Postado originalmente por
shuttner
Bem pessoal acho que todos devem saber que o Mikrotik
tem um servidor ftp, vcs já verificaram se houve tentativa de invasão no mesmo?
ja testaram a segurança do seu firewall para evitar invasão no servidor ftp dele?
Bem dando uma pesquisada encontrei um artigo falando nisso
Eh bem interessante para darmos atenção, por isso estou aqui para disponibilizarem para verificarem e testarem a invasão por brute force.
Texto traduzido e adaptado
(fonte:
Mikrotik - How To: [Bahasa Indonesia] How To : Melindungi FTP Server Mikrotik Anda
Código :
/ ip firewall filter
add chain=input in-interface=ether1 protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop
A primeira regra eh para fazer a filtagem do tráfego vindo da sua interface que recebe internet
da porta ftp que eh 21 e o ip de origem dele eh pareado com ftp_blacklist
Quando você tem um ataque de força bruta, pela primeira vez, a primeira regra é não apa2 IP (não me perguntem o que eh isso que não encontrei a tradução)
Código :
# accept 10 incorrect logins per minute
/ ip firewall filter
add chain=output action=accept protocol=tcp content=530 Login incorrect dst-limit=1/1m,9,dst-address/1m
Essa regra funciona para verificar a partir de um ip se ele tem feito vários login (a partir de 9) incorretos durante o periodo de 1 minuto
Código :
#add to blacklist
add chain=output action=add-dst-to-address-list protocol=tcp content=530 Login incorrect address-list=blacklist address-list-timeout=3h
Essa regra irá adiconar o ip do atacante ao addr-list ftp_blacklist
Bem seria bom para avaliarem e podem adaptá-las conforme suas necessidades e se funciona realmente