Varias tentativas de acessar mikrotik não autorizadas constam no log, após isso a rede ficou lenta !!!

[wpalasi]

E o seguinte gente, de uns dias pra cá eu notei que sempre que vejo o log no meu MK... aparece uns 30 linhas em vermelho com erro de login de uns usuarios estranhos e uns Ips.. estranhos tbm eu so tenho dois usuarios no meu mk e após aparecer essas tentativas de hora em hora a rede fica lenta o msn então cai sempre todo minuto oque pode ser ? alguem pode ajudar ? não sei nem por onde começar vou postar um print abaixo com a janela de log aberta.. vlw
Anexo 30769

[arauadbr]

va na guia IP/SERVICE e deixa somente a guia Winbox ativa.

depois va na guia user e determine que somente o seu ip acesse pelo winbox.

[Fernandols]

Ja aconteceu isso aqui é so fazer oque o amigo ai disse geralmente esses ataques sao feitos por port scaners procurando por portas abertas e como os serviços de ssh e telnet vem ativados por padrao eles encontram abertos e tentam por brute force descobrir o login e senha do seu Mk é so desabilita-las e nao tera mais problemas.
Abs.

[demattos]

Amigo, faca como o amigo falou ou desative o ssh e os servicos q vc nao ira usar ou mude a porta que isto vai acabar, outra forma e fechar o ssh para internet e deixar para sua rede permitindo acesso somente de um ip especifico, sao varias as posibilidades veja a melhor para vc

[leoservice]

Alem de desativar as portas ssh, telnet eu adoto as seguintes observações para a segurança:

Em Filter - INPUT
* Drop Invalidas
* Libero conex novas, relacionadas, estabelecidas
* Crio a tecnica Tockonk onde somente apos bater em uma sequencia certa de portas que só eu sei e dentro do tempo certo o IP vai para liberados Winbox.
* Bloqueio de Portscanner
* Limite de ICMP
* demais Ips que nao estão na lista automatica de IP liberado para Winbox DROP
* Libero outras portas e ou serviços que precisar
* DROP o resto

[wpalasi]

entao amigo eu desativei a porta ssh mas tem algo estranho ainda na parte dos logs sumiu esses acessos mais quando eu entro no NEW terminal logo depois da escrita MIkrotik aparece as entradas invalidas dos usuarios via ssh oque sera.. ?

[Genis]

amigo, voce comentou que fica lento a sua rede, da uma olhada no consumo de seu link pra ver como que esta na hora da lentidão, se o grafico estiver muito alto mesmo sem uso interno, isso pode ser lixo sendo jogado em seu link.

[ivangalves]

Se vc usar proxy, cache, faça bloqueio da porta do proxy externo, tudo que vir com destino a porta do proxy, com origem a interface link -- DROP.

[Mazzotti]

Ou faz um bloqueio no firewall.

Vai em IP /Firewall

Crie uma regra em Filter Rules

Na aba General:

Chain = input
Protocol = tcp
Dst.Port = 22-23 ( 22-ssh e 23-telnet )

Action = Drop



Com essa regra voce vai bloquiar todas as tentativas de ataque pelas portas ssh e telnet,caso utilize as portas bloqueia por ip.