Regras de segurança...

Olá,

Boa tarde galera, este tópico é para relatarmos as falhas na segurança das Routers Borads OS, em específico o hotspot. Procurando na net, achei uma falha que considero como gravíssima, ao executar um programinha o hotspot e a internet cai, de tal forma que até para entrar na RB fica inviável pelo ip, só é possível através do mac via winbox.

segui o link com o vídeo e o programa:
DDoS

Adicionei essas regras, seguindo a wiki da mikrotik e outras encontrada na web. Entre as regras, a única que não consegui fazer funcionar é a de Black List user bad (Bad-host-detection) veja o vídeo:



Caso alguém consiga fazê-la funcionar, por favor, informe!

Mas de fato, o eixo central deste tópico é a falha ddos. Após baixar Minhas Regras descompacte e dentro da pasta, contém o programa que falei, desative o seu anti-vírus e execute-o, aguarde uns 40s até o programa abrir e depois digite a tecla 2, depois informe o ip do server hotspot, pressione a tecla enter, como mostra o vídeo. O server simplesmente deixa de responder a qualquer tipo de requisição, nada mesmo.

Preciso da rede liberada de wpa ou controle de acesso por mac, isto porque tenho planos de internet pré-paga. Caso alguém consiga, tá lançado o desafio, aqui em casa, fiz uma segunda rede só para testes...

Tem boas regras de firewall, uma delas é a de bloquear programas como nmap, ping externo ou qualquer scan, estas regras eu testei e funcionaram. Até agora, só consegui contornar a falha, ocultando o IP do hotspot, assim:

1 - Na RB principal do hotspot desativei o dhcp (acrescentei um nome no servidor dns, assim no navegador não apareci o IP na tela de login);

2 - Depois da RB, coloquei uma outra RB em bridge fazendo o server dhcp;

3 - Bloqueei na rb hotspot programas port scan com black list e bloqueei o ping.

Até agora foi isto que consegui fazer, sugestões?
2 -

Valeu, vou verificar e depois darei um retorno.

tambem vou ver se consigo por pra funcionar

to com esse mesmo problema aki meu mk nao passa 5 dias ligado ele para de respoder so volta quando reinicio pessei q era memoria mas nao troquei ate a maquina e nada se alguem tiver uma solução posta ai

sr alvarenga me add ai msn quero falar com vc [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

marlostadeu escreveu:to com esse mesmo problema aki meu mk nao passa 5 dias ligado ele para de respoder so volta quando reinicio pessei q era memoria mas nao troquei ate a maquina e nada se alguem tiver uma solução posta ai

Fiquei por muito tempo tentando encontrar uma solução, em fim consegui através da wiki do mikrotik, lá tem um acervo muito rico.

Regras:

Passo 1
/ip firewall filter add chain=input protocol=tcp connection-limit=LIMIT,32 \
action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1dPasso 2
/ip firewall filter add chain=input protocol=tcp src-address-list=blocked-addr \
connection-limit=3,32 action=tarpit

Passo 3; 4 e 5 (Aqui, em algumas versões aparece um erro no terminal)
Para faciliar eu coloquei uma imagem com os passos das regras.

/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new \
action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new \
action=accept comment="" disabled=no
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new \
action=drop comment="" disabled=no

Passo 6

/ip firewall connection tracking set tcp-syncookie=yes

Como a imagem é muito grande em termos de largura, basta clicar em cima dela de escolhar a opção salvar como, você estará salvando no seu PC e vendo ela no tamanho real.

marlostadeu escreveu:sr alvarenga me add ai msn quero falar com vc [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Aí brother, vou almoçar, mais tarde eu entro ou outrora. Estou sem almoçar ainda!!!
rsrsrs até breve! Já add você no msn.

vou testar isso aki e ver se funciona ... pois acho q tou sendo vitima...