A historia é a seguite: precisava de uma regra simples que bloqueasse o engraçadinho que estivesse rodando um port scanner na minha rede. No Wiki do Mikrotik tem uma regra (Bruteforce login prevention - MikroTik Wiki), mas achei demasiada complexa, além de dar muita colher de chá pro cara deixando ele errar a senha várias vezes.
O que fiz e compartilho com vocês é uma “armadilha”: tentou fuçar na porta 22 vai pro blacklist.
Nesse caso continuo usado o SSH, mas em uma porta alta (ex: 35669).
Mas porque a porta 22?
Quando alguém roda um portscanner, busca as portas que propiciem invasão (21 ftp, 22 ssh). Como tenho um redirecionamento da porta 21 para um servidor interno, não posso usá-la na armadilha. Além da porta 22 ser uma das primeiras válidas .
Funciona em duas etapas:
1-Joga o IP do invasor na blacklist por 10 dias depois da primeira tentativa;
2-Dropa qualquer acesso input dos IPs da blacklist.
As regras são as seguintes:
1 - Adiciono o folgado na adress list “hacker”:
No meu caso a internet é IP fixo, na ether2/ip firewall filter
add action=add-src-to-address-list address-list=hacker address-list-timeout=\
1w3d chain=input comment="Bloq IPs que tentarem SSH" disabled=no \
dst-port=22 in-interface=ether2 protocol=tcp
2 – Bloqueio todos acesso a partir da lista “hacker”:
Essa regra eu coloquei entre as primeiras do firewall, para evitar o invasor logo de cara./ip firewall filter
add action=drop chain=input comment="Bloq lista \"hacker\"" disabled=no \
src-address-list=hacker
Algumas horas depois de ativar a regra, minha blacklist já está crescendo...
Como posso testar?
Muito fácil, rode um portscanner em seu IP. Existem vários sites que fazer isso, recomendo o Open Port Check Tool - Test Port Forwarding on Your Router, simples e eficiente.
Rodando esse teste na sua porta 22 você já vera o IP do site ir pra a blacklist.
Cuidado!!!!
Não faça testes de intrusão de seu IP, sob o risco de ficar “tracando para fora” de seu router, por isso sugeri o site.
Caso você acesse seu Mikrotik de um IP Fixo, você pode “incrementar” a regra, excluindo você desse bloqueio:
Sendo o 189.10.52.65 o seu IP, claro./ip firewall filter
add action=add-src-to-address-list address-list=hacker address-list-timeout=\
1w3d chain=input comment="Bloq IPs que tentarem SSH exceto eu" disabled=no \
dst-port=22 in-interface=ether2 protocol=tcp src-address=!189.10.52.65
Bom galera é isso. É simples mais funcional, espero ter ajudado algum colega.
Criticas e sugestões são bem-vindas.
Abraços.