Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

Защита NAS от подбора логинов и паролей к FTP силами маршрутизатора

https://forummikrotik.ru/viewtopic.php?t=10956

Страница 1 из 2

Защита NAS от подбора логинов и паролей к FTP силами маршрутизатора

Добавлено: 07 ноя 2019, 08:23
Atomic79
Приветствую. Подскажите как можно защитить (или хотя бы ограничить) попытки доступа к FTP NAS силами MikroTik. На самом NAS включена блокировка в случае попытки несанкционированного доступа долее 10 раз с одного ip. В логах видно что ломятся через открытый 21 порт микротика.
Изображение

Re: Защита NAS от подбора логинов и паролей к FTP силами маршрутизатора

Добавлено: 07 ноя 2019, 08:59
Sertik
Сменить порт 21 на другой на Микротике (открыть другой порт) и NAS. Использовать возможности port knoking на Микротике.
А в идеале для доступа к NAS снаружи вообще лучше использовать VPN.

Re: Защита NAS от подбора логинов и паролей к FTP силами маршрутизатора

Добавлено: 07 ноя 2019, 12:48
Atomic79
Благодарю. Поменял номер порта FTP и в микроте и на NAS.

Re: Защита NAS от подбора логинов и паролей к FTP силами маршрутизатора

Добавлено: 07 ноя 2019, 23:36
IntelOut
Как вариант можно использовать примеры из WIKI...

https://wiki.mikrotik.com/wiki/Brutefor ... prevention

Re: Защита NAS от подбора логинов и паролей к FTP силами маршрутизатора

Добавлено: 08 ноя 2019, 07:46
Atomic79
Спасибо. Правила добавил, посмотрим как пойдет.

Re: Защита NAS от подбора логинов и паролей к FTP силами маршрутизатора

Добавлено: 12 ноя 2019, 10:50
Atomic79
За пять дней наблюдений попыток входа в FTP не зафиксировано.... Все ок. Всем спасибо.

Re: Защита NAS от подбора логинов и паролей к FTP силами маршрутизатора

Добавлено: 13 ноя 2019, 21:47
MaxoDroid
Здравствуйте!
Забеспокоился и я защитой портов NAS. Стандартный порт 80 подменяется в интернете на 62430, а 5000 - на 62429. Заменяются в NAT.
Накидал правила в фаервол:

Код: Выделить всё

/ip firewall filter
# Посылаю в цепь проверки только те запросы, которые идут из внешнего мира – WAN
add action=jump chain=forward comment="10.1 - NAS ports request check jump for TCP" connection-state=new dst-port=5000,5001,6690,80,443,5005,5006 jump-target=check-bruteforce in-interface-list=WAN protocol=tcp
add action=jump chain=forward comment="10.2 - NAS ports request check jump for UDP" connection-state=new dst-port=5000,5001 jump-target=check-bruteforce in-interface-list=WAN protocol=udp

# Дропаю, все, что попало в список "bruteforcer"
add action=drop chain=forward comment="10.3 – Drop the bruteforcer" connection-state=new log=yes log-prefix="--DROP NAS_PORTs brute forcer--" src-address-list= bruteforcer

# Тут идут ступени для аутентификации
add action=add-src-to-address-list comment="10.4 – Lock the bruteforcer" address-list=bruteforcer address-list-timeout=10m chain=check-bruteforce src-address-list=bruteforce-stage-5
add action=add-src-to-address-list comment="10.5 – bruteforcer check – Stage 4" address-list=bruteforce-stage-5 address-list-timeout=1m chain=check-bruteforce src-address-list=bruteforce-stage-4
add action=add-src-to-address-list comment="10.6 – bruteforcer check – Stage 3" address-list=bruteforce-stage-4 address-list-timeout=1m chain=check-bruteforce src-address-list=bruteforce-stage-3
add action=add-src-to-address-list comment="10.7 – bruteforcer check – Stage 2" address-list=bruteforce-stage-3 address-list-timeout=1m chain=check-bruteforce src-address-list=bruteforce-stage-2
add action=add-src-to-address-list comment="10.8 – bruteforcer check – Stage 1" address-list=bruteforce-stage-2 address-list-timeout=1m chain=check-bruteforce src-address-list=bruteforce-stage-1

# Принимаю все, что прошло проверку
add action=accept chain=forward comment="10.9 – NAS ports request accept for TCP " connection-state=new dst-port=5000,5001,6690,80,443,5005,5006 protocol=tcp
add action=accept chain=forward comment="10.10 – NAS ports request accept for UDP " connection-state=new dst-port=5000,5001  protocol=udp
Решил проверить защищенность своего аппарата. Взял свой сотовый и попытался 7 раз войти в приложение DS File с заведомо неправильным паролем.
К моему удивлению, мой IP-шник в бан не попал, и попытка войти с правильным паролем на 8-й раз увенчалась успехом.
Иных портов, кроме перечисленных в правилах выше, мой NAS не использует.
Вопрос. Где я накосячил? Подскажите, плиз.

Re: Защита NAS от подбора логинов и паролей к FTP силами маршрутизатора

Добавлено: 13 ноя 2019, 22:02
MaxoDroid
А еще по защиту портов от взлома нашел и другую философию защиты:
https://www.mihanik.net/mikrotik-zashhi ... brutforsa/

Re: Защита NAS от подбора логинов и паролей к FTP силами маршрутизатора

Добавлено: 13 ноя 2019, 22:30
xvo
А где правило то, которое в самый первый список закидывает?

Re: Защита NAS от подбора логинов и паролей к FTP силами маршрутизатора

Добавлено: 13 ноя 2019, 22:33
xvo
MaxoDroid писал(а): 13 ноя 2019, 22:02 А еще по защиту портов от взлома нашел и другую философию защиты:
https://www.mihanik.net/mikrotik-zashhi ... brutforsa/
А чем другая то? Это же то же самое, что у вас.
Часовой пояс: UTC+03:00
Страница 1 из 2

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB