Mikrotik Router OS Logfile

OE5AMP

Cadet 1st Year
Dabei seit
Juli 2016
Beiträge
8
Servus

Habe heute mal in das Logfile von meinen Mikrotik Router nachgesehen und da diverse Einträge gefunden.

Im Anhang mal ein Screenshot.

Das ist nicht normal oder?

mfg
 

Anhänge

Yuuri

Fleet Admiral
Dabei seit
Okt. 2010
Beiträge
12.677
Doch das ist vollkommen normaler Alltag. Insofern du via SSH nichts laufen hast, ist das absolut irrelevant.
 

OE5AMP

Cadet 1st Year
Ersteller dieses Themas
Dabei seit
Juli 2016
Beiträge
8
Servus

Danke für deine Antwort.

Hmm ja bei den Standart Router sieht man das ja gar nicht. Also fällts da keinen auf denke ich mal.

Ich habe jetzt mal SSH Telnet und FTP beim RouterOS abgedreht. Ab und zu brauche ich SSH Zugriff, aber da aktiviere ich das bei bedarf.

Muss mich da mal bei den Firewalleinstellungen schlau machen, was es da zu konfigurieren gibt.

mfg
 

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
10.360
Ich kenne mich mit den MikroTiks nicht aus, aber auf meinem Linux-Server läuft ein entsprechendes Skript, das solche Logins bzw. Wörterbuchattacken, etc. im Keim erstickt.

Denyhosts registriert fehlerhafte Logins und wenn x Versuche in y Minuten fehlgeschlagen sind, wird die Quell-IP für den Zeitraum z komplett gesperrt. Im worst case kann man sich also selbst aussperren, wenn man zB CapsLock versehentlich anschaltet und zB 3x falsch einloggt.

Keine Ahnung ob es ähnliche Mechamismen für MikroTik gibt, aber ich kann es mir gut vorstellen. Alternativ kann man SSH-Zugriff auch selbst über die Firewall reglementieren und zB nur ganz bestimmte Quell-IPs erlauben (zB die feste IP aus der Firma). Andere IPs werden dann direkt abgeblockt.
 

error

Lt. Commander
Dabei seit
Aug. 2007
Beiträge
1.209
moin,

wie breites gesagt, das ist völlig normaler Alltag. Es werden Automatisiert IPs gescannt und dann wird versucht sich mit Standardpasswörtern anzumelden.

Hmm ja bei den Standart Router sieht man das ja gar nicht. Also fällts da keinen auf denke ich mal.
Der "normale Standartrouter" hat meistens auch kein SSH/Telnet auf das WAN-Seite aktiviert.
Und er zeigt solche Logs nur an, wenn du weißt wo du suchen musst.

Muss mich da mal bei den Firewalleinstellungen schlau machen, was es da zu konfigurieren gibt.
An der Firewall kannst du in diesem Fall nichts ändern. Entweder der Port ist erreichbar oder nicht. Abstufungen kannst du da nicht einstellen.

Eine Möglichkeit wäre Fail2ban, das nach X Versuchen die IP für die Zeit Y sperrt.
Fail2Ban mit Mikronik
Oder das hier:
[url="http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention]Bruteforce Login Prevention[/url]

gruß
 
Zuletzt bearbeitet:

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
10.360
Stimmt, fail2ban gab's ja auch noch. Mir fiel spontan nur denyhosts ein.
 

OE5AMP

Cadet 1st Year
Ersteller dieses Themas
Dabei seit
Juli 2016
Beiträge
8
Servus

Danke für eure Tips.

Die Methoden wie fail2ban werde ich mir mal genauer ansehen. Stimmt man kann sich selbst auch aussperren damit. Aber meistens greife ich eh von Zuhause aus zu. Und da ists nicht so tragisch wenn ich mich aussperre.

Zur not gibts einen Total reset und ich schreibe mein Backup wieder drauf.

Die beste Firewall wäre den Stecker zu ziehen :-)

Es gibt schon professionelle Firewalls, die so gut wie gar nichts mehr durchlassen, die überwachen sogar den http Port auf Datenpakete. Aber da sind wir schon in der Liga wo man monatlich ziemlich was hinblättern muss.

Habe jetzt mal alle Zugänge die ich nicht brauche abgedreht und den Standart Usernamen "admin" ausgetauscht.

mfg und nen schönen Nachmittag
 
Top