Ответ mikrotik при неудачной аутентификации

[whitaker]

Здравствуйте, интересует реализация подобие fail2ban. Нужно добавить в список ip адрес, с которого была попытка авторизации в web интерфейсе микротика по https. Соответственно в правиле файрвола в Advanced есть поле Content, указав в котором ответ микротика можно добавить текущий ip в список.

[Chupaka]

Приветствую. Content вам ничем не поможет, поскольку в https все пакеты шифруются, так что ответа открытым текстом не будет видно.

[whitaker]

Ясно, спасибо за информацию, буду тогда парсить лог.

[wan]

не совсем понимаю это ли вам нужно, но может на мысли какие натолкнет в правильном направлении.
добавить в фильтр

Код: Выделить всё

/ip firewall filter add chain=input in-interface-list=WAN protocol=tcp dst-port=443 action=add-src-to-address-list address-list=bad-www-ssl

и следом разрешающее правило только для своего "правильного" адреса
все что лишнее увидите в адреслисте

[Chupaka]

Видимо, хочется ходить отовсюду, но если у кого-то ошибка аутентификации произошла - банить по IP

[wan]

Видимо, хочется ходить отовсюду, но если у кого-то ошибка аутентификации произошла - банить по IP

если ходить отовсюду, может Ваша мне подсказка неделю назад - knok-knok???
ну как вариант вполне себе выход

[Sir_Prikol]

Если мне не изменяет память, то была попытка реализовать fail2ban на микротике посредством стороннего сервера, если актуально, то могу поковырятся в своих скриптах и скинуть. Просто я не люблю fail2ban, так как он меня самого часто банит из-за кучи сторонних обращений, я решил его не использовать и просто отстроил фаервол, где 3 стадии бана: 5 мин, час и сутки

[Chupaka]

Стадии бана — это хорошо, но тема больше про критерии бана

[Sir_Prikol]

Ну можно и это реализовать У меня, к примеру, 5 сек бурста на DNS и тут-же в бан, 20 обращений по ftp - тут-же в бан и т.п. правда все значения подбирал опытным путём

[Chupaka]

А теперь расскажите, что делать с https. Когда банить надо тех, у кого мало обращений, но с неправильным паролем, а тех, у кого много, но с правильным — банить ни в коем случае не надо.

[Sir_Prikol]

Если имеется ввиду что https - это сайт, то он явно не на микротике и за бан отвечает сервер, где находится сайт, а, если, https на самом микротике, то, кроме hotspot я даже не представляю зачем он там нужен, всё равно почти все сервисы отключаются на самом микротике для безопасности, да и сертификат привязать к самому микротику - та ещё задача, чтоб он отдавал правильный, а не самописный

[whitaker]

Видимо, хочется ходить отовсюду, но если у кого-то ошибка аутентификации произошла - банить по IP

если ходить отовсюду, может Ваша мне подсказка неделю назад - knok-knok???
ну как вариант вполне себе выход

Отличный вариант с реализацией port knocking, спасибо за подсказку, реализовал пока его. С анализом лога скриптом пока не пойму как выцепить из строки с неудачной авторизацией ip источника.

[Chupaka]

Приведите пример строки — может, коллективный разум чего придумает

[whitaker]

Строка с неудачной аутентификацией:
login failure for user admin from XXX.XXX.XXX.XXX via web
найти строчку в логе можно по ключевой паре "login failure" , как взять ip в переменную, поле вроде текстовое.

[Chupaka]

Что-то вроде

Код: Выделить всё

{
        :local data "login failure for user admin from XXX.XXX.XXX.XXX via web";
        :local opentag "from ";
        :local closetag " via";
        :put [:pick $data ([:find $data $opentag] + [:len $opentag]) [:find $data $closetag]]
}

(Пишу с телефона, могут быть помарки )

[whitaker]

Благодарю смысл примера мне понятен, как реализую оставлю готовый скрипт