11 de diciembre de 2019, 04:32:19
collapse

* Tus Datos

 
 
Bienvenido(a), Visitante. Por favor, ingresa o regístrate.

* Actividad Reciente

Eliminar router de fibra Speedy? por Wired-PRO
[Ayer a las 23:54:16]


Caida otra vez de Movistar Fibra? por lucas_7_94
[Ayer a las 22:13:09]


Claro fibra habilitado en Rosario por maxibeau91
[Ayer a las 19:32:31]


Conexión internacional. por marcelo-ar
[Ayer a las 16:18:50]


Duda por Charly3085
[Ayer a las 16:13:59]


Los infames decos HD de Cablevision por xigma74
[Ayer a las 11:15:27]


fibertel 1 gbps por logitec
[ 9 de diciembre de 2019, 04:44:31]


[SOLUCIONADO] Claro en Rosario por BlackRos
[ 8 de diciembre de 2019, 21:51:45]


Instala Windows 10 sin claves (de manera lega) keys genericas de ms. por Wired-PRO
[ 8 de diciembre de 2019, 17:55:17]

* Noticias

No te olvides de marcar tu tema como solucionado y de agregar el tag [Solucionado] al título!!! ;)

Autor Tema: ataque persistente al router  (Leído 2897 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado xigma74

Re:ataque persistente al router
« Respuesta #15 : 19 de junio de 2019, 20:55:50 »
Muchas gracias

Desconectado xigma74

Re:ataque persistente al router
« Respuesta #16 : 20 de junio de 2019, 11:12:37 »
Listo estaban todas de otra forma, por eso me quedo tranquilo, lo unico que soltaba una alarma es cuando hacian ataque de fuerza bruta al user admin, pero ese user no existe,  ademas dropee eso la ip, cualquier intento de acceso desde afuera,  solo habilite desde adentro de mi lan y un rango de ip.
creo que mas que protegido, desde que implemente eso no salio mas, solo saltaba un intento a traves del dude, pero es un modulo que no uso y lo desinstale.-
gracias

Desconectado xigma74

Re:ataque persistente al router
« Respuesta #17 : 21 de junio de 2019, 05:47:33 »
me siguen llegando las notificaciones, pero no hay efecto en los ataque el ultimo que llego es de una red lan pero entra por el puerto wan del mikrotik,
warning denied winbox/dude connect from 192.168.35.100
y el dude lo desisntale.-


Desconectado pablokorn10

  • Compañero
  • **
  • Mensajes: 147
  • Power: 13
  • Sexo: Masculino
    • Pampa Chillout
Re:ataque persistente al router
« Respuesta #18 : 21 de junio de 2019, 09:48:41 »
Tendrías que estar descartando todo el tráfico de entrada sobre la interfáz WAN, claramente no configuraste correctamente las reglas que te pasé, revisalo.

Adicionalmente podrías crear una regla de filtrado Bogon sobre la WAN, básicamente serían todas las direcciones de red LAN que jamás deberían utilizarse en un espacio WAN:

/ip firewall address-list
add list="Bogons" address=0.0.0.0/8
add list="Bogons" address=10.0.0.0/8
add list="Bogons" address=100.64.0.0/10
add list="Bogons" address=127.0.0.0/8
add list="Bogons" address=169.254.0.0/16
add list="Bogons" address=172.16.0.0/12
add list="Bogons" address=192.0.0.0/24
add list="Bogons" address=192.0.2.0/24
add list="Bogons" address=192.168.0.0/16
add list="Bogons" address=198.18.0.0/15
add list="Bogons" address=198.51.100.0/24
add list="Bogons" address=203.0.113.0/24
add list="Bogons" address=224.0.0.0/3

/ip firewall filter
add action=drop chain=input comment="Descartar Bogon IPs" in-interface="WAN1(eth1)" src-address-list="Bogons"
Iplan Giga+ 50x50 Mbps" class="bbc_img

Desconectado xigma74

Re:ataque persistente al router
« Respuesta #19 : 21 de junio de 2019, 09:52:50 »
si es que el mikrotik recibia antes de varias lan que sumaban entradas wan,  ej, dos lan de 100 entraban en wan 1 200 por decir vulgarmente.

Desconectado xigma74

Re:ataque persistente al router
« Respuesta #20 : 21 de junio de 2019, 09:55:42 »
el tema es que hace un balanceo pcc, de varias wan,  6 wan y en una ether tiene direccion ip lan 192.168.35.0

Desconectado xigma74

Re:ataque persistente al router
« Respuesta #21 : 21 de junio de 2019, 15:29:58 »
perdon compadre, pero se me corto la luz hoy, te consulto el bong filtra el contenido a una red, si tengo un router, que su salida es 192.168.35.0  con dos wan y entra en ether 1 del mikrotik no me frenara el trafico.-?

Desconectado xigma74

Re:ataque persistente al router
« Respuesta #22 : 21 de junio de 2019, 15:33:07 »
Tendrías que estar descartando todo el tráfico de entrada sobre la interfáz WAN, claramente no configuraste correctamente las reglas que te pasé, revisalo.

Adicionalmente podrías crear una regla de filtrado Bogon sobre la WAN, básicamente serían todas las direcciones de red LAN que jamás deberían utilizarse en un espacio WAN:

/ip firewall address-list
add list="Bogons" address=0.0.0.0/8
add list="Bogons" address=10.0.0.0/8
add list="Bogons" address=100.64.0.0/10
add list="Bogons" address=127.0.0.0/8
add list="Bogons" address=169.254.0.0/16
add list="Bogons" address=172.16.0.0/12
add list="Bogons" address=192.0.0.0/24
add list="Bogons" address=192.0.2.0/24
add list="Bogons" address=192.168.0.0/16
add list="Bogons" address=198.18.0.0/15
add list="Bogons" address=198.51.100.0/24
add list="Bogons" address=203.0.113.0/24
add list="Bogons" address=224.0.0.0/3

/ip firewall filter
add action=drop chain=input comment="Descartar Bogon IPs" in-interface="WAN1(eth1)" src-address-list="Bogons"
cuando configure las reglas, me corto el failover, y me corto el autoenvio de mail de alerta y back up, motivo no lo se? pero me fije es el script de livaur.com y  viene ya con todo lo de seguridad.

Desconectado xigma74

Re:ataque persistente al router
« Respuesta #23 : 22 de junio de 2019, 07:09:47 »
Tendrías que estar descartando todo el tráfico de entrada sobre la interfáz WAN, claramente no configuraste correctamente las reglas que te pasé, revisalo.

Adicionalmente podrías crear una regla de filtrado Bogon sobre la WAN, básicamente serían todas las direcciones de red LAN que jamás deberían utilizarse en un espacio WAN:

/ip firewall address-list
add list="Bogons" address=0.0.0.0/8
add list="Bogons" address=10.0.0.0/8
add list="Bogons" address=100.64.0.0/10
add list="Bogons" address=127.0.0.0/8
add list="Bogons" address=169.254.0.0/16
add list="Bogons" address=172.16.0.0/12
add list="Bogons" address=192.0.0.0/24
add list="Bogons" address=192.0.2.0/24
add list="Bogons" address=192.168.0.0/16
add list="Bogons" address=198.18.0.0/15
add list="Bogons" address=198.51.100.0/24
add list="Bogons" address=203.0.113.0/24
add list="Bogons" address=224.0.0.0/3

/ip firewall filter
add action=drop chain=input comment="Descartar Bogon IPs" in-interface="WAN1(eth1)" src-address-list="Bogons"

pablo con esto la pegaste de diez. mil gracias

Desconectado xigma74

Re:ataque persistente al router
« Respuesta #24 : 23 de junio de 2019, 12:52:27 »
agregue todo lo que me indicaste ahora a esperar que si bloquee todo. abrazo y gracias

Desconectado rooankesley

  • Iniciado
  • *
  • Mensajes: 2
  • Power: 0
  • Banda Angosta Fan!
Re:ataque persistente al router
« Respuesta #25 : 23 de junio de 2019, 23:56:55 »
Yo tengo asi el mio

Código: [Seleccionar]
/ip firewall address-list add address=100.64.0.0/24 disabled=no list=support
/ip firewall address-list
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" disabled=no list=bogons
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A # Check if you need this subnet before enable it" disabled=no list=bogons
add address=127.0.0.0/8 comment="Loopback [RFC 3330]" disabled=no list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" disabled=no list=bogons
add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B # Check if you need this subnet before enable it" disabled=yes list=bogons
add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C # Check if you need this subnet before enable it" disabled=no list=bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" disabled=no list=bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" disabled=no list=bogons
add address=198.18.0.0/15 comment="NIDB Testing" disabled=no list=bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" disabled=no list=bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" disabled=no list=bogons
add address=224.0.0.0/4 comment="MC, Class D, IANA # Check if you need this subnet before enable it" disabled=no list=bogons
/ip firewall filter
add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input comment="Add Syn Flood IP to the list" connection-limit=30,32 disabled=no protocol=tcp tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" disabled=no src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect" disabled=no protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" disabled=no src-address-list=Port_Scanner
add action=jump chain=input comment="Jump for icmp input flow" disabled=no jump-target=ICMP protocol=icmp
add action=drop chain=input comment="Block all access to the winbox - except to support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUPPORT ADDRESS LIST" disabled=yes dst-port=8291 protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" disabled=no jump-target=ICMP protocol=icmp
add action=drop chain=forward comment="Drop to bogon list" disabled=no dst-address-list=bogons
add action=add-src-to-address-list address-list=spammers address-list-timeout=3h chain=forward comment="Add Spammers to the list for 3 hours" connection-limit=30,32 disabled=no dst-port=25,587 limit=30/1m,0:packet protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" disabled=no dst-port=25,587 protocol=tcp src-address-list=spammers
add action=accept chain=input comment="Accept to established connections" connection-state=established disabled=no
add action=accept chain=input comment="Accept to related connections" connection-state=related disabled=no
add action=accept chain=input comment="Full access to SUPPORT address list" disabled=no src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED" disabled=yes
add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood" disabled=no icmp-options=8:0 limit=1,5:packet protocol=icmp
add action=accept chain=ICMP comment="Echo reply" disabled=no icmp-options=0:0 protocol=icmp
add action=accept chain=ICMP comment="Time Exceeded" disabled=no icmp-options=11:0 protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" disabled=no icmp-options=3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD disabled=no icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" disabled=no protocol=icmp
add action=jump chain=output comment="Jump for icmp output" disabled=no jump-target=ICMP protocol=icmp

con ese me permite todo que necesito, y automaticamente me pone los ip address con 3h de bloqueo se no están en la lista de support.

Desconectado xigma74

Re:ataque persistente al router
« Respuesta #26 : 24 de junio de 2019, 00:50:55 »
Genial lo voy a ver

Desconectado xigma74

Re:ataque persistente al router
« Respuesta #27 : 25 de junio de 2019, 06:43:22 »
bloquee todos los atackes menos este,  warning denied winbox/dude connect from 192.168.35.100 me llega desde fibertel y pasa por un modem dual wan y de ahi  es la ip, ninguna de las reglas lo freno.-

Desconectado xigma74

Re:ataque persistente al router
« Respuesta #28 : 26 de junio de 2019, 19:11:55 »
Gracias a las explicaciones de todos se soluciono el tema

Desconectado xigma74

(solucionado) ataque persistente al router
« Respuesta #29 : 1 de julio de 2019, 09:42:58 »
hola gente, por fin lo pude solucionar,  como llevaba ya  40 dias de ataque persistente, y el mismo entraba por fibertel atravesaba un cisco dual wan, y trataba por fuerza bruta descubrir el admin,  el dns y el dude, tome una solucion radical, saque el cisco, que no me protegia nada,  y puse un mikrotik en vez del mismo, me explicaron que al cambiar la mac, fiber cambia la ip aunque no me sabian en ciencia cierta si esto pasaria o no y cuando, al colocar un mikrotik intermedio, analice todas las reglas, pero basicamente deje solo el winbox accesible por ether 5 lan,  con dos nros de subredes, y este recibe wan 1 300 y wan 2 100,  aplica todas las politicas que me enseñaron @rooankesley @pablokorn10 y cyriaco, las elegi dropee todo lo que no uso, y el balanceo de esas redes con una proporcion de 3 a 1 ingresa en la ehter 1 del mikrotik principal al cual puse todas las politicas sugeridas, y esta mañana justo se actualizaron el firmware del router, asi que venia yo parcheando algo que era del mismo sistema operativo.
por suerte finalizo todo, seguramente jodera alguna vez mas, pero ya verlo en el log y verlo rechazado me encanta.

asi que gracias a todos.-