Bloquear ataque Bruta force ssh

Olá pessoal.

Só para compartilhar com vocês.

Tenho notado muitas tentativas de ataque por força bruta no log do meu mikrotik.

Então vamos a solução Essas regras que eu to postando aqui ela ira adicionar a uma black list o ip "atacante" que tentar mais de 3 vezes logar no ssh do mikrotik.

Retirado do Wiki do Mikrotik.

Segue export.

/ip firewall filter

add action=drop chain=input comment="Drop ssh brute forcers" disabled=no dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist

add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=4w2d \
chain=input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp \
src-address-list=ssh_stage3

add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=\
input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp \
src-address-list=ssh_stage2

add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=\
input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp \
src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=\
input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Votos 0
Enviar-me um email quando as pessoas responderem –

Respostas

  • Pessoam  alguem pode me dizer...o porque desses ips na rede, apesar que tenho um bloqueio de firewall na minha RB?

    1488749833?profile=RESIZE_1024x1024

  • posso usar essa regra para a porta  telnet  porta 23

  • Pessoal, Boa tarde..

    encontrei esse topico aqui, tenho uma duvida..para que servem os stages de 1 a 3 ?

  • Libera em IP Service List apenas o IP do seu MK-AUTH, e apenas ele vai se comunicar por ssh.

  • obrigado jeferson luiz rosa, valeu mesmo pelo seu script de comando. parou gradativamente as mensagens de erro.

  • Obrigado

  • Muito bom. 

    Agora como faço para abrir o ssh_blacklist para verificar os IPs que foram bloqueados?

    Grato

  • ok obrigado



    jeferson luiz rosa disse:

    sim, o bloqueio está funcionando, o mesmo não deixa vc conectar por ssh no mikrotik.

    depois que entro na blacklist, só removendo para conectar.

  • sim, o bloqueio está funcionando, o mesmo não deixa vc conectar por ssh no mikrotik.

    depois que entro na blacklist, só removendo para conectar.

  • cara fiz as regras e mudei a porta do meu ssh agora gostaria de saber como faço um ataque na rede. para ver se funcionar

    pois estou tentando conectar pelo putty e dar erro seria isso mesmo ele bloqueia as tentativas mesmo tentando com os usuario correto.

    obrigado pela ajudar

     

This reply was deleted.