Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Olá gente,

    Não sei se acontece com todos, mas tenho percebido que em certas ocasiões nossos servidores são constantemente atacados via brute force, sendo que os ips são dos mais variados locais, internacionais, inclusive, dessa forma procurei e implantei uma solução que evita que nossa máquina fique respondendo a esses ips.
    A idéia é a seguinte, um brute force tenta desesperadamente encontrar um user e senha válidos para acessar, para isso ele faz inúmeras conexões simultâneas então olha o que eu fiz:

    / ip firewall filter
    add chain=input protocol=tcp dst-port=8291 connection-limit=2,32 \
    connection-state=established action=add-src-to-address-list \
    address-list="drop winbox" address-list-timeout=12h comment="" \ disabled=no
    add chain=input protocol=tcp dst-port=80 connection-limit=2,32 \
    connection-state=established action=add-src-to-address-list \
    address-list="drop winbox" address-list-timeout=12h comment="" disabled=no
    add chain=input src-address-list="drop winbox" action=drop comment="" \
    disabled=no

    Olha só, do geito que fiz ao se fazer duas tentativas simultâneas, ou via winbox 8291, ou webbox 80 (poderia ser para outros serviços tipo, dtp, telnet, ou qualquer outra porta que você usa com algum sistema que utilize login e senha).
    O ip de origem é jogado para uma lista (drop winbox, assim ficamos sabendo quem foi o bendito que tava querendo nos invadir).
    E pro fim todos os ips que constarem dessa lista terão seu acesso negado por 12h desde a primeira tentativa.
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         drop winbox.JPG
Visualizações:	268
Tamanho: 	31,0 KB
ID:      	209   Clique na imagem para uma versão maior

Nome:	         drop winbox1.JPG
Visualizações:	210
Tamanho: 	25,6 KB
ID:      	210   Clique na imagem para uma versão maior

Nome:	         drop winbox2.JPG
Visualizações:	206
Tamanho: 	20,5 KB
ID:      	211  

  2. Perfeito! Parabéns pela excelente idéia. Tenho certeza que a maioria vai se interessar.
    Valeu, e obrigado em nome de todos!



  3. opa,

    Pois então, a idéia é encontrar soluções para possíveis situações que complicam com a vida de todos nós (acho que que uma delas é esse tipo de ataque, que acredito que tenha pouco efeito, com relação ao cara conseguir invadir em si, mas isso acaba comprometendo o nosso link, quando se tem 10, ou 20 ataques simultâneos).

    Falow.

  4. Aqui analiso todas as logs e nunca apareceu uma tentativa de ataque pela porta 8291 ou 80, somente na 22 e 23 (ssh), e para eliminar isso, somente coloquei o IP da minha rede com direito de acesso... Desde então não apareceu mais nada na log.. No seu caso, Josevaldo, aparece na log somente um erro de user/senha no acesso pelo WInbox?



  5. publica a dica no wiki






Tópicos Similares

  1. Proteção Contra Ataque SYN ACK
    Por GivigiRJ no fórum Redes
    Respostas: 3
    Último Post: 06-11-2008, 13:01
  2. Ataque (brute force via ssh)
    Por fabianoheringer no fórum Servidores de Rede
    Respostas: 12
    Último Post: 16-01-2006, 10:41
  3. Ataque Brute Force
    Por PiTsA no fórum Segurança
    Respostas: 14
    Último Post: 21-07-2005, 10:35
  4. Protecao contra descarga eletrica
    Por Good_speed no fórum Redes
    Respostas: 2
    Último Post: 15-11-2004, 16:51
  5. Comunidade sai em contra-ataque à SCO
    Por leonsimpai no fórum Servidores de Rede
    Respostas: 2
    Último Post: 08-08-2003, 08:39

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L