Как да защитя мрежа изградена с продукти на UBNT M5 - серията

[magnate]

Ние днес изгоряхме със 70 устройства .. по първоначални данни. FW 5.3.5

Редактирано 2 Май, 2012 от magnate

[ефект]

Ние днес изгоряхме със 70 устройства .. по първоначални данни. FW 5.3.5

гадно

Редактирано 2 Май, 2012 от ефект

[Mile]

грешка..

Редактирано 2 Май, 2012 от Mile

[magnate]

Не може ли защитата да се направи, като се даде достъп само на едно IP и MAC да има достъп до устройството ?

Примерно някой Windows Server че на колегите ssh им е малко чужд.

Тези устройства, изобщо имат малко недоизмислени неща ... сега ръчно му вдигнах защитната стена, въпреки че има отметка във web.

insmod /lib/modules/2.6.32.54/ip_tables.ko

insmod /lib/modules/2.6.32.54/ipt_REJECT.ko

iptables -I INPUT -i eth0 -p TCP -s 0.0.0.0/0 --destination-port 22 -j DROP

iptables -I INPUT -i eth0 -p TCP -s xxx.xxx.xxx.xxx/32 --destination-port 22 -j ACCEPT

iptables -I INPUT -i eth0 -p TCP -s 0.0.0.0/0 --destination-port 80 -j DROP

iptables -I INPUT -i eth0 -p TCP -s xxx.xxx.xxx.xxx/32 --destination-port 80 -j ACCEPT

И стигаме до задънена улица:

XM.v5.5# iptables -I INPUT -i eth0 -p TCP -s 0.0.0.0/0 --destination-port 80 -j DROP

iptables: No chain/target/match by that name

XM.v5.5#

XM.v5.5# insmod /lib/modules/2.6.32.54/iptable_filter.ko

insmod: cannot insert '/lib/modules/2.6.32.54/iptable_filter.ko': Success (17)

XM.v5.5#

Редактирано 2 Май, 2012 от magnate

[Go-Go Net]

Ние днес изгоряхме със 70 устройства .. по първоначални данни. FW 5.3.5

И вие ли в понеделник сутринта или вторник? Дали има някаква закономерност в атаките .. при всички по едно и също време или по различно става ? Вие от къде сте.

[Nitrogenium]

Сигурно ще има закономерност.... някой натиска големия червен бутон HACK и всички мрежи в региона умират

[pa4o]

хахахаха ще си боядисам едно копче на лаптопа червено

[Semoff]

Не че нещо, ама просто недоумявам как може да ви сриват така мрежите и вие да не се сещатате да си смените портовете ?

Направи SSH на порт 64022 и WEB-a на 53188 и даже няма да има нужда да пишете Firewall.

То най-добре да се спре всичкото service дето има API и GUI, и да има само SSH достъп.

Който админ или "админ" неможе да се оправя с конзола ... пазара на труда е обширен

[vstealth]

Здравейте , аз имам линк с 2 микротика (рутербордове) които обаче НЯМАТ връзка "навън" към интернет , виждам си ги само в локалната мрежа и ползвам WPA2-PSK .В този случай могат ли да бъдат хакнати ?Или става въпрос само за UBNT устройства. Да спя ли спокойно?Това хакване през интернет ли е или през безжичната връзка , съжалявам за може би тъпите въпроси. Поздрави.

[111111]

за сега спинкай споко микротик е дава root аксес по подразбиране

[pa4o]

всичко може да бъде хакнато

[magnate]

Не че нещо, ама просто недоумявам как може да ви сриват така мрежите и вие да не се сещатате да си смените портовете ?

Направи SSH на порт 64022 и WEB-a на 53188 и даже няма да има нужда да пишете Firewall.

То най-добре да се спре всичкото service дето има API и GUI, и да има само SSH достъп.

Който админ или "админ" неможе да се оправя с конзола ... пазара на труда е обширен

Да голямо решение .. можеш да не обиждаш хората, а да дадеш смислено предложение.

Тук се обсъждат технически теми, а не .. кой колко знае.

[Tsunami]

Предложението е много смислено . Можем да добавим и забраняване на Enable Extra Reporting: .

[panevdd]

На път съм да използвам Excel и да направя всяко устройство с random port, username и парола...

[magnate]

Значи, разбрах че устройствата са най- уязвими от http - 80 т.е. самият web-server

За сега при вер. 5.5 не съм подкарал iptables но мисля, че ще я преборя, дава ми грешка при зареждане на модулите.

Тествах при вер. 5.3.5

XM.v5.3.5.# iptables -I INPUT -p TCP -s 0.0.0.0/0 --destination-port 80 -j DROP

XM.v5.3.5.# iptables -I INPUT -p TCP -s xxx.xxx.xxx.xxx/32 --destination-port 80

-j ACCEPT

XM.v5.3.5.#

XM.v5.3.5.# iptables -L

Chain INPUT (policy ACCEPT)

target prot opt source destination

ACCEPT tcp -- xxx.xxx.xxx.xxx anywhere tcp dpt:www

DROP tcp -- anywhere anywhere tcp dpt:www

Chain FORWARD (policy ACCEPT)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

XM.v5.3.5.#

root@net:~# nmap xxx.xxx.xxx.xxx

Starting Nmap 4.76 ( http://nmap.org ) at 2012-05-02 22:36 EEST

Interesting ports on xxx.xxx.xxx.xxx:

Not shown: 998 closed ports

PORT STATE SERVICE

22/tcp open ssh

80/tcp filtered http

MAC Address: 00:27:22:04:32:BB (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1.36 seconds

root@ktnet:~#

Редактирано 3 Май, 2012 от magnate