Новости

Усилитель сотовой связи

13.08.2019

Что такое и как оно работает?

Усилитель сотовой связи служит для повторения и усиления 2G, 3G, LTE сигнала📶.
Сможет подойти всем, у кого есть проблемы со связью внутри здания или подвального помещения. Главное, чтобы снаружи здания был хоть слабый, но не пропадающий сигнал. Усилитель сотовой связи, он же репитер, не сможет усилить сигнал, которого нет😅
Репитеры бывают 1⃣ монодиапозонные, усиливающие только одну частоту сигнала, 2⃣ двухдиапазонные для двух частот и 3⃣ трёхдиапанные, усиливающие, как не странно, три частоты сигнала. Чем больше диапазонов, тем дороже усилитель сотовой связи💵. Так, например, комплект усиливающий только одну частоту в среднем стоит от 10 до 13 тысяч, а усиливающие три частоты от 22 тысяч рублей.
Так в чём же разница и стоит ли платить больше?
Колличество усиливаемых частот напрямую влияет на колличество операторов сотовой связи. Так например в Теле 2 используется частоты 1800 МГц, а Мегафон работает на 2100 МГц. Иными словами, монодиапозонный репитер не может работать со всеми операторами сотовой связи, в отличие от трехдиапазонного. Но на вопрос " Нужно ли Вам усиление всех операторов сотовой связи? " отвечаете только Вы.

Как бороться с подбором паролей на оборудовании Mikrotik

13.06.2019

При постановке задачи ограничить возможность подбора паролей возникает как минимум 4 способа как это реализовать:

  1. VPN
  2. Port knocking
  3. Список разрешенных адресов
  4. Fail2ban

VPN лучший вариант – чтобы начать подбирать пароль к сервису нужно сначала подобрать к VPN, что понятно, в процессе обнаружится и нарушитель заблокируется (вручную или каким-либо другим способом).

Port knocking – хороший вариант там где по каким-либо причинам не возможен (не желателен) VPN. Принцип: сетевой порт является по-умолчанию закрытым, но до тех пор, пока на него не поступит заранее определённая последовательность пакетов данных, которая «заставит» порт открыться. Например, вы можете сделать «невидимым» для внешнего мира порт SSH, и открытым только для тех, кто знает нужную последовательность.

Список разрешенных адресов – неплохой вариант, но только в паре с чем-то еще. Например, через список разрешенных адресов ограничивается доступ к VPN сервису, а целевой сервис уже доступен из VPN.

Fail2ban поможет там где другие способы не возможны или не удобны. Рассмотрим его подробнее как самый популярный. Принцип: клиент подключается к сервису и при нескольких неудачных попытках входа блокируется. В mikrotik нет пакета Fail2ban, но сам механизм можно реализовать с помощью firewall и address list. Узнать, что вход неудачный можно, например, частым SYN пакетам или ответам целевого сервиса (если они не шифрованы, конечно).

Для ftp сервиса на mikrotik правила firewall могут выглядеть так (wiki mikrotik):

add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \

comment="drop ftp brute forcers"

 

add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m

 

add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \

address-list=ftp_blacklist address-list-timeout=3h

 

Как работают эти правила: если клиент 10 раз ввел неправильны логин/пароль в течении 1 минуты, то его записывают address-list ftp_blacklist. Клиентов, находящихся в address-list ftp_blacklist первое правило в примере блокирует на 3 часа.

Пример для сервисов, использующих шифрование (wiki mikrotik):

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \comment="drop ssh brute forcers" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new \src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \address-list-timeout=10d comment="" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new \src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \address-list-timeout=1m comment="" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

 

Как работают эти правила: при подключении клиент посылает SYN-пакет, который проходит через правила firewall, доходит до пятого правила, которому пакет соответствует и происходит добавление клиента в address-list ssh_stage1 на 1 минуту. Если клиент в течении 1 минуты еще раз подключится к этому сервису, то отработает уже четвертое правило и ip адрес запишется уже в ssh_stage2 на 1 минуту. Если будет еще одно подключение в течении минуты, то запишется уже ssh_stage3. В случае еще одного подключения запишется уже в ssh_blacklist, а тех кто в этом листе находится блокирует первое правило.

Важно понимать, что для правильной работы Fail2ban требуется правильный порядок правил в firewall и сделайте себе черный ход на случай если сами попадете в бан =)