Olá pessoal.
Só para compartilhar com vocês.
Tenho notado muitas tentativas de ataque por força bruta no log do meu mikrotik.
Então vamos a solução Essas regras que eu to postando aqui ela ira adicionar a uma black list o ip "atacante" que tentar mais de 3 vezes logar no ssh do mikrotik.
Retirado do Wiki do Mikrotik.
Segue export.
/ip firewall filter
add action=drop chain=input comment="Drop ssh brute forcers" disabled=no dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=4w2d \
chain=input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp \
src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=\
input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp \
src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=\
input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp \
src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=\
input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp
Respostas
obrigado amigo, tem muitos usuários aqui que tem esse problema...
Implantei aqui na minha rede e acabou os ataques 100% confiável galera.
Mude a porta ssh de 22 pra qualquer outra tipo 2222. Quando o ataque ver que a porta ssh não existe ele para.
Caro,
Quando alterar a porta ssh de 22 para 2222, na RB do Mikrotik, como sugere, preciso alterar também no servidor MK-AUTH(comunicação da chave). Caso sim, como?
chave.jpg
O que é mais seguro: a regra no firewall, alterar a porta ssh ou as duas opções?
Obrigado.
Pedro Filho disse:
essa regra ta bloqueando o ip do mk-auth 172.31.255.2 ta indo para lista , alguém sabe como solucionar ?
valeu obrigado.
é só vc informar o ip do seu mk-auth, ai nao vai mais ter problema.
/ip firewall filter
add action=drop chain=input comment="Drop ssh brute forcers" disabled=no dst-port=22 \
protocol=tcp src-address=!172.31.255.2 src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=4w2d \
chain=input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp \
src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=\
input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp \
src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=\
input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp \
src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=\
input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp
jacksondenys disse:
flw amigo , obrigado
aqui tive que colocar ela assim:
/ip firewall filter
add action=drop chain=input comment="Drop ssh brute forcers" disabled=no dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=4w2d \
chain=input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp \
src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=\
input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp \
src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=\
input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp \
src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=\
input comment="" src-address=!172.31.255.2 connection-state=new disabled=no dst-port=22 protocol=tcp
porque é a primeira regra que joga para o bloqueio ai o ip do mk-auth nem vai para o address-list.
-
1
-
2
-
3
de 3 Próximo