Faça uma address-list com os seus endereços e redes, coisas que podem ser utilizados, especificando a porta, e coloca com uma ação de DROP.
E portas não usadas sempre deixe desabilitadas!
Isso não seria um brute force na ssh? não seria mais simples trocar a porta ssh ou desativar?
mas trocar a porta nao resolve.. se o cara descobre a nova porta.. ataca novamente..
o que precisa ser feito eh FILTRAR a porta 22 ... como dito pelo colega luciano !!
Como o Luciano, e o Alexandre falaram tu libera o acesso somente as tuas redes internas, caso exista a necessidade de acesso externo tu cria lista de permissões apartir do famoso metodo knocking.
Ai no under tem varios tópicos falando, de bater em portas em sequencia onde tu libera por determinado tempo aquele ip. Bem interessente para permitir acesso sem fragilizar o sistema.
Acho que é isso, certo ou errado?.
Certíssimo caro amigo! Fazer a filtragem ou implementar um port knocking faz parte da política de segurança que queiram implementar. O port knocking é muito seguro, mas acho pouco prático. Como o tempo é escasso acabo fazendo uma filtragem por IPs.
Para quem prefere fazer o port knocking pode ver como fazer aqui:
Securing New RouterOs Router - MikroTik Wiki
Utilize uma regra de filtragem da porta 22, adicionando os IP de ataque a um address-list automaticamente. Posteriormente crie uma regra de reject-tcp para este address-list.
Cara faz assim, crie regras habilitando a porta 22 para seus IP´s, depois Dropa tdo que vem de fora, eh facin facin
Quer um negócio simples??? O sistema é acessado via ssh?? pelo visto não, pois o usuário que postou nem comentou se usava o serviço...
Então desabilita e pronto. O que mais vejo é isso... sistemas com N serviços habilitados (caso do Mikrotik ROS) e nunca usados. É telnet, http, https, ftp, mac-server e mais uma pancada de coisas...
Quer o sistema limpo e funcional? Habilite o que usa, crie filtros para acesso e pronto.