Tentativi di Login su hEX

[Gojetha4]

Salve a tutti, premetto che non sono un esperto ri routerboard e si routeros, solo in questi giorni ho messo mano sulla mia prima routerboard.
Grazie a telle guide e un po di esperienza base di linux sono riuscito a configurarla e funziona perfettamente.

L'ho collegata alla rete aziendale e poi grazie alla nat la uso per navigare attraverso una linea interbusiness con ip fisso della telecom.

Ora però da ieri che è in funzione nel log registro molti tentativi di connessione alla console o tramite telnet, ssh come guest, admin, root etcc e da diversi ip.

Per ora tutto ok vengono bloccati, ma non sto molto tranquillo, cosa posso fare per bloccarli o stare tranquillo?
Alcune righe...
login failure for user installer from 115.149.180.2 via ssh
login failure for user admin from 185.15.75.163 via ssh
login failure for user root from 94.189.208.173 via telnet

etc..

Grazie mille in anticipo per chi volesse aiutarmi.

[pioccd]

Ciao Gojetha4,
IP -> Services e disabilita tutto ciò che non ti serve.

[xanio]

come suggerito da pioccd, in quel modo disabiliti i servizi che non ti servono per accedere alla RB, ma poi devi:
1. se la RB ha direttamente un ip pubblico, impostare delle regole di firewall sulla chain di input e forward;
2. se la RB non è con ip pubblico, ma a sua volta nattata, devi agire sul router telecom, eliminando i port-forward che non ti servono

[Gojetha4]

Grazie mille in primis per l'aiuto.

Allora chiudendo i servizi da IP > Services per ora nei LOG non registro tentativi di accesso.

Poi ho IP Fisso, purtroppo non ho esperienza di configurazione firewall, impostarlo come dicevi migliorerebbe la sicurezza?

Come potre configurarlo?

Grazie ancora in anticipo!

[pioccd]

Questo potrebbe essere un piccolo esempio: (da terminale)

ip firewall filter
add chain=input protocol=tcp dst-port=53 in-interface=nomeinterfacciainternet action=drop
add chain=input protocol=udp dst-port=53 in-interface=nomeinterfacciainternet action=drop

Questa regola vale per i DNS, per il telnet basta cambiare 53 in 23 e applicare solo la regola tcp, se in IP ->DNS hai abilitato "Allow remote requests" ti consiglio di inserire le due regole sopra.

[jerrino77]

Salve a tutti, mi "intrometto" nella discussione poiché anche io ho lo stesso problema, da molto tempo e su diverse routerboard.

Sono d'accordo sul disabilitare i servizi, ma poi in questo modo non li avrei mai a disposizione, giusto? Neanche da rete interna?

Un'altra cosa che ho notato, è che questi "attacchi" avvenivano sempre sulle porte ssh e telnet: dopo aver aggiunto la regola di drop sul FW, questi tentativi di login sono ricominciati "via web" e "via ftp" cosa che prima dell'impostazione della regola non era mai accaduta. Io ho messo sul router una password spero abbastanza robusta, ma comunque sono preoccupato anche io

La domanda quindi è: cosa sono questi tentativi di login? sono tentativi di attacco da parte di qualche botnet? soprattutto, influiscono sulle prestazioni della mia linea ("mangiano" banda)?

[pioccd]

Salve a tutti, mi "intrometto" nella discussione poiché anche io ho lo stesso problema, da molto tempo e su diverse routerboard.

Sono d'accordo sul disabilitare i servizi, ma poi in questo modo non li avrei mai a disposizione, giusto? Neanche da rete interna?

Un'altra cosa che ho notato, è che questi "attacchi" avvenivano sempre sulle porte ssh e telnet: dopo aver aggiunto la regola di drop sul FW, questi tentativi di login sono ricominciati "via web" e "via ftp" cosa che prima dell'impostazione della regola non era mai accaduta. Io ho messo sul router una password spero abbastanza robusta, ma comunque sono preoccupato anche io

La domanda quindi è: cosa sono questi tentativi di login? sono tentativi di attacco da parte di qualche botnet? soprattutto, influiscono sulle prestazioni della mia linea ("mangiano" banda)?

Sono comuni bot, succede spesso, ormai è quasi normale...
Semplicemente avendo trovato le porte ssh e telnet chiuse in automatico ha tentato sugli altri servizi.

Sul fattore banda non è molta, se guardi sopra ho messo due regole di drop sulla interfaccia pubblica.

[pioccd]

Salve a tutti, mi "intrometto" nella discussione poiché anche io ho lo stesso problema, da molto tempo e su diverse routerboard.

Sono d'accordo sul disabilitare i servizi, ma poi in questo modo non li avrei mai a disposizione, giusto? Neanche da rete interna?

Un'altra cosa che ho notato, è che questi "attacchi" avvenivano sempre sulle porte ssh e telnet: dopo aver aggiunto la regola di drop sul FW, questi tentativi di login sono ricominciati "via web" e "via ftp" cosa che prima dell'impostazione della regola non era mai accaduta. Io ho messo sul router una password spero abbastanza robusta, ma comunque sono preoccupato anche io

La domanda quindi è: cosa sono questi tentativi di login? sono tentativi di attacco da parte di qualche botnet? soprattutto, influiscono sulle prestazioni della mia linea ("mangiano" banda)?

Sono comuni bot, succede spesso, ormai è quasi normale...
Semplicemente avendo trovato le porte ssh e telnet chiuse in automatico ha tentato sugli altri servizi.

Sul fattore banda non è molta, se guardi sopra ho messo due regole di drop sulla interfaccia pubblica.

[ppraz]

Sono d'accordo sul disabilitare i servizi, ma poi in questo modo non li avrei mai a disposizione, giusto? Neanche da rete interna?

No, puoi elencare tutte le subnet che vuoi escluse dalla restrizione

Un'altra cosa che ho notato, è che questi "attacchi" avvenivano sempre sulle porte ssh e telnet: dopo aver aggiunto la regola di drop sul FW, questi tentativi di login sono ricominciati "via web" e "via ftp"

Il consiglio è quello di tenere aperte tutte e sole le porte necessarie, non una di più, chiudi web e ftp se non usi quei protocolli, io personalmente uso solo winbox senza restrizioni sull'ip e ssh solo da rete interna

[Gojetha4]

Volevo ringraziare tutti per i vostri consigli, a quanto ho capito sono per così dire "attacchi fisiologici" ormai. Cmq dopo il vostro intervento ho impostato le chiusure e le regole per le sole subnet internet che mi occorrono e al momento semra tutto ok, anche perchè l'ho reso non raggiungibile dall'esterno e mi sembra ok.

Grazie mille a tutti!