Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Milan Cagap

Stran: 1 [2] 3 4
16
Sítě / Re:Mikrotik a SYN flood útoky
« kdy: 08. 07. 2021, 08:38:05 »
Hezký večer,
uvažuji správně, že bych tedy mohl vytvořit vlastní pravidlo, forward (input), new connection state, TCP flags syn, limit Rate (!) 400 (nebo nějaký jiný limit), Burst 5, add src to address list. A do raw tabulky bych dal prerouting a drop z toho daného address listu? Tím by se to docela zjednodušilo.
Fungovalo by to tak správně?
Další pravidlo by bylo s tím connection limit, to by se opět dropovalo v raw tabulce. V raw  se mohou dopovat i adresy z port-scan address listu anebo i z blacklistu (na něm mám pár adres hlavně z Ruska, co mi na router pořád dorážely).
Bylo by to tak OK?

Samozrejme raw tabulka je taka ista tabulka ako je aj filters. A daju sa robit prvidla zo src-address ci dst-address a dropovat to tam. Tak ako to som to spravil ja pre ddos.

A druhá otázka - spíše teoretická, co by se reálně stalo pokud by byly původní tři pravidla, kde by nebyl forward ale input a pod tím to původní pravidlo accept. Teď by do routeru přišel syn paket od nějakého útočníka jako input. Pravidlo accept by paket přijalo a co by se nyní stalo dál? Já předpokládám, že nějaká další komunikace by stejně asi skončila na nějakém dalším drop pravidlu ve firewallu. A kdyby ne, co v routeru útočník může udělat? Když se stejně nikam dál nedostane, do routeru se nepřihlásí atd.. je to jenom o tom, že mu užírá výkon zbytečnou komunikací?

Ak sa bavime o inpute, tak pokial paket prejde cez firewall, ale na danom zariadeni nie je spustena ziadna sluzba, ktory by dany paket dalej spracovala, tak spojenie sa do x sekund/minut ukonci tzv. timeout-ne. Podla toho ako je nastaveny router. Takze jedie, co sa stane je, ze su nejake prostriedky z routra alokovane na dane spojenie. Ak je takych spojeni prilis vela, tak to moze narusit chod routra. A presne toto robi tcp syn flood, ze podstrci v pakete roznu zdrojovu ip a tym padom tvoj router sa snazi odpovedat zdroju, ale ten o nicom nevie. S tcp syn flood limitom sa treba pohrat a nastavit ho na zaklade realnej prevadzky v sieti. Aby si si zbytocne neodrezaval aj regularne spojenia.

Cital som aj o tom, ze tcp syn flood ochrany, mozu casto krat aj uskodit viacej ako pomoct pri ochrane. Takze je to na uvazeni, ci to riesit alebo nie.

17
Sítě / Re:Mikrotik a SYN flood útoky
« kdy: 07. 07. 2021, 17:05:08 »
Tie tri pravidla pre syn flood mozbu byt zapisane bud formou:

jump -> rate accept -> drop alebo jump -> rate accept -> drop -> return

Jediny rozdiel v tychto zapisoch je ten, ze paket, ktory presiel cez rate accept uz nepokracuje dalej vo firewalle. Pretoze bol akceptovany. Avsak v druhom pripade, ho donutime vratit sa spat za jump pravidlo a pokracovat cez dalsie pravidla firewallu. Kde ho mozeme dodatocne blokovat. Ak paket neprejde cez rate pravidlo, tak je rovno zahodeny a dalej sa nic neriesi. Ako niekto spomenul, na znizenie zataze na cpu, je vhodne dropovat paket v raw tabulke, kto sa spracuje ako prva.. V mojom priklade pre ddos pravidla som zabudol toto pravidlo v priklade vlozit ale jedna sa  o nasledovne pravidlo. Prerouting je pouzity zamerne, kedze dany paket odstrihne este pred tym, ako vobec pride do firewall filter pravidiel.

Kód: [Vybrat]
/ip firewall raw
add action=drop chain=prerouting dst-address-list=ddosed src-address-list=ddoser

18
Sítě / Re:Mikrotik a SYN flood útoky
« kdy: 06. 07. 2021, 10:05:47 »
Ako bolo pisane v predoslom poste.

Chain forward je pravidlo vzdy medzi dvoma interfacmi a plati oboma smermi. Je jedno ci ides s ether1 (WAN) na bridge (LAN) alebo opacne. Pravidlo sa uplatnuje v oboch smeroch.

Chain Input je vzdy na vstupe na mikrotik a opat plati, ze je jedno z akeho portu pristupujes.

Ja  osobne som si skombinoval tcp syn flood s DDOS protekciou a pravidla su nejak takto:

Kód: [Vybrat]
add action=jump chain=forward comment="--- DDOS check rules ---" connection-state=new jump-target=detect-ddos
add action=return chain=detect-ddos comment="-- ignore trafic from our DNS --" protocol=udp src-address-list=DNS
add action=return chain=detect-ddos comment="-- ignore trafic to our DNS --" dst-address-list=DNS protocol=udp
add action=accept chain=detect-ddos limit=15k,15:packet protocol=tcp tcp-flags=syn
add action=drop chain=detect-ddos protocol=tcp tcp-flags=syn
add action=return chain=detect-ddos dst-limit=1500,1500,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=15m chain=detect-ddos
add action=add-src-to-address-list address-list=ddoser address-list-timeout=15m chain=detect-ddos
add action=drop chain=forward comment="--- DDOS check rules ---" dst-address-list=ddosed src-address-list=ddoser

Dolezite je spravit si vynimku na DNS servere, ktore pouzivas. Aby ti odpovede na ne a  z nich
zbytocne nezahadzovalo. Kazdy spravny dns ma ochranu voci floodu ci ddosu zapnutu.

Ak chces toto riesit na inpute staci si pridat jump pravidlo z inputu...

Kód: [Vybrat]
add action=jump chain=input connection-state=new jump-target=detect-ddos
Ako priklad uvazdam firewal z return pravidlami. Return pravidlo funguje nasledovne:

Kód: [Vybrat]
/ip firewall filter
add action=accept chain=input comment="--- Allow related, established connections ---" connection-state=established,related,untracked
add action=drop chain=input comment="--- Drop invalid connections ---" connection-state=invalid
add action=jump chain=input comment="--- Ping flood checker ---" icmp-options=8:0-255 jump-target=ICMP protocol=icmp
add action=accept chain=input comment="--- Allow DNS from LAN only ---" dst-port=53 protocol=udp src-address-list=DNS
add action=accept chain=input comment="--- Allow winbox from address list Monit ---" dst-port=22,8728 protocol=tcp src-address-list=Monit
add action=jump chain=input comment="--- Allow VPN protocols ---" jump-target=Input-VPN
add action=accept chain=input comment="--- UDP BTest with addresslist Btest ---" dst-port=2000-3000 protocol=udp src-address-list=BTest
add action=accept chain=input comment="--- TCP BTest with addresslist Btest ---" dst-port=2000 protocol=tcp src-address-list=BTest
add action=add-src-to-address-list address-list=portscan address-list-timeout=2d chain=input comment="--- Portscan Rules ---" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=portscan address-list-timeout=2w chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=portscan address-list-timeout=2w chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=portscan address-list-timeout=2w chain=input comment="--- Portscan Rules ---" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="--- Drop all unallowed input traffic ---" src-address-list=!Monit

add action=accept chain=Input-VPN comment="--- VPN protocols ---" dst-port=500,1194,1701,4500 protocol=udp
add action=accept chain=Input-VPN dst-port=1194,1723 protocol=tcp
add action=accept chain=Input-VPN protocol=ipsec-esp
add action=accept chain=Input-VPN protocol=ipsec-ah
add action=accept chain=Input-VPN protocol=gre
add action=return chain=Input-VPN comment="--- VPN protocols ---"

add action=accept chain=ICMP comment="--- ICMP flood check ---" limit=15k,150:packet protocol=icmp
add action=drop chain=ICMP protocol=icmp
add action=return chain=ICMP comment="--- ICMP flood check ---"

Paket prechadza pravidlami az pride po jump, tam odskoci do noveho chainu, kde sa robia dalsie overenia.
Ak paket prejde celym chainom, tak sa vrati spat za jump pravidlo a pokracuje dalej cez firewall..

19
Sítě / Re:Nelehký výběr AP
« kdy: 02. 07. 2021, 14:51:27 »
TP-LINK ma tiez podobne riesenie ako ubiqity (Unifi). A to EAP(110, 115, 125) Acess Point s omadou ako controler. Kde omada moze byt ci uz hw zariadenie alebo software na pc, serveri ci VM.  Sam tieto siete prevadzkujem v prevedi hw contoleru, ale aj softwaroveho na VM v proxmoxe. A mam aj overenie klientov cez radius a platobny portal ako hostspot siet. A ziadne vacsie problemi s tym za cca 5 rokou prevadzky neboli. Obcas sa stalo, ze ked vypadla elektrika viac krat po sebe, tak ap stratilo konfiguraciu. Ale jednim klikom v controllery na adoptovanie avsetko bezalo dalej. A cena je vcelko priazdniva.

