core::Authenticator: no such user: "telekom".
[E] Nov  1 06:11:21 ndm: Core::Authenticator: no such user: "telekom".
[E] Nov  1 06:11:22 ndm: Core::Authenticator: no such user: "superadmin".
[E] Nov  1 06:11:24 ndm: Core::Authenticator: no such user: "superadmin".

Особливо порадовал Киевстар! :mrgreen:

  • 0
r13 Старожил

r13

Опубликовано
Опубликовано
  В 01.11.2017 в 10:00, Mamay сказал:

В webui доступ к веб-конфигуратору через Интернет disable, хотя в startup-config внезапно:

ip http port 80
ip http security-level private
ip http lockout-policy 4 60 1
ip http ssl enable
ip http ssl redirect

 

Показать  

ip http security-level private - это и есть "disable" в веб

  • 0
Mamay Старожил

Mamay

Опубликовано
  • Автор
Опубликовано
  В 01.11.2017 в 10:06, r13 сказал:

ip http security-level private - это и есть "disable" в веб

Показать  

Ах да. Не подумал. На 80 порту внутри висит оно. Но суть проблемы не меняет. Бот атакует с завидным постоянством меня не уходя в баню...

  • 0
r13 Старожил

r13

Опубликовано
Опубликовано (изменено)
  В 01.11.2017 в 10:08, Mamay сказал:

Ах да. Не подумал. На 80 порту внутри висит оно. Но суть проблемы не меняет. Бот атакует с завидным постоянством меня не уходя в баню...

Показать  

То есть при таких настройках(наружу ничего не выставлено) все равно боты долбятся?

А это случаем не в телнет они у вас долбятся?

Изменено пользователем r13
  • 0
Mamay Старожил

Mamay

Опубликовано
  • Автор
Опубликовано
  В 01.11.2017 в 10:13, r13 сказал:

То есть при таких настройках(наружу ничего не выставлено) все равно боты долбятся?

Показать  

Бинго! Онли 443 открыт...

  • 0
Mamay Старожил

Mamay

Опубликовано
  • Автор
Опубликовано
  В 01.11.2017 в 10:15, r13 сказал:

Мне кажется это логи не от веба...

Показать  

О как! А простите от какого протокола сии логи по вашим ощущениям? telnet/ftp security-level private. ssh тут отродясь не было...

  • 0
r13 Старожил

r13

Опубликовано
Опубликовано
  В 01.11.2017 в 10:17, Mamay сказал:

О как! А простите от какого протокола сии логи по вашим ощущениям? telnet/ftp security-level private. ssh тут отродясь не было...

Показать  

Не знаю, но попробовал у себя по https поломиться в логе только одна строчка о бане и никаких похожих на ваши, то есть аналогично http.

 

  • 0
Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
  В 01.11.2017 в 09:57, Mamay сказал:
  Показать контент

2.11.A.6.0-0

Показать  

Это от transmission лог, лог от Web выглядить иначе.

  • Спасибо 1
  • 0
Mamay Старожил

Mamay

Опубликовано
  • Автор
Опубликовано

@Le ecureuilтогда такой вопрос. Нельзя ли запилить, хотя бы в cli, возможность применять lockout-policy на http порты отличные от 80/443? 

А-ля:

ip http port 80, 8020, 8080, 8090
ip http 80 security-level private
ip http 8020, 8080, 8090 security-level public

 

  • 0
Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
  В 01.11.2017 в 16:08, Mamay сказал:

@Le ecureuilтогда такой вопрос. Нельзя ли запилить, хотя бы в cli, возможность применять lockout-policy на http порты отличные от 80/443? 

А-ля:

ip http port 80, 8020, 8080, 8090
ip http 80 security-level private
ip http 8020, 8080, 8090 security-level public

 

Показать  

Я вам лично советую для transmission выделить отдельный поддомен KeenDNS, и сделать proxy. А снаружи доступ к transmission закрыть. В итоге одним махом сразу несколько зайцев, а отдуваться за ботов будет nginx.

  • Спасибо 2

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю