firewall και επιθεσεις απο το ιντερνετ!

[geioannou]

καλημερα.
εδω και λιγες ημερες αντικατεστησα το mikrotik router (παλι με αλλο mikrotik) οπου αυτο εχει επανω το pppoe και ειναι το gateway του Lan.
ολα παιζουν κανονικα εδω και μερες οπως ακριβως γινοταν και πριν.
εχτες "εβγαλα" και το mikrotik στο internet. Μην πουμε για το εαν ειναι σωστο η λαθος το να βγαινει το router μας στο εξω κοσμο κλπ κλπ. ας μεινουμε στο ζητουμενο.
Απο την πρωτη στιγμη που βγηκε το router στο ιντερνετ και ειδα οτι κανει ping το 8.8.8.8 πχ, αμεσως ειδα επιθεσεις απο εξω και προσπαθειες να μπουν με μεσω telnet και διαφορα username κλπ κλπ

Εχω δυο πολυ βασικες αποριες.
Η πρωτη και πολυ βασικη ειναι η εξης: σωστο, λαθος, περιεργο, με ακριβως το ιδιο setup, με το pppoe επανω, με τον ιδιο παροχο, χωρις καμια αλλαγη δεν ειχα ΠΟΤΕ μα ΠΟΤΕ επιθεσεις και επαιζα χωρις κανενα Firewall/Filter roule και μιλαω για πανω απο 4-5 χρονια τωρα. τι μπορει να εγινε και μεσα σε πεντε ημερες που αλλαξα τον router! και επαναλαβανω, με το ΙΔΙΟ setup!!!

Η δευτερη απορια ειναι για το πως λειτουργει ενας κανονας Firewall
κανοντας δοκιμη για να κοψω την επιθεση φτιαχνω το παρακατω

Κώδικας:

chain=input action=drop src-address=X1.X1.X1.X1 
      dst-address=XX.XX.XX.XX/XX log=no log-prefix=""

οπου X1.X1.X1.X1 η IP που δεχομαι την επιθεση και
οπου XX.XX.XX.XX/XX το subnet μου.

δυστυχως βαζοντας το βλεπω οτι δεν λειτουργει ?
θελει reboot ?
θελει λιγη ωρα μεχρι να ισχυσει ο κανονας ?

[netblues]

Παντα είχες "επιθεσεις" Απλα τωρα τις πηρες χαμπαρι.
Γενικοτερα, εδω και πολλα χρονια η xdsl προσβαση ειναι μέσω nat, οπότε αυτό από μονο του ειναι ενα ικανοποιητικο firewall.
Και αυτά που βλέπεις είναι αυτοματοποιημένα scripts που σαρωνουν διευθυνσεις και αν βρουν κάτι το αναφέρουν για περατιερω "αξιοποίηση".
Οποτε οχι, δεν ασχολείται κανεις ειδικα μαζι σου. Μην γλυφεσαι

Οσο για το αν βγαινει ο ρουτερ σον εξω κόσμο, δλδ αν δεν βγει ο router, ποιος θα βγει? το zong?

[geioannou]

Πάντα εβλεπα τα logs και δεν είχα. Δεν το παίρνω προσωπικά ούτε λέω ότι φοβάμαι και τα έβαψα μαύρα και πω πω τι έπαθα. Απλανές μου κάνει εντύπωση το πως και το γιατί συμβαίνει τώρα. Και μου κάνει εντύπωση Επισεις το ότι τώρα είναι συνεχόμενο.
Εννοείτε ότι είναι σκριπτ μιας και είναι σε σειρά τα usernames που χρησιμοποιούν.

[netblues]

Ε προφανώς δεν γινόταν log. Παντα συμβαίνει αυτό, εδω και 20+ χρόνια. Συνεχόμενα.

