Mikrotik Router OS Logfile
- Ersteller des Themas OE5AMP
- Erstellungsdatum
Servus
Danke für deine Antwort.
Hmm ja bei den Standart Router sieht man das ja gar nicht. Also fällts da keinen auf denke ich mal.
Ich habe jetzt mal SSH Telnet und FTP beim RouterOS abgedreht. Ab und zu brauche ich SSH Zugriff, aber da aktiviere ich das bei bedarf.
Muss mich da mal bei den Firewalleinstellungen schlau machen, was es da zu konfigurieren gibt.
mfg
Danke für deine Antwort.
Hmm ja bei den Standart Router sieht man das ja gar nicht. Also fällts da keinen auf denke ich mal.
Ich habe jetzt mal SSH Telnet und FTP beim RouterOS abgedreht. Ab und zu brauche ich SSH Zugriff, aber da aktiviere ich das bei bedarf.
Muss mich da mal bei den Firewalleinstellungen schlau machen, was es da zu konfigurieren gibt.
mfg
Raijin
Fleet Admiral
- Dabei seit
- Nov. 2007
- Beiträge
- 10.360
Ich kenne mich mit den MikroTiks nicht aus, aber auf meinem Linux-Server läuft ein entsprechendes Skript, das solche Logins bzw. Wörterbuchattacken, etc. im Keim erstickt.
Denyhosts registriert fehlerhafte Logins und wenn x Versuche in y Minuten fehlgeschlagen sind, wird die Quell-IP für den Zeitraum z komplett gesperrt. Im worst case kann man sich also selbst aussperren, wenn man zB CapsLock versehentlich anschaltet und zB 3x falsch einloggt.
Keine Ahnung ob es ähnliche Mechamismen für MikroTik gibt, aber ich kann es mir gut vorstellen. Alternativ kann man SSH-Zugriff auch selbst über die Firewall reglementieren und zB nur ganz bestimmte Quell-IPs erlauben (zB die feste IP aus der Firma). Andere IPs werden dann direkt abgeblockt.
Denyhosts registriert fehlerhafte Logins und wenn x Versuche in y Minuten fehlgeschlagen sind, wird die Quell-IP für den Zeitraum z komplett gesperrt. Im worst case kann man sich also selbst aussperren, wenn man zB CapsLock versehentlich anschaltet und zB 3x falsch einloggt.
Keine Ahnung ob es ähnliche Mechamismen für MikroTik gibt, aber ich kann es mir gut vorstellen. Alternativ kann man SSH-Zugriff auch selbst über die Firewall reglementieren und zB nur ganz bestimmte Quell-IPs erlauben (zB die feste IP aus der Firma). Andere IPs werden dann direkt abgeblockt.
moin,
wie breites gesagt, das ist völlig normaler Alltag. Es werden Automatisiert IPs gescannt und dann wird versucht sich mit Standardpasswörtern anzumelden.
Und er zeigt solche Logs nur an, wenn du weißt wo du suchen musst.
Eine Möglichkeit wäre Fail2ban, das nach X Versuchen die IP für die Zeit Y sperrt.
Fail2Ban mit Mikronik
Oder das hier:
[url="http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention]Bruteforce Login Prevention[/url]
gruß
wie breites gesagt, das ist völlig normaler Alltag. Es werden Automatisiert IPs gescannt und dann wird versucht sich mit Standardpasswörtern anzumelden.
Der "normale Standartrouter" hat meistens auch kein SSH/Telnet auf das WAN-Seite aktiviert.
Und er zeigt solche Logs nur an, wenn du weißt wo du suchen musst.
An der Firewall kannst du in diesem Fall nichts ändern. Entweder der Port ist erreichbar oder nicht. Abstufungen kannst du da nicht einstellen.
Eine Möglichkeit wäre Fail2ban, das nach X Versuchen die IP für die Zeit Y sperrt.
Fail2Ban mit Mikronik
Oder das hier:
[url="http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention]Bruteforce Login Prevention[/url]
gruß
Zuletzt bearbeitet:
Servus
Danke für eure Tips.
Die Methoden wie fail2ban werde ich mir mal genauer ansehen. Stimmt man kann sich selbst auch aussperren damit. Aber meistens greife ich eh von Zuhause aus zu. Und da ists nicht so tragisch wenn ich mich aussperre.
Zur not gibts einen Total reset und ich schreibe mein Backup wieder drauf.
Die beste Firewall wäre den Stecker zu ziehen :-)
Es gibt schon professionelle Firewalls, die so gut wie gar nichts mehr durchlassen, die überwachen sogar den http Port auf Datenpakete. Aber da sind wir schon in der Liga wo man monatlich ziemlich was hinblättern muss.
Habe jetzt mal alle Zugänge die ich nicht brauche abgedreht und den Standart Usernamen "admin" ausgetauscht.
mfg und nen schönen Nachmittag
Danke für eure Tips.
Die Methoden wie fail2ban werde ich mir mal genauer ansehen. Stimmt man kann sich selbst auch aussperren damit. Aber meistens greife ich eh von Zuhause aus zu. Und da ists nicht so tragisch wenn ich mich aussperre.
Zur not gibts einen Total reset und ich schreibe mein Backup wieder drauf.
Die beste Firewall wäre den Stecker zu ziehen :-)
Es gibt schon professionelle Firewalls, die so gut wie gar nichts mehr durchlassen, die überwachen sogar den http Port auf Datenpakete. Aber da sind wir schon in der Liga wo man monatlich ziemlich was hinblättern muss.
Habe jetzt mal alle Zugänge die ich nicht brauche abgedreht und den Standart Usernamen "admin" ausgetauscht.
mfg und nen schönen Nachmittag