Na oddelenie sieti je najlepsie pouzit vlany a virtualne ssid na ap. Kde kazdu siet pekne oddelis na routri. A cez firewall rieadis, kto kam moze. Cez radius zase mozes povolit, ci klient pripojeny k ap vobec mozes v ramci siete komunikovat.

20
Server / Re:Proxmox: migrace serverů na LVM-THIN
« kdy: 25. 06. 2021, 09:31:18 »
Ak chces migrovat vm medzi viacerimi proxmox servermi v rovnakej sieti cez web GUI. Tak na to sluzy v proxmoxe funkcia Cluster, kde si dva ci viac proxmox-ov spojis do jedneho clustera. Na kazdom vytovris rovnako velky diskovy priestor, ktory je zdielany v ramci clustra. A vsetky vm vies aj za chodu migrovat medzi servermi.

21
Sítě / Re:Prepojenie CAT6a kablov
« kdy: 25. 06. 2021, 08:56:30 »
Ja by som odporucil spojkovy box. Ktory sa nacvakava ako keystone. A neni potrebny ziadny zbytocny medzi kus. Navyse box je urceny pre vsetky typy kablov od cat5e az po cat7. Da sa dodatocne zaizolovat vulkanizacnou paskou, takze je aj vode odolny Staci si dat hladat do googla spojovacie boxy na cat6a a urcite najde predajcu v okoli, u ktoreho ich viete zakupit.
Myslis asi toto........

Aj to je moznost, ale mal som skor na mysli nieco taketo -

22
Sítě / Re:Prepojenie CAT6a kablov
« kdy: 23. 06. 2021, 11:09:13 »
Ja by som odporucil spojkovy box. Ktory sa nacvakava ako keystone. A neni potrebny ziadny zbytocny medzi kus. Navyse box je urceny pre vsetky typy kablov od cat5e az po cat7. Da sa dodatocne zaizolovat vulkanizacnou paskou, takze je aj vode odolny Staci si dat hladat do googla spojovacie boxy na cat6a a urcite najde predajcu v okoli, u ktoreho ich viete zakupit.

23
/dev/null / Re:Je to plnohodnotná veřejná adresa?
« kdy: 19. 04. 2021, 12:52:32 »
Z mojej osobnej skusenosti, ak sa klient dopytuje na verejnu ip adresu.
Tak ako prve sa ho pytam, za akym ucelom tu adresu potrebuje. Vo vacsine pripadou
z nich vypadne, ze maju kamery a chcu k nim pristupovat. Pripadne, ze robi herny server, atd..

Na  zaklade informacii im hned navrhnem miesto verejnej ip adresy - port forward,
kde to budu mat napr. za jednorazovy poplatok 15 euro.

Ak  trvaju na prideleni verejnej ip, tak im poviem akym sposobom im ju viem dodat.
Ci uz NAT 1:1, PPPoE alebo routovanim. Nasledne sa pytam, ci si to zakaznik dokaze sam nastavit
na svojom routri. Ak nie, tak mu zdelim za aky poplatom mu to viem nastavit. A samozrejme dodam,
ze mesacne budu za ip platit napr. 10 euro. Co myslite, ze si ten zakaznik vybere ??

Vzdy to najlacnejsie funkcne riesenie. A nemusim ani nikde formulovat, co verejna ip adrese je alebo nie.
Ked to ani sam zakaznik nevie a len mu to dodavatel oznamil a nic mu neupresnil.


Ako klient neznaly problematiky, zavolam svojmu ISP. Poviem mu svoju poziadavku. A taktiez mu vysvetlim na co presne tu adresu potrebujem. Ked mi to napr. dodavatel nepovedal. Predpokladam, ze ISP mi vie poradit a da mi to co potrebujem.


24
Sítě / Re:10G switch Mikrotik?
« kdy: 16. 04. 2021, 14:42:36 »
Mikrotk tie ich switche este nedolladil. A aj sami odporucaju v pripade problemov davat router os miesto sw os.

Zdroj?

Od supportu mikrotiku, ked sme hlasili problemi so stratou paketov a chybami na portoch.  Samozrejme, ze novie verzie sw os  uz dake veci opravili medzi casom.