[geioannou]

Μα χωρίς να φαίνεται στα log!!
Πως γίνεται αυτό;
Είναι λογικό;;

[macro]

Βασικα απο οσα γραφεις δε θεωρω καποιο αξιο συζητησης. Απλα σου ετυχε, σε ολους εχει τυχει καποια στιγμη να δεχτουμε καποια επιθεση. Σε πρωτη φαση οι δοκιμες που κανεις για να το κοψεις ειναι λιγο.... πατεντα. Βαλε port scanner, φτιαξε σωστο firewall, κλεισε πορτες και υπηρεσιες που δε χρειαζεσαι απο το ΜΤ.

Aυτο που ειπες να μη βγαζουμε το ρουτερ μας ιντερνετ........... δε το πολυκαταλαβα. Για να μη βγει το ρουτερ ιντερνετ θα πρεπει να μη του βαλεις dns..................... τι κανεις με ιντερνετ μετα?

[sdikr]

Μα χωρίς να φαίνεται στα log!!
Πως γίνεται αυτό;
Είναι λογικό;;

Φυσιολογικό είναι, δεν καταγράφουν τα router τα πάντα, ειδικά τα Home, σε άλλες περιπτώσεις πρέπει εσύ να τους πεις τι ακριβώς θα καταγράφει.
Για να βλέπεις προσπάθεια για σύνδεση μέσω telnet με username Κλπ, σημαίνει πως το έχεις αφήσει ανοιχτό στο internet, να υποθέσω πως έχεις αφήσει και άλλες υπηρεσίες απο το mikrotik, καλό θα είναι και να τους αλλάξεις πόρτα, αλλά και να επιτρέψεις πρόσβαση μόνο απο Local subnets

[ayger]

Είσαι πολύ τυχερός! Είναι μιας πρώτης τάξης ευκαιρία να φτιάξεις το firewall σου και να παίξεις με τα δεκάδες script και address lists που κυκλοφορούν.


Και bonus , κάθε αλλαγή που θα κάνεις (προς το χειρότερο η καλύτερο) θα τη βλέπεις λάιβ !

[deniSun]

καλημερα.
εδω και λιγες ημερες αντικατεστησα το mikrotik router (παλι με αλλο mikrotik) οπου αυτο εχει επανω το pppoe και ειναι το gateway του Lan.
ολα παιζουν κανονικα εδω και μερες οπως ακριβως γινοταν και πριν.
εχτες "εβγαλα" και το mikrotik στο internet. Μην πουμε για το εαν ειναι σωστο η λαθος το να βγαινει το router μας στο εξω κοσμο κλπ κλπ. ας μεινουμε στο ζητουμενο.
Απο την πρωτη στιγμη που βγηκε το router στο ιντερνετ και ειδα οτι κανει ping το 8.8.8.8 πχ, αμεσως ειδα επιθεσεις απο εξω και προσπαθειες να μπουν με μεσω telnet και διαφορα username κλπ κλπ

Εχω δυο πολυ βασικες αποριες.
Η πρωτη και πολυ βασικη ειναι η εξης: σωστο, λαθος, περιεργο, με ακριβως το ιδιο setup, με το pppoe επανω, με τον ιδιο παροχο, χωρις καμια αλλαγη δεν ειχα ΠΟΤΕ μα ΠΟΤΕ επιθεσεις και επαιζα χωρις κανενα Firewall/Filter roule και μιλαω για πανω απο 4-5 χρονια τωρα. τι μπορει να εγινε και μεσα σε πεντε ημερες που αλλαξα τον router! και επαναλαβανω, με το ΙΔΙΟ setup!!!

Η δευτερη απορια ειναι για το πως λειτουργει ενας κανονας Firewall
κανοντας δοκιμη για να κοψω την επιθεση φτιαχνω το παρακατω

Κώδικας:

chain=input action=drop src-address=X1.X1.X1.X1 
      dst-address=XX.XX.XX.XX/XX log=no log-prefix=""

οπου X1.X1.X1.X1 η IP που δεχομαι την επιθεση και
οπου XX.XX.XX.XX/XX το subnet μου.

δυστυχως βαζοντας το βλεπω οτι δεν λειτουργει ?
θελει reboot ?
θελει λιγη ωρα μεχρι να ισχυσει ο κανονας ?

1. Δεν έχω καταλάβει την συνδεσμολογία σου.
Λες ότι είχες ΜΤ και το αντικατάστησες με άλλο ΜΤ.
Λες επίσης ότι ήταν και είναι το το GW σου.
Σωστά μέχρι εδώ.
Τα ρούτερ γι αυτό το σκοπό είναι: για να έχουν πρόσβαση προς τα έξω.

Παρακάτω τα μπερδεύεις.
Λες ότι έβγαλες το ΜΤ στο internet.
Μα αν το έχεις να κάνει κλήση pppoe, έτσι και αλλιώς βγαίνει στο internet.
Τι ακριβώς λοιπόν έκανες;

2. Έχει στημένο fw στο ΜΤ που βγάζεις προς τα έξω;
Έχουμε ολόκληρο θέμα γι αυτό και έχουν προταθεί πολλές λύσεις.
Τις έχεις δει;
Αν όχι ρίξε μια ματιά.

3. Η δήλωση από μόνη της που δίνεις δεν σημαίνει τίποτε.
Λέει... οτιδήποτε έρχεται απ έξω με διεύθυνση την Χ1 και προορισμό το δίκτυο ΧΧ/ΧΧ να το μπλοκάρεις.
Δηλαδή να μην περνάνε στο εσωτερικό τα πακέτα/αιτήσεις.
Συντακτικά είναι σωστή.
Αλλά δεν σημαίνει ότι θα δουλέψει.
Εξαρτάται σε ποιο σημείο την έχεις και τι δηλώσεις έχεις πριν και μετά από αυτήν.

Οι κανόνες που περνάς τίθενται αμέσως σε λειτουργία.
Αλίμονο αν σε ένα ρούτερ έπρεπε να κάνεις επανεκκίνηση για να εφαρμόσεις μια αλλαγή.
Φαντάζεσαι τι θα γινόταν σε παγκόσμιο επίπεδο;
Αυτή είναι και μια βασική διαφορά με τα "ρούτερ".

[geioannou]

επανω στο ρουτερ εχω τεσσερις γραμμες. Δυο της εχω με pppoe και αλλες δυο τις παιρνω απο τα ασυρματα.
Οταν βαζω λοιπον ενα pppoe ΔΕΝ επιλεγω add default route πραγμα που το κανει να μην εχει αυτοματα internet.

Ετσι λοιπον θελω να εχω εγω την δυνατοτητα ειτε σε ολο το δικτυο ειτε σε καθε υπολογιστη/συσκευη του δικτυου να μπορω να επιλεξω το απο ποια γραμμη θα βγαινει.
Αυτο στην υλοποιηση του σημαινει οτι
- φτιαχνω στα rules κανονα για την καθε γραμμη με ξεχωριστο table
- φτιαχνω στα routes ξεχωριστο κανονα για την καθε γραμμη που με το αναλογο interface, distance και το table γινεται η εξοδος στο ιντερνετ
για να ολοκληρωθει θελει και τον αναλογο κανονα στο NAT.

ετσι λοιπον εχουμε ιντερνετ σε καθε συσκευη του δικτυου αλλα το ιδιο το ρουτερ ΔΕΝ βγαινει ακομα στο internet.

τωρα σε σχεση με το firewall που εκανα αναφορα παραπανω, η αληθεια ειναι οτι δεν το εχω δουλεψει οσο θα επρεπε μιας και δεν μου ειχε χρειαστει πραγματικα μεχρι τωρα. Ναι, θα πρεπει να ριξω μια ματια σε οτι υπαρχει. αυτο που λες ειναι σωστο
επισης θεωρω πολυ λογικο να μην θελει ενας ρουτερ reboot για να ισχυσουν οι κανονες. αλλα απο την 3,Χ version του MK που ειχα λιγο ασχοληθει με το firewall, θυμαμαι οτι παρολο που ειχα συντακτικα εναν κανονα, μονο απο reboot επαιζε. τωρα εχουν περασει και πολλα χρονια και δεν θυμαμαι καλα.

[deniSun]

Άπαξ και έχεις internet στις συσκευές σου, υποχρεωτικά το ρούτερ βγαίνει προς τα έξω.
Εκτός και αν εννοείς ότι δεν μπορούν να έχουν οι από έξω πρόσβαση σε κάποια υπηρεσία του ρούτερ, οπότε εκεί μιλάμε για άλλο πράγμα.

[sdikr]

επανω στο ρουτερ εχω τεσσερις γραμμες. Δυο της εχω με pppoe και αλλες δυο τις παιρνω απο τα ασυρματα.
Οταν βαζω λοιπον ενα pppoe ΔΕΝ επιλεγω add default route πραγμα που το κανει να μην εχει αυτοματα internet.

Ετσι λοιπον θελω να εχω εγω την δυνατοτητα ειτε σε ολο το δικτυο ειτε σε καθε υπολογιστη/συσκευη του δικτυου να μπορω να επιλεξω το απο ποια γραμμη θα βγαινει.
Αυτο στην υλοποιηση του σημαινει οτι
- φτιαχνω στα rules κανονα για την καθε γραμμη με ξεχωριστο table
- φτιαχνω στα routes ξεχωριστο κανονα για την καθε γραμμη που με το αναλογο interface, distance και το table γινεται η εξοδος στο ιντερνετ
για να ολοκληρωθει θελει και τον αναλογο κανονα στο NAT.

ετσι λοιπον εχουμε ιντερνετ σε καθε συσκευη του δικτυου αλλα το ιδιο το ρουτερ ΔΕΝ βγαινει ακομα στο internet.

τωρα σε σχεση με το firewall που εκανα αναφορα παραπανω, η αληθεια ειναι οτι δεν το εχω δουλεψει οσο θα επρεπε μιας και δεν μου ειχε χρειαστει πραγματικα μεχρι τωρα. Ναι, θα πρεπει να ριξω μια ματια σε οτι υπαρχει. αυτο που λες ειναι σωστο
επισης θεωρω πολυ λογικο να μην θελει ενας ρουτερ reboot για να ισχυσουν οι κανονες. αλλα απο την 3,Χ version του MK που ειχα λιγο ασχοληθει με το firewall, θυμαμαι οτι παρολο που ειχα συντακτικα εναν κανονα, μονο απο reboot επαιζε. τωρα εχουν περασει και πολλα χρονια και δεν θυμαμαι καλα.

όταν κάνεις pppoe κλήση τότε παίρνεις πραγματική Public ip address, δεν χρειάζεται κάποιο route, οι απο έξω πλέον βλέπουν σε αυτή την ip το MK

[geioannou]

όταν κάνεις pppoe κλήση τότε παίρνεις πραγματική Public ip address, δεν χρειάζεται κάποιο route, οι απο έξω πλέον βλέπουν σε αυτή την ip το MK

Ναι παιρνει. αλλα δεν βγαινει προς τα εξω. τουλαχιστον σε εμενα. τωρα η ετσι συμβαινει η κατι αλλο τρεχει και εμενα δεν βγαινει απο λαθος.

[deniSun]

Ναι παιρνει. αλλα δεν βγαινει προς τα εξω. τουλαχιστον σε εμενα. τωρα η ετσι συμβαινει η κατι αλλο τρεχει και εμενα δεν βγαινει απο λαθος.

Έχεις μπερδέψει τα πράγματα.

[sdikr]

Ναι παιρνει. αλλα δεν βγαινει προς τα εξω. τουλαχιστον σε εμενα. τωρα η ετσι συμβαινει η κατι αλλο τρεχει και εμενα δεν βγαινει απο λαθος.

Μα είναι έξω , δεν χρειάζεται να βγει έξω, είναι routable address, όταν κάποιος χτυπήσει αυτή την Ip απο έξω το ΜΚ θα απαντήσει, δεν χρειάζεται κάποιο άλλο gateway για να στείλει εκεί την κίνηση.

Εσύ που είσαι πίσω απο το ΜΚ στο Lan κομμάτι είσαι μέσα και θα πρέπει να δηλώσεις gateway για να βγείς προς τα έξω.