Forum

Bloquear ataque Bruta force ssh

Postado por jeferson luiz rosa em 14 de Fevereiro de 2013 às 11:33

Olá pessoal.

Só para compartilhar com vocês.

Tenho notado muitas tentativas de ataque por força bruta no log do meu mikrotik.

Então vamos a solução Essas regras que eu to postando aqui ela ira adicionar a uma black list o ip "atacante" que tentar mais de 3 vezes logar no ssh do mikrotik.

Retirado do Wiki do Mikrotik.

Segue export.

/ip firewall filter

add action=drop chain=input comment="Drop ssh brute forcers" disabled=no dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist

add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=4w2d \
chain=input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp \
src-address-list=ssh_stage3

add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=\
input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp \
src-address-list=ssh_stage2

add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=\
input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp \
src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=\
input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp

Visualizações: 551

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Votos 0
Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Adriano Lima Andrade Junho 21, 2017 17:07

    Pessoam  alguem pode me dizer...o porque desses ips na rede, apesar que tenho um bloqueio de firewall na minha RB?

    1488749833?profile=RESIZE_1024x1024

  • selmo junior busch wergutz Outubro 30, 2016 12:18

    posso usar essa regra para a porta  telnet  porta 23

  • Taiendy Chyvu Dezembro 24, 2015 16:42

    Pessoal, Boa tarde..

    encontrei esse topico aqui, tenho uma duvida..para que servem os stages de 1 a 3 ?

  • Emerson Haag Agosto 24, 2015 10:34

    Libera em IP Service List apenas o IP do seu MK-AUTH, e apenas ele vai se comunicar por ssh.

  • Sebastião Silvino Santos da Silv Agosto 24, 2015 8:47

    obrigado jeferson luiz rosa, valeu mesmo pelo seu script de comando. parou gradativamente as mensagens de erro.

  • Marcio Paciello paruolo Janeiro 12, 2015 10:03

    Obrigado

  • Kleber Rodrigo Moro Maio 7, 2014 17:11

    Muito bom. 

    Agora como faço para abrir o ssh_blacklist para verificar os IPs que foram bloqueados?

    Grato

  • Reginaldo Alves de Sousa Fevereiro 17, 2013 16:29

    ok obrigado



    jeferson luiz rosa disse:

    sim, o bloqueio está funcionando, o mesmo não deixa vc conectar por ssh no mikrotik.

    depois que entro na blacklist, só removendo para conectar.

  • jeferson luiz rosa Fevereiro 17, 2013 16:02

    sim, o bloqueio está funcionando, o mesmo não deixa vc conectar por ssh no mikrotik.

    depois que entro na blacklist, só removendo para conectar.

  • Reginaldo Alves de Sousa Fevereiro 17, 2013 9:42

    cara fiz as regras e mudei a porta do meu ssh agora gostaria de saber como faço um ataque na rede. para ver se funcionar

    pois estou tentando conectar pelo putty e dar erro seria isso mesmo ele bloqueia as tentativas mesmo tentando com os usuario correto.

    obrigado pela ajudar

     

This reply was deleted.