fbpx
Redes

Mikrotik: Como prevenir tentativas de BruteForce

Para bloquear ataques do tipo Brute Force usando o Firewall de um roteador Mikrotik, siga estas dicas.

This configuration allows only 10 FTP login incorrect answers per minute

Tradução livre: Esta configuração permite apenas 10 tentativas incorretas de login na porta padrão FTP (21)

 

/ip firewall filter
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
comment="drop ftp brute forcers"
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
address-list=ftp_blacklist address-list-timeout=3h

 

A configuração abaixo irá prevenir ataques de Brute Force à porta padrão SSH (22) por 10 dias após repetitivas falhas de login. Altere as configurações de timeout conforme sua necessidade.

 

/ip firewall filter
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute forcers" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=10d comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

 

A regra abaixo previne também o acesso downstream, bloqueando a porta 22 na chain FORWARD:

 

add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute downstream" disabled=no

 

E finalmente, para ver o conteúdo de sua Lista de bloqueios, digite o comando abaixo na linha de comando:

 

/ip firewall address-list print

 

Obviamente, as regras acima bloqueiam as portas default, o que por questões de segurança sempre é recomendado desativar ou alterar para as chamadas “portas altas”

Felix

Residindo atualmente na cidade de Cascavel, no oeste do Paraná. Já dei aulas de informática, trabalhei com Hardware, redes, fui analista de suporte, aprendi SEO e mídias sociais e também programação. Faço um pouco de tudo, mas não sou especialista em nada, por isso estou sempre estudando e tentando evoluir. Com isso vou compartilhando aqui um pouco do que vou aprendendo no dia a dia.

Verified by MonsterInsights