Ответ mikrotik при неудачной аутентификации

Базовая функциональность RouterOS
whitaker
Сообщения: 5
Зарегистрирован: 25 окт 2018, 15:18

Ответ mikrotik при неудачной аутентификации

Сообщение whitaker »

Здравствуйте, интересует реализация подобие fail2ban. Нужно добавить в список ip адрес, с которого была попытка авторизации в web интерфейсе микротика по https. Соответственно в правиле файрвола в Advanced есть поле Content, указав в котором ответ микротика можно добавить текущий ip в список.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Ответ mikrotik при неудачной аутентификации

Сообщение Chupaka »

Приветствую. Content вам ничем не поможет, поскольку в https все пакеты шифруются, так что ответа открытым текстом не будет видно.
whitaker
Сообщения: 5
Зарегистрирован: 25 окт 2018, 15:18

Re: Ответ mikrotik при неудачной аутентификации

Сообщение whitaker »

Ясно, спасибо за информацию, буду тогда парсить лог.
wan
Сообщения: 87
Зарегистрирован: 20 авг 2017, 13:43

Re: Ответ mikrotik при неудачной аутентификации

Сообщение wan »

не совсем понимаю это ли вам нужно, но может на мысли какие натолкнет в правильном направлении.
добавить в фильтр

Код: Выделить всё

/ip firewall filter add chain=input in-interface-list=WAN protocol=tcp dst-port=443 action=add-src-to-address-list address-list=bad-www-ssl
и следом разрешающее правило только для своего "правильного" адреса
все что лишнее увидите в адреслисте
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Ответ mikrotik при неудачной аутентификации

Сообщение Chupaka »

Видимо, хочется ходить отовсюду, но если у кого-то ошибка аутентификации произошла - банить по IP
wan
Сообщения: 87
Зарегистрирован: 20 авг 2017, 13:43

Re: Ответ mikrotik при неудачной аутентификации

Сообщение wan »

Chupaka писал(а): 25 окт 2018, 19:08 Видимо, хочется ходить отовсюду, но если у кого-то ошибка аутентификации произошла - банить по IP
если ходить отовсюду, может Ваша мне подсказка неделю назад - knok-knok???
ну как вариант вполне себе выход
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Ответ mikrotik при неудачной аутентификации

Сообщение Sir_Prikol »

Если мне не изменяет память, то была попытка реализовать fail2ban на микротике посредством стороннего сервера, если актуально, то могу поковырятся в своих скриптах и скинуть. Просто я не люблю fail2ban, так как он меня самого часто банит из-за кучи сторонних обращений, я решил его не использовать и просто отстроил фаервол, где 3 стадии бана: 5 мин, час и сутки
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Ответ mikrotik при неудачной аутентификации

Сообщение Chupaka »

Стадии бана — это хорошо, но тема больше про критерии бана :)
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Ответ mikrotik при неудачной аутентификации

Сообщение Sir_Prikol »

Ну можно и это реализовать :) У меня, к примеру, 5 сек бурста на DNS и тут-же в бан, 20 обращений по ftp - тут-же в бан и т.п. правда все значения подбирал опытным путём
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Ответ mikrotik при неудачной аутентификации

Сообщение Chupaka »

А теперь расскажите, что делать с https. Когда банить надо тех, у кого мало обращений, но с неправильным паролем, а тех, у кого много, но с правильным — банить ни в коем случае не надо.
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Ответ mikrotik при неудачной аутентификации

Сообщение Sir_Prikol »

Если имеется ввиду что https - это сайт, то он явно не на микротике и за бан отвечает сервер, где находится сайт, а, если, https на самом микротике, то, кроме hotspot я даже не представляю зачем он там нужен, всё равно почти все сервисы отключаются на самом микротике для безопасности, да и сертификат привязать к самому микротику - та ещё задача, чтоб он отдавал правильный, а не самописный
Дома: CCR2004 (7-ISP(GPON)белый IP)
whitaker
Сообщения: 5
Зарегистрирован: 25 окт 2018, 15:18

Re: Ответ mikrotik при неудачной аутентификации

Сообщение whitaker »

Chupaka писал(а): 25 окт 2018, 19:08 Видимо, хочется ходить отовсюду, но если у кого-то ошибка аутентификации произошла - банить по IP

если ходить отовсюду, может Ваша мне подсказка неделю назад - knok-knok???
ну как вариант вполне себе выход
Отличный вариант с реализацией port knocking, спасибо за подсказку, реализовал пока его. С анализом лога скриптом пока не пойму как выцепить из строки с неудачной авторизацией ip источника.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Ответ mikrotik при неудачной аутентификации

Сообщение Chupaka »

Приведите пример строки — может, коллективный разум чего придумает :)
whitaker
Сообщения: 5
Зарегистрирован: 25 окт 2018, 15:18

Re: Ответ mikrotik при неудачной аутентификации

Сообщение whitaker »

Строка с неудачной аутентификацией:
login failure for user admin from XXX.XXX.XXX.XXX via web
найти строчку в логе можно по ключевой паре "login failure" , как взять ip в переменную, поле вроде текстовое.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Ответ mikrotik при неудачной аутентификации

Сообщение Chupaka »

Что-то вроде

Код: Выделить всё

{
        :local data "login failure for user admin from XXX.XXX.XXX.XXX via web";
        :local opentag "from ";
        :local closetag " via";
        :put [:pick $data ([:find $data $opentag] + [:len $opentag]) [:find $data $closetag]]
}
(Пишу с телефона, могут быть помарки :) )
whitaker
Сообщения: 5
Зарегистрирован: 25 окт 2018, 15:18

Re: Ответ mikrotik при неудачной аутентификации

Сообщение whitaker »

Благодарю :) смысл примера мне понятен, как реализую оставлю готовый скрипт