Monthly Archives: сентября 2019

You are browsing the site archives by month.

Автоматический апгрейд Firmware на Mikrotik

Те, кто пользуется устройствами Микротик знают, что есть такая штука как «The Dude», с ее помощью много чего можно делать по части управления сетевыми устройствами, но также можно и массово обновлять пакеты на Микротиках.

Все бы хорошо, но обновляются только пакеты, а кроме пакетов нужно обновлять также и Firmware, а Dude так не умеет… Что же делать?

Continue Reading

Примитивная защита опубликованного RDP-сервера

Ранее писал про простую, но довольно эффективную «защиту от брутфорсеров», но что делать если у вас нет роутера, на котором можно такую защиту построить?

Можно сделать «наколеночное» примитивное, но все таки работающее решение внутри самого сервера. Единственное ограничение — ОС на сервере должна быть минимум Windows Server 2012 R2.

Continue Reading

Очень долгий поиcк Updates в свежеустановленном сервере

На свежеустановленном сервере Windows Server 2012 R2 поиск апдейтов занимает очень длительное время. Анти-рекорд составил более 7 суток. Прогресс-бар searching updates просто бегает и все, и ничего не происходит.

Даже отдельно скачанные MSU-пакеты — не устанавливаются, зависая ровно на том же этапе: searching installed updates.

Анализ лога WindowsUPdates.log ничего полезного не дает. Все вроде работает, ошибок нет, просто не качает обновления.

Помогло вот что:

  • в настройках Windows Updates — выбрать пункт Never Check for updates (по сути выключить службу обновления).
  • Перегрузить сервер
  • После этого становится возможно ставить отдельные msu-пакеты
  • Скачать свежую версию Windows Update Client (на текущий момент вот версия для Server 2012 R2 а вот версия для Sever 2008 R2 )
  • Обновить клиента, перегрузиться

Ура, после этого работа с обновлениями пошла в штатном режиме!

Защита опубликованного RDP-сервера с помощью Mikrotik

Простой способ автоматически блокировать «брутфорсеров», пытающихся подобрать пароли к какому-либо из ваших опубликованных через Микротик сервисов.

Идея:

  • тем или иным образом отфильтровываем «новое подключение» злоумышленника. Обратите внимание! Если речь идет про DST-NAT (т.е. некий внутренний сервер, входящий порт которого опубликован снаружи), то фильтрация будет в forward-chain.
  • Заносим src-IP этого «нового подключения» в временный «список 1 уровня» с таймаутом скажем 30 минут
  • Далее делаем еще несколько уровней, куда последовательно будем заносить Src-IP из предыдущего уровня. Таким образом, если за время жизни списка некто попытается несклько раз подключиться (типовая ситуация — брутфорс логинов-паролей), то он последовательно попадет в списки 1,2,3 и т.д. уровней
  • Итоговое правило: из последнего списка занести Src-IP в постоянный бан-лист
Continue Reading
Яндекс.Метрика