25
/dev/null / Re:Je to plnohodnotná veřejná adresa?
« kdy: 15. 04. 2021, 16:19:33 »
Ono niekedy je problem prerotovat verejnu ip, ked je blbo spravena a navrnuta topologia a zakaznik ide cez x natovanych routrou. 

Avsak pokial si ako zakaznik pytam verejnu ip, musim vediet aku chcem a na co ju chcem pouzivat. Ci routovanu alebo natovanu. Ak nemam paru o co ide. Tak sa ma opytam toho, co po mne tu verejnu ip chce. Neni potom problem vytocim technicku podporu operata a nech si o tom spolu pokecaju...

Tiez si pri kupe auta zistujete ci je to auto na benzin alebo diesel. A nekupite ho naslepo. A na pumpe budete saskovat, co tam vlastne chcete natankovat. Alebo v horsom pripade date, co vam prve pride pod ruku. A ak sa netrafite, sa budete po par km cudovat, preco to auto nejde.

26
Sítě / Re:10G switch Mikrotik?
« kdy: 15. 04. 2021, 16:15:23 »
Mikrotk tie ich switche este nedolladil. A aj sami odporucaju v pripade problemov davat router os miesto sw os.

27
/dev/null / Re:Je to plnohodnotná veřejná adresa?
« kdy: 13. 04. 2021, 13:59:41 »
Pre 90% beznych uzivatelov interentu nie je verejna ip potrebna. Pre ostatnych staci bud port forward alebo NAT 1:1.
Je len velmi malo pripadov, kedy zakaznik musi mat vyslovene routovanu verejnu iptv4 adresu.

Aj taky IPsec tunnel Server sa da spravit za port forwardom a nemusi to byt ani NAT 1:1.
Zalezi skor na to, ake protokoli vie spracovavt samotny NAT - router.

Navyse ako bolo na prvej strane spomenute, zakaznik moze mat pridelenu ip cez PPPoE.
Kde lokalna ip moze byt hocijaka neverejna ip a pritom je to plnohodnota verajna ip, akurat ju routuje PPPoE server.

Vzdy len zalezi na tom, na aky ucel tu ip potrebujete. A aj samotna podpora NAT sa o dost zlepsila, oproti minulosti.
A kto chce vyslovene verejnu ip pre kazde zariadenie, moze si dat poskytovatela, ktory podporuje aj ipv6.

28
Sítě / Re:10G switch Mikrotik?
« kdy: 13. 04. 2021, 11:14:42 »
Ono ide vzdy o to, co od daneho zariadenia pozadujes. Navyse mikrotik ma na svojej stranke u kazdeho produktu aj result tabulku. Kde si vies pozriet prenosovu rychlost pri roznych velkostiach paketov ci kofiguraciach. Podla toho sa treba zariadit. Pri malych paketov je rychlost vzdy najnizsia.

29
Sítě / Re:10G switch Mikrotik?
« kdy: 12. 04. 2021, 13:56:11 »
Pouzivam v sieti par mikrotikov (CRS326-25g-2S+, CRS328-4c-20S-4S+, etc..) na 10GB prepoje medzi serverovanmi a zatial som nenarazil na vacsi problem. Bezny trafik na portoch mam od 4Gbps - 8GBps. Jedine s cim som mal problem je, ze pri velkom mnozstve BPDU paketov v sieti rb vytuhol management a random porty prestali prenasat trafik. Alebo vykazovali velky paket lost. Po zapnuti filtrovania BPDU bezi vsetko normalne ako ma.


30
Sítě / Re:IP kamera s veřejným streamem do internetu
« kdy: 29. 03. 2021, 16:13:31 »
Na to aby sa ti spustal OBS po restarte pc alebo ked vytuhne proces/stream potrebujes daky script, co to bude monitorovat. V pripade akychkolvek poruch proces restartuje. Tu je pirklad ako spustat stream v obs automaticky.

https://obsproject.com/forum/threads/run-obs-and-start-streaming-automatically.37097/

V poctate script vo windowse das to startup polozky, aby sa spustil pri starte a v linuxe ho mozes dat kludne do rc.local pripadne ho nechat v crontabe. Akurat ho treba upravit, nech si najskor sleduje ci proces bezi a ak nebezi ho spusti. Tuto kontrolu mozes vykonavat narp. kazdych 5 minut.

Stran: 1 [2] 3 4