Страница 1 из 1
Ответ mikrotik при неудачной аутентификации
Добавлено: 25 окт 2018, 15:23
whitaker
Здравствуйте, интересует реализация подобие fail2ban. Нужно добавить в список ip адрес, с которого была попытка авторизации в web интерфейсе микротика по https. Соответственно в правиле файрвола в Advanced есть поле Content, указав в котором ответ микротика можно добавить текущий ip в список.
Re: Ответ mikrotik при неудачной аутентификации
Добавлено: 25 окт 2018, 15:48
Chupaka
Приветствую. Content вам ничем не поможет, поскольку в https все пакеты шифруются, так что ответа открытым текстом не будет видно.
Re: Ответ mikrotik при неудачной аутентификации
Добавлено: 25 окт 2018, 16:43
whitaker
Ясно, спасибо за информацию, буду тогда парсить лог.
Re: Ответ mikrotik при неудачной аутентификации
Добавлено: 25 окт 2018, 16:47
wan
не совсем понимаю это ли вам нужно, но может на мысли какие натолкнет в правильном направлении.
добавить в фильтр
Код: Выделить всё
/ip firewall filter add chain=input in-interface-list=WAN protocol=tcp dst-port=443 action=add-src-to-address-list address-list=bad-www-ssl
и следом разрешающее правило только для своего "правильного" адреса
все что лишнее увидите в адреслисте
Re: Ответ mikrotik при неудачной аутентификации
Добавлено: 25 окт 2018, 19:08
Chupaka
Видимо, хочется ходить отовсюду, но если у кого-то ошибка аутентификации произошла - банить по IP
Re: Ответ mikrotik при неудачной аутентификации
Добавлено: 25 окт 2018, 20:37
wan
Chupaka писал(а): ↑25 окт 2018, 19:08
Видимо, хочется ходить отовсюду, но если у кого-то ошибка аутентификации произошла - банить по IP
если ходить отовсюду, может Ваша мне подсказка неделю назад - knok-knok???
ну как вариант вполне себе выход
Re: Ответ mikrotik при неудачной аутентификации
Добавлено: 26 окт 2018, 00:26
Sir_Prikol
Если мне не изменяет память, то была попытка реализовать fail2ban на микротике посредством стороннего сервера, если актуально, то могу поковырятся в своих скриптах и скинуть. Просто я не люблю fail2ban, так как он меня самого часто банит из-за кучи сторонних обращений, я решил его не использовать и просто отстроил фаервол, где 3 стадии бана: 5 мин, час и сутки
Re: Ответ mikrotik при неудачной аутентификации
Добавлено: 26 окт 2018, 00:48
Chupaka
Стадии бана — это хорошо, но тема больше про критерии бана
Re: Ответ mikrotik при неудачной аутентификации
Добавлено: 26 окт 2018, 01:01
Sir_Prikol
Ну можно и это реализовать
У меня, к примеру, 5 сек бурста на DNS и тут-же в бан, 20 обращений по ftp - тут-же в бан и т.п. правда все значения подбирал опытным путём
Re: Ответ mikrotik при неудачной аутентификации
Добавлено: 26 окт 2018, 07:09
Chupaka
А теперь расскажите, что делать с https. Когда банить надо тех, у кого мало обращений, но с неправильным паролем, а тех, у кого много, но с правильным — банить ни в коем случае не надо.
Re: Ответ mikrotik при неудачной аутентификации
Добавлено: 26 окт 2018, 09:52
Sir_Prikol
Если имеется ввиду что https - это сайт, то он явно не на микротике и за бан отвечает сервер, где находится сайт, а, если, https на самом микротике, то, кроме hotspot я даже не представляю зачем он там нужен, всё равно почти все сервисы отключаются на самом микротике для безопасности, да и сертификат привязать к самому микротику - та ещё задача, чтоб он отдавал правильный, а не самописный
Re: Ответ mikrotik при неудачной аутентификации
Добавлено: 26 окт 2018, 11:08
whitaker
Chupaka писал(а): ↑25 окт 2018, 19:08
Видимо, хочется ходить отовсюду, но если у кого-то ошибка аутентификации произошла - банить по IP
если ходить отовсюду, может Ваша мне подсказка неделю назад - knok-knok???
ну как вариант вполне себе выход
Отличный вариант с реализацией port knocking, спасибо за подсказку, реализовал пока его. С анализом лога скриптом пока не пойму как выцепить из строки с неудачной авторизацией ip источника.
Re: Ответ mikrotik при неудачной аутентификации
Добавлено: 26 окт 2018, 11:10
Chupaka
Приведите пример строки — может, коллективный разум чего придумает
Re: Ответ mikrotik при неудачной аутентификации
Добавлено: 26 окт 2018, 11:28
whitaker
Строка с неудачной аутентификацией:
login failure for user admin from XXX.XXX.XXX.XXX via web
найти строчку в логе можно по ключевой паре "login failure" , как взять ip в переменную, поле вроде текстовое.
Re: Ответ mikrotik при неудачной аутентификации
Добавлено: 26 окт 2018, 11:45
Chupaka
Что-то вроде
Код: Выделить всё
{
:local data "login failure for user admin from XXX.XXX.XXX.XXX via web";
:local opentag "from ";
:local closetag " via";
:put [:pick $data ([:find $data $opentag] + [:len $opentag]) [:find $data $closetag]]
}
(Пишу с телефона, могут быть помарки
)
Re: Ответ mikrotik при неудачной аутентификации
Добавлено: 26 окт 2018, 13:54
whitaker
Благодарю
смысл примера мне понятен, как реализую оставлю готовый скрипт