Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - martin1332

Stran: [1]
1
Sítě / Re:Mikrotik a SYN flood útoky
« kdy: 08. 07. 2021, 18:27:20 »
Díky za vyčerpávající odpovědi. Chápu....  P.S. s tím paketem jsem se neobratně vyjádřil...ale chápu to, že input, forward atd. je záležitostí až firewallu v routeru a pakety žádný takový příznak hned od začátku nemají. Díky moc za všechny rady.

2
Sítě / Re:Mikrotik a SYN flood útoky
« kdy: 07. 07. 2021, 21:56:22 »
Hezký večer,
uvažuji správně, že bych tedy mohl vytvořit vlastní pravidlo, forward (input), new connection state, TCP flags syn, limit Rate (!) 400 (nebo nějaký jiný limit), Burst 5, add src to address list. A do raw tabulky bych dal prerouting a drop z toho daného address listu? Tím by se to docela zjednodušilo.
Fungovalo by to tak správně?
Další pravidlo by bylo s tím connection limit, to by se opět dropovalo v raw tabulce. V raw  se mohou dopovat i adresy z port-scan address listu anebo i z blacklistu (na něm mám pár adres hlavně z Ruska, co mi na router pořád dorážely).
Bylo by to tak OK?

A druhá otázka - spíše teoretická, co by se reálně stalo pokud by byly původní tři pravidla, kde by nebyl forward ale input a pod tím to původní pravidlo accept. Teď by do routeru přišel syn paket od nějakého útočníka jako input. Pravidlo accept by paket přijalo a co by se nyní stalo dál? Já předpokládám, že nějaká další komunikace by stejně asi skončila na nějakém dalším drop pravidlu ve firewallu. A kdyby ne, co v routeru útočník může udělat? Když se stejně nikam dál nedostane, do routeru se nepřihlásí atd.. je to jenom o tom, že mu užírá výkon zbytečnou komunikací?

3
Sítě / Re:Mikrotik a SYN flood útoky
« kdy: 07. 07. 2021, 01:13:13 »
Tedy bych měl dát drop pravidla na adresy z blacklistů i do RAW?

4
Odkladiště / Re:realisticky pohled na IoT pro dum
« kdy: 06. 07. 2021, 18:51:44 »
pruzkumbojem:
pokud byste se alespoň podíval např. hned na ten první systém Loxone, který jsem psal, tak na svých stránkách mají cenu za přízemní domek ve variantě Premium cca 134 tis. vč. DPH bez montáže. Je v tom ovládání osvětlení (stmívání), stínění (žaluzie), meteostanice, dešťový senzor atd... jsou v tom třeba i takové "blbosti" jako ovládání žaluzií podle pohybu slunce atd. 
800 tis. za 6 žaluzií je samozřejmě nesmysl, určitě vám v tom nabízeli i něco dalšího, nebo to zrovna byli nějací "koumáci".... Jednotlivé komponenty si samozřejmě můžete od jakéhokoliv (uvedeného) výrobce nakoupit i sám a poskládat si to sám. Prolistujte katalogy toho Schneideru, Legrandu, ABB atd... Potom to budete mít levnější. Pokud jste v takové firmě pracoval, tak předpokládám, že alespoň základní přehled o KNX máte. Z původních příspěvků jsem ale pochopil, že hledáte hotové řešení.

5
Odkladiště / Re:realisticky pohled na IoT pro dum
« kdy: 06. 07. 2021, 16:09:36 »
pruzkumbojem:
mohu se zeptat proč to dle Vašich slov několik let řešíte po fórech, řešíte bastlení, nějaké s prominutím hobby komponenty z Alzy, s Raspberry atd.? Mimochodem Raspberry je dobrá hračka, sám to v některých hobby aplikacích používám, ale pořád je to něco, co bylo původně vymyšleno jako hračka pro děti. Pokud Vás peníze netrápí, tak proč se místo toho neobrátíte na nějakou specializovanou firmu zabývající se domácí automatizací a KNX systémy? Aniž bych chtěl někomu dělat reklamu, tak takových systémů a firem je spousta..Loxone, Stakohome, KNX komponenty vyrábí Schneider Electric, Legrand, Jung, svůj systém má i české ABB...+ spousta dalších.... na výrobce těchto komponentů je navázáno plno dalších projekčních a montážních firem. Stačí jim sdělit své požadavky, několik jich poptat a určitě vám vyjdou vstříct s návrhem, montáží i případným servisem. Navíc to budete mít jako jeden funkční celek, případně i ve stejném designu jako klasické ovládací prvky a zásuvky....a ne jako hromadu nějakých samodomo poslepovaných noname hraček v jeden celek.

