[Q] 미크로틱 Log에 모르는 접근이 있는데 이런건 어떻게 해야 되나요?

NightHawk   
   조회 2221   추천 0    


 이번에 L2TP VPN을 열었는데... 이후 매일 1번씩 아래와 같은 로그가 보입니다.

 ipsec error 라니...

===========================================================================

Jun/03/2017 10:39:54   ipsec, error   216.218.206.70 failed to get valid proposal.

Jun/03/2017 10:39:54   ipsec, error   216.218.206.70 failed to pre-process ph1 packet (side: 1, status 1).

Jun/03/2017 10:39:54   ipsec, error   216.218.206.70 phase1 negotiation failed.

===========================================================================


 이런거는 방화벽 룰로 처리 가능한가요?

 전부 ip 보면 216.218.206.xxx 인데... 이 subnet 전체를 막으면 될까요?

 여기 뭔지 아시는 분 있나요?


정희섭 06-04
l2tp ipsec 열면 무조건 공격 옵니다
기본 포트에 포트스캔 돌리고 사전형 공격 하는거나 마찬가지고요.
몇회이상 인증 실패하면 블럭 하는 룰 추가 하시면 되긴 합니다.
     
NightHawk 06-04
전에 어떤 글의 리플에 있는 timeout으로 하는것은 추가하고 테스트까지 끝냈는데...
인증 실패할때 address list 추가하는 방법은 아직 모르겠는데 혹시 아시면 키워드라도 좀 알려주실수 있을까요?
김황중 06-04
IP Location United States Fremont Hurricane Electric Inc.
ASN AS6939 HURRICANE - Hurricane Electric, Inc., US (registered Jun 28, 1996)
Resolve Host scan-08n.shadowserver.org
Whois Server whois.arin.net

NetRange:      216.218.128.0 - 216.218.255.255

검색은 후이즈 서버에서 했고요.
보시는 대로 미국입니다.

대역대가 통으로 잡혀 있으니
클래스로 막아버리셔야 할듯...^^
     
NightHawk 06-04
address list 에 넣고  block 시키고 log 남겼습니다-
Hurricane Electric 사이트 가보니 전세계 네트워크 트레픽 이동 같은 것도 있고... 오토봇 같은것이 접속 하나 싶긴 하네요-
느낌 06-07
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input \
    connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input \
    connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input \
    connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input \
    connection-state=new dst-port=22 protocol=tcp

저는 위에 처럼 3번째 시도 하면 black list 차단
     
NightHawk 06-07
위의 리플에 말한 어떤글의 타임아웃 방법이 위의 방법과 동일합니다. (대충 설정은 아래와 같이 했습니다)
- 처음 접속시, 첫번째 address list 저장 (타임아웃 1m)
- 1분 이내 두번째 접속이 오면, 첫번째 list 있을시 2번째 저장 (타임아웃 3m)
- 3분이냐 세번째 접속이 오면, blacklist 저장 이후 차단...

이게... 짧은 시간에 연속적인 접속이 오는 경우만 가능하니, 하루 한번만 오는 접속 시도에는 소용이 없더라구요-

그래서, 차단은 안하더라도 추후 관리를 위해, 실패시 address list에 넣는 그런 방법을 찾아보고 있어요.
raw 필터에 ipsec뭔가 있는것도 같아서... 아직 더 검색 중입니다-

우선 mikrotik wiki에 있는 port scan 룰도 겸사겸사 추가했습니다-




제목Page 5/32
06-21   1131   리얼홀릭
06-21   1848   리얼홀릭
06-19   1277   소율바라기
06-16   1843   엠씨넷
06-16   1404   조스바
06-15   1602   반기기기기
06-12   1704   MSmikoto
06-12   1655   나는안다
06-10   1778   윌라멧
06-09   1635   MSmikoto
06-04   2222   NightHawk
06-02   1905   강하게하자
06-02   2057   능글수수
06-02   1734   민섭79
05-31   2239   MSmikoto
05-30   1791   NGC
05-29   1197   스카이감자
05-27   2018   스린
05-24   1912   스린
05-22   2416   NGC