Mikrotik Router OS Logfile

OE5AMP

Cadet 1st Year
Registriert
Juli 2016
Beiträge
8
Servus

Habe heute mal in das Logfile von meinen Mikrotik Router nachgesehen und da diverse Einträge gefunden.

Im Anhang mal ein Screenshot.

Das ist nicht normal oder?

mfg
 

Anhänge

  • Logfile Mikrotik.png
    Logfile Mikrotik.png
    156,8 KB · Aufrufe: 165
Doch das ist vollkommen normaler Alltag. Insofern du via SSH nichts laufen hast, ist das absolut irrelevant.
 
Servus

Danke für deine Antwort.

Hmm ja bei den Standart Router sieht man das ja gar nicht. Also fällts da keinen auf denke ich mal.

Ich habe jetzt mal SSH Telnet und FTP beim RouterOS abgedreht. Ab und zu brauche ich SSH Zugriff, aber da aktiviere ich das bei bedarf.

Muss mich da mal bei den Firewalleinstellungen schlau machen, was es da zu konfigurieren gibt.

mfg
 
Ich kenne mich mit den MikroTiks nicht aus, aber auf meinem Linux-Server läuft ein entsprechendes Skript, das solche Logins bzw. Wörterbuchattacken, etc. im Keim erstickt.

Denyhosts registriert fehlerhafte Logins und wenn x Versuche in y Minuten fehlgeschlagen sind, wird die Quell-IP für den Zeitraum z komplett gesperrt. Im worst case kann man sich also selbst aussperren, wenn man zB CapsLock versehentlich anschaltet und zB 3x falsch einloggt.

Keine Ahnung ob es ähnliche Mechamismen für MikroTik gibt, aber ich kann es mir gut vorstellen. Alternativ kann man SSH-Zugriff auch selbst über die Firewall reglementieren und zB nur ganz bestimmte Quell-IPs erlauben (zB die feste IP aus der Firma). Andere IPs werden dann direkt abgeblockt.
 
moin,

wie breites gesagt, das ist völlig normaler Alltag. Es werden Automatisiert IPs gescannt und dann wird versucht sich mit Standardpasswörtern anzumelden.

Hmm ja bei den Standart Router sieht man das ja gar nicht. Also fällts da keinen auf denke ich mal.
Der "normale Standartrouter" hat meistens auch kein SSH/Telnet auf das WAN-Seite aktiviert.
Und er zeigt solche Logs nur an, wenn du weißt wo du suchen musst.

Muss mich da mal bei den Firewalleinstellungen schlau machen, was es da zu konfigurieren gibt.
An der Firewall kannst du in diesem Fall nichts ändern. Entweder der Port ist erreichbar oder nicht. Abstufungen kannst du da nicht einstellen.

Eine Möglichkeit wäre Fail2ban, das nach X Versuchen die IP für die Zeit Y sperrt.
Fail2Ban mit Mikronik
Oder das hier:
[url="http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention]Bruteforce Login Prevention[/url]

gruß
 
Zuletzt bearbeitet:
Stimmt, fail2ban gab's ja auch noch. Mir fiel spontan nur denyhosts ein.
 
Servus

Danke für eure Tips.

Die Methoden wie fail2ban werde ich mir mal genauer ansehen. Stimmt man kann sich selbst auch aussperren damit. Aber meistens greife ich eh von Zuhause aus zu. Und da ists nicht so tragisch wenn ich mich aussperre.

Zur not gibts einen Total reset und ich schreibe mein Backup wieder drauf.

Die beste Firewall wäre den Stecker zu ziehen :-)

Es gibt schon professionelle Firewalls, die so gut wie gar nichts mehr durchlassen, die überwachen sogar den http Port auf Datenpakete. Aber da sind wir schon in der Liga wo man monatlich ziemlich was hinblättern muss.

Habe jetzt mal alle Zugänge die ich nicht brauche abgedreht und den Standart Usernamen "admin" ausgetauscht.

mfg und nen schönen Nachmittag
 
Zurück
Oben