6
Sítě / Re:Mikrotik a SYN flood útoky
« kdy: 06. 07. 2021, 11:46:12 »
Ahoj,
děkuji vám za odpovědi. Něco podobného s těmi black listy, kde se hlídá počet připojení na input a forward s akcí tarpit tam také mám, to bylo také někde na té Wiki. Pak ještě něco podobného proti port scanu. V podstatě používám default firewall od Mikrotiku doplněný pár podobnými pravidly. Služby jsem všechny zakázal kromě webu a winboxu a povolil si zvenku připojení do administrace routeru jen z jedné IP (to do budoucna půjde pryč a bude jenom připojení z LAN). Porty jsou samozřejmě změněné. V NATu mám přesměrovaných několik portů do vnitřní sítě, některé jen z whitelistu a pouze tři z celého internetu. Dále mám v NATU několik odchozích maškarád pro požadované vnitřní IP a požadované dst porty. Logy z Mikrotiku se odesílají na externí syslog server + tam mám nějaké grafíky na web rozhraní. To jsem zvládl nastavit sám, ale jako skoro vůbec tomu nerozumím....
Šlo mi hlavně o to, jak se to původní pravidlo chová ve spojení s tím defaultním pravidlem od Mikrotiku pod ním, kde se dropuje input mimo LAN... asi víte, které mám na mysli, je tam u něj input !LAN a drop. Právě na tomto pravidle končí skoro všechny pokusy o připojení od všech těch různých šmejdů, dotazy na DNS zvenku atd. Čistě teoreticky by na něm měly končit právě i ty útoky zvenku, nebo ne?
Zajímavé by bylo i rozebrat, jak by se to chovalo s tím input. Ten Rus ve svém článku píše, že během chvíle mu náporem zvenku kvůli accept v druhém řádku zamrzl router. Popravdě ale, přemýšlím, co by se mohlo stát? Router sice SYN paket příjme, ale co dál? Další případná komunikace stejně skončí na tom drop !LAN.
Možná se ptám blbě, možná do toho moc vrtám... ale popravdě chci mít firewall co nejkratší, co nejúčinnější a hlavně bych rád dokonale všem pravidlům rozuměl.

7
Sítě / Mikrotik a SYN flood útoky
« kdy: 05. 07. 2021, 18:32:30 »
Dobrý den,
na oficiální wiki Mikrotiku jsou tři jednoduchá pravidla jako prevence SYN flood útoků:
Kód: [Vybrat]
/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new \
action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new \
action=accept comment="" disabled=no
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new \
action=drop comment="" disabled=no
První pravidlo nové forward syn pakety přehodí na druhé pravidlo, kde je limit / s, pokud vyhoví, tak accept, pokud nevyhoví, tak třetí pravidlo dropuje.
Vtipné je, že se to všude na internetu v návodech kopíruje i ze zakázaným prvním pravidlem a už bez původní poznámky, že se má místo 400 nastavit požadovaný limit potom první pravidlo povolit... jinak to nefunguje:-)
Zkusil jsem to použít a dát dopředu firewallu.

Hlavou mi ale vrtá to druhé pravidlo, které pakety pustí a už nejdou dalším zbytkem firewallu pod těmito třemi řádky. Narazil jsem na článek nějakého Rusa, kde právě toto také řeší. Místo forward dává input u prvního pravidla a místo accept dává return. Že prý se to tak vrátí k dalším pravidlům a puštěné pakety jdou ve firewallu dál. Podle něho je to prý důležité. Já si právě nejsem moc jistý, jestli to ten Rus dělá správně. Mám strach, že return to zacykluje v nějaké smyčce a input se mi moc nechce dávat, protože Mikrotik má už v defaultu pravidlo, že to dropuje všechno co přichází mimo LAN (tedy z WAN).... tudíž to dropuje třeba i požadavky na DNS zvenku a už není potřeba dávat port 53 drop atd...
Pokud to chápu správně, tak tato původní pravidla z wiki s forward fungují jenom na provoz z LAN do WAN (což ani nepotřebuji) a v případě z WAN do LAN to funguje jenom u přesměrovaných portů v NAT. Myslím si, že pokud příjdou "neznámé a špatné" pakety zvenku jako input, tak tato 3 pravidla na ně nefungují (není kam je přesměrovat) a jsou stejně dále ve firewallu zahozeny (viz drop všeho co není z LAN).

