Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Lightbulb Proteção contra Ataques Brute Force!

    Olá gente,

    Não sei se acontece com todos, mas tenho percebido que em certas ocasiões nossos servidores são constantemente atacados via brute force, sendo que os ips são dos mais variados locais, internacionais, inclusive, dessa forma procurei e implantei uma solução que evita que nossa máquina fique respondendo a esses ips.
    A idéia é a seguinte, um brute force tenta desesperadamente encontrar um user e senha válidos para acessar, para isso ele faz inúmeras conexões simultâneas então olha o que eu fiz:

    / ip firewall filter
    add chain=input protocol=tcp dst-port=8291 connection-limit=2,32 \
    connection-state=established action=add-src-to-address-list \
    address-list="drop winbox" address-list-timeout=12h comment="" \ disabled=no
    add chain=input protocol=tcp dst-port=80 connection-limit=2,32 \
    connection-state=established action=add-src-to-address-list \
    address-list="drop winbox" address-list-timeout=12h comment="" disabled=no
    add chain=input src-address-list="drop winbox" action=drop comment="" \
    disabled=no

    Olha só, do geito que fiz ao se fazer duas tentativas simultâneas, ou via winbox 8291, ou webbox 80 (poderia ser para outros serviços tipo, dtp, telnet, ou qualquer outra porta que você usa com algum sistema que utilize login e senha).
    O ip de origem é jogado para uma lista (drop winbox, assim ficamos sabendo quem foi o bendito que tava querendo nos invadir).
    E pro fim todos os ips que constarem dessa lista terão seu acesso negado por 12h desde a primeira tentativa.
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         drop winbox.JPG
Visualizações:	281
Tamanho: 	31,0 KB
ID:      	209   Clique na imagem para uma versão maior

Nome:	         drop winbox1.JPG
Visualizações:	231
Tamanho: 	25,6 KB
ID:      	210  

    Clique na imagem para uma versão maior

Nome:	         drop winbox2.JPG
Visualizações:	230
Tamanho: 	20,5 KB
ID:      	211  

  2. #2

    Padrão

    Perfeito! Parabéns pela excelente idéia. Tenho certeza que a maioria vai se interessar.
    Valeu, e obrigado em nome de todos!



  3. #3

    Padrão

    opa,

    Pois então, a idéia é encontrar soluções para possíveis situações que complