12 de diciembre de 2019, 17:03:25
collapse

* Tus Datos

 
 
Bienvenido(a), Visitante. Por favor, ingresa o regístrate.

* Actividad Reciente

Movistar caída general??? por superborg
[Hoy a las 15:58:36]


Conexión internacional. por alfredpicus
[Hoy a las 14:39:24]


Los infames decos HD de Cablevision por Mashi10
[Hoy a las 14:32:23]


Señal (Atenuación) Fibra Optica Movistar por diego45
[Hoy a las 12:36:39]


Abrir puertos claro (Modem NOKIA) por Korelev
[Hoy a las 09:31:57]


Necesito ayuda en mi IP Publica por ZeroCool22
[Hoy a las 09:05:58]


Comparacion de canales por xigma74
[Hoy a las 03:46:15]


Eliminar router de fibra Speedy? por logitec
[Ayer a las 06:03:16]


Caida otra vez de Movistar Fibra? por lucas_7_94
[10 de diciembre de 2019, 22:13:09]

* Noticias

No te olvides de marcar tu tema como solucionado y de agregar el tag [Solucionado] al título!!! ;)

Autor Tema: ataque persistente al router  (Leído 2960 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado xigma74

ataque persistente al router
« : 12 de junio de 2019, 02:29:19 »
hola, una consulta, estoy recibiendo ataques permanentes al router de mikrotik y al tp link (este no lo detecta), son ataques de fuerza bruta, no de denegación de servicio,  lo que veo es que los equipos de fibertel y claro no protegen nada, y entran directo el ataque al router,  cambien el usuario admin y el password hace bastante, pero persiten los ataques,  normalmente lo que suelo hacer es reportar la ip que es 103.226.184.218  y lo otro  que se me ocurrio es fortalecer la contraseña,  bloquear los puertos  pero igual se la ingeniaron para seguir atacando. Alguna idea?  cambie el user y el password,  lo deberia hacer de manera constante?

se agradece cualquier opinion/ sugerencia.-
usar una vpn, no se, cualquier idea viene bien.-
abrazo

Desconectado eeooblabla

  • Amigo
  • ***
  • Mensajes: 237
  • Power: 3
  • Banda Angosta Fan!
Re:ataque persistente al router
« Respuesta #1 : 12 de junio de 2019, 08:10:13 »
Eso afecta tu conexion de alguna forma? o ni cuenta te das que esta pasando?

Desconectado xigma74

Re:ataque persistente al router
« Respuesta #2 : 12 de junio de 2019, 09:17:23 »
no creo que afecte la conexion a lo sumo bajara la velocidad porque el router soporta entre paquete y paquete un pedido de login, ahora me llama la atencion que ninguno de los modem, o de los router tp link lo filtre, el tema es que te intentan ingresar, te suben un script, no notas nada y te usan el router para lo que quieren. es especificamente para el mikrotik, yo me  enteron porque el router o me manda un sms, o un mail con el aviso de ataque.-

Desconectado Yacurmana

  • Compañero
  • **
  • Mensajes: 94
  • Power: 11
Re:ataque persistente al router
« Respuesta #3 : 12 de junio de 2019, 18:22:13 »
A que servicio esta dirigido el ataque ?
O al login del router ?
Si es asi para que lo tenes abierto al WAN ?

Yacur.

Desconectado xigma74

Re:ataque persistente al router
« Respuesta #4 : 12 de junio de 2019, 19:09:20 »
Al login del router  debería poner una regla loguearse de manera local. Geniooo ya está.

Desconectado xigma74

Re:ataque persistente al router
« Respuesta #5 : 13 de junio de 2019, 03:31:14 »
volvi con el tema, las wan entran por el ether 1 a 4 deberia crear una regla para que el puerto del winbox se bloquee, pero en esas ether solas, porque pense en filtrar por mac, pero con la suerte que tengo y como tengo varias pc y acedo desde varias no me resulta muy practico, tendria que poner una regla en el firewall que bloquee el puerto del winbox del 1 al 4.?
ahora a pensar la regla.-

edit 1: lo que hice fue desde las reglas, hice un drop al puerto 8291 del winbox, alguna otra sugerencia??
« Última Modificación: 13 de junio de 2019, 04:10:15 por xigma74 »

Desconectado Retvaz

  • Iniciado
  • *
  • Mensajes: 3
  • Power: 0
  • Banda Angosta Fan!
Re:ataque persistente al router
« Respuesta #6 : 13 de junio de 2019, 16:31:49 »
Bueno, le tiré un whois a la IP que nos marcaste, parece ser de un ISP en India. En la info que tira el whois indica un mail para reportar spam/ataques, así que les mandé un mail indicando que "mis" routers estan recibiendo ataques de bruteforce desde esa IP (Por lo que deberían hacer algo, quizá).

Link de whois: https://www.whois365.com/en/ip/103.226.184.218

Link del ISP: http://visionsmartlink.com

Mail para reportar abusos/spam: [email protected]



Saludirijillos.

Desconectado xigma74

Re:ataque persistente al router
« Respuesta #7 : 14 de junio de 2019, 01:38:13 »
Hola si gracias. Yo le había mandado dos mails y no me daban pelota lo que se me ocurrió es dropearlo al puerto  que no entren por la wan 1, 2,3,4. Y entró por la lan. Hice dos mails de reporte. Espero que paren porque es de zoológico de la India la ip es un puesto con ip fija, no es proxy ni nada.
Gracias igual

Desconectado Wired-PRO

  • Gran Maestro
  • *****
  • Mensajes: 5131
  • Power: 132
  • Sexo: Masculino
Re:ataque persistente al router
« Respuesta #8 : 14 de junio de 2019, 02:00:26 »
puede que sea un datacenter o bien esten usando ips de wifis publicas!!, es ideal para realizar dichos ataques!!.

yo que vos primero los bloqueo en el router, de seguir la persistencia (que es obvia porque te quieren entrar al MIKROTIK para vulnerarlo) realizar las denuncias correspondientes en el idioma correspondiente!!.

mantene actualiza las firmwares de los mikrotik porque si lo llegan a vulnerar te aseguro que te pueden hacer cositas bastantes feas en el MIKROTIK, te recomiendo tener un backup de tu config por las dudas!.
1 - Fibertel 300/10 Mbps
2 - FTTH Movistar 300/300 Mbps

1 2

Desconectado xigma74

Re:ataque persistente al router
« Respuesta #9 : 14 de junio de 2019, 03:05:42 »
Si por suerte seguí todo esos pasos incluso  controlo el tráfico de lan y wan constantemente hice un back up, y como estuve experimentando clone el router con Mac y todo a otro mikrotik porque una vez que entro chau soy boleta. Elimine todos los puertos. Y desactive el cache del dns que es lo único que no registra el log del mikrotik. Pero cuando lo dropee ese atacke mermó. Ahora estoy mirando para que me entre por el puerto del dns. Igual creo que al ser de fuerza bruta me mandaba un mensaje con cada ataque y ahora eso mermó. Estoy viendo que pasa.  Gracias por los consejos

Enviado desde mi Mi A1 mediante Tapatalk


Desconectado pablokorn10

  • Compañero
  • **
  • Mensajes: 147
  • Power: 13
  • Sexo: Masculino
    • Pampa Chillout
Re:ataque persistente al router
« Respuesta #10 : 14 de junio de 2019, 16:30:11 »
Hola xigma74,

Ante todo: Me cuesta mucho leer tus posts, redactás de forma desprolija y abundante, así que te pido disculpas si entre las respuestas que diste encontraste una solución definitiva o igual a la que voy a compartir.

Además de dropear por firewall el tráfico de entrada al puerto de WinBox (8129), SSH (22) y WWW (80) sobre las interfaces WAN, te sugiero limitar el acceso a esos servicios sobre un rango IP privado de tu LAN.

Esto lo hacés desde IP > Services, ingresás a los servicios en cuestión y establecés el rango IP deseado en el campo "Available From:", por ejemplo: 192.168.0.0/24. Sería una suerte de Whitelist.

También podés modificar los puertos de escucha de esos servicios, utilizar puertos no convencionales.

Saludos.
Iplan Giga+ 50x50 Mbps" class="bbc_img

Desconectado xigma74

Re:ataque persistente al router
« Respuesta #11 : 14 de junio de 2019, 16:43:04 »
Mil gracias hice casi todo pero genial tu consejo. Perdón la desprolijidad pero escribo a los tirones
Gracias voy a implementar eso que decis.

Desconectado xigma74

Re:ataque persistente al router
« Respuesta #12 : 15 de junio de 2019, 06:32:17 »
Hola pablokorn10, si es que recien tengo tiempo de leer a la madrugada o a la noche, a veces ni eso, por ahi se me mezclan las expresiones, probe todo lo que me digiste,  y lo deje seteado asi, hasta coincidimos, lo que me falta agregar es el rango de ips accesibles por lan, pero al menos ya mermo bastante el tema del ataque.  y tambien estuve mirando para modificar el puerto del winbox, gracias por la idea.
Es mas, ya mientras escribia este mensaje, ya puse la red lan desde donde puede ser accesible el winbox. millones de gracias.-
un abrazo y gracias

Desconectado xigma74

Re:ataque persistente al router
« Respuesta #13 : 19 de junio de 2019, 11:23:36 »
Hola xigma74,

Ante todo: Me cuesta mucho leer tus posts, redactás de forma desprolija y abundante, así que te pido disculpas si entre las respuestas que diste encontraste una solución definitiva o igual a la que voy a compartir.

Además de dropear por firewall el tráfico de entrada al puerto de WinBox (8129), SSH (22) y WWW (80) sobre las interfaces WAN, te sugiero limitar el acceso a esos servicios sobre un rango IP privado de tu LAN.

Esto lo hacés desde IP > Services, ingresás a los servicios en cuestión y establecés el rango IP deseado en el campo "Available From:", por ejemplo: 192.168.0.0/24. Sería una suerte de Whitelist.

También podés modificar los puertos de escucha de esos servicios, utilizar puertos no convencionales.

Saludos.

hice todo lo sugerido, ahora atacan de la misma ip mediante la aplicacion dude de mikrotik, la desinstale, el atacke entra por fibertel, y como es la ip hice todo lo que me mencionaron, pero lo mas facil que es hacerle un drop a la ip, tambien lo agregue. me queda  solo la duda del puerto 51 si no se avivan e intentar hacer un ddos pero seria mucha mala suerte, ahora, si sumo llevo 35 dias bajo el ataque de fuerza bruta.-  y me resulta simple verlo, cuando el zoologico en india esta abierto al pulico, empiezan los ataques, igual todos van al log y esta todo frenado y ok, ahora que ganas de atacar tanto.
bloquee las wan, desactive funciones hice mil cosas, veo que el ataque persiste pero no me hace mas daño.- backupeee el router, lo clone si se mete algo tengo otro igual hasta con las mac, mas no creo que pueda hacer, lo denuncie en ingles y en indio (supongo que es idioma de la india) o indu.
en fin. mas creo que no puedo.-

Desconectado pablokorn10

  • Compañero
  • **
  • Mensajes: 147
  • Power: 13
  • Sexo: Masculino
    • Pampa Chillout
Re:ataque persistente al router
« Respuesta #14 : 19 de junio de 2019, 12:15:02 »
No creo realmente que estés bajo un ataque, es bastante común esto, de hecho, todos los días promedio 200 IPs de "atacantes" que intentan ingresar solamente por SSH.

Tenés activas las reglas básicas?

/ip firewall filter

1 ;;; defconf: accept established,related,untracked
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked

2 ;;; defconf: drop invalid
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid

3 ;;; defconf: accept ICMP
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp

4 ;;; defconf: drop all not coming from LAN
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

5 ;;; defconf: fasttrack
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related

6 ;;; defconf: accept established,related, untracked
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked

7 ;;; defconf: drop invalid
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid

8 ;;; defconf:  drop all from WAN not DSTNATed
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

La número 4 es la más importante, se encarga de descartar todo intento de conexión desde Internet a tu WAN.

Verificá que esas reglas estén activas y funcionales, si no lo están, verificá mínimamente el nombre de tus interfaces antes de importarlas.

Saludos.
« Última Modificación: 21 de junio de 2019, 09:56:46 por pablokorn10 »
Iplan Giga+ 50x50 Mbps" class="bbc_img