Uvažuji tak správně? Nemůže to druhé pravidlo s accept být nějakým ohrožením, když zmíněné pakety pustí a už neprocházejí dalším firewallem? Chápu, že při input by to byl velký problém... ale při forward? Dá se to ještě nějak jinak a lépe ochránit? Budu rád za všechny názory. A má to vůbec nějaký smysl? Beru to hlavně jako ochranu přesměrovaných portů. Mikrotik je na veřejné adrese. Používám jen IPV4. Balík IPV6 není ani nainstalován.
Děkuji

8
Sítě / Re:Routerboard 750r2 "blikání" Firewall Address List
« kdy: 23. 04. 2021, 19:13:42 »
Dobrý den,
mnohokrát vám děkuji za odpovědi. Omlouvám se pokud budu psát hlouposti, spíše než sítím rozumím té radiotechnice, anténám atd. tedy těm zařízením kvůli kterým tam ta datovka a router je. V podstatě je to můj první "trochu lepší" router, který jsem nakonfiguroval. Vytížení routeru jsem teď sledoval při současném připojení ke dvěma SDR přijímačům a při přenosu dat z nich. Je to 1-2 % zatížení CPU, volná paměť je 42 MB z celkových 64 MB.  S volnou flash pamětí je to horší, je to cca 3 MB z 16. Internet nevypadává. Při běhu až tří SDR přijímačů v režimech server - klient se přes router přenášejí data řádově max. v jednotkách Mbit/s. Někdy přes to tahám nahrávky širokého spektra, to jsou objemy v řádu stovek MB nebo GB a chodí to poměrně rychle a stabilně. Nějakou případnou vzdálenou plochu, či připojení přes SSH nebo k ovládacím web serverům nepočítám, to jsou zanedbatelné objemy dat. Myslím si, že duplicita v tom seznamu není, to mi router nedovolí tam přidat stejnou adresu, která tam už je. Připojení do routeru používám přes web. Winbox mohu zkusit až budu na místě z LAN. DNS používám veřejné - ty jsou nastavené v Mikrotiku a pro LAN zařízení je DNS server ten Mikrotik.
Ono v podstatě si myslím, že i kdyby tam ten blacklist nebyl, tak případný útočník by moc škody nenadělal. Na těch "nechráněných portech" jsou jen dvě monitorovací a ovládací webová rozhraní a občas jedna vzdálená plocha. Všechno ale chráněné přihlášením a hesly. Vše důležité - SDR přijímače, SSH servery a další vzdálená plocha je za tím whitelistem a jsou přístupné jen ze známých WAN IP. Mám tam myslím docela hezky udělané logování - log z Mikrotiku se odesílá na externí log server a tam jsou vidět všechny IP adresy z celého světa, co se tam pokoušely dostat, skenovaly port atd. a tato nevyžádaná připojení mě opravdu dost štvou. Proto mi to nastavení s tím blacklistem, na který tyto adresy můžu dávat, vyhovovalo....

9
Sítě / Routerboard 750r2 "blikání" Firewall Address List
« kdy: 23. 04. 2021, 12:48:22 »
Dobrý den,
chtěl bych poprosit o radu znalce Mikrotiků, co znamená, když položky v address list ve firewallu "problikávají"? Resp. na cca 0,3 s se místo položek přidaných např. 22.4 zobrazí adresy přidané 11.4 atd. Takto problikává celý list až dolu. Zkoušel jsem googlovat v angličtině a nic jsem nenašel. Začalo to dělat po přidání asi 250. položky. Přidání dalších položek se to ale nijak nebrání, tak snad počet adres není ničím omezen??

Router je na remote místě a je za ním různá radioamaterská SDR a jiná technika. Přístup přes veřejnou IP. Na některé porty a zařízení se chci dostat z celého internetu na většinu portů ale jenom ze známých WAN IP adres. Proto mám nadefinovaný whitelist (tam jsou známé adresy ze kterých přistupuji na "chráněné porty" a do administrace routeru) a blacklist (do něj sypu škodlivé adresy-viz např. kontrola na abuseipdb, které se pokoušely podle logu připojit k těm "nechráněným" portům). Právě blacklist se docela dost plní...

Děkuji za nápady

Stran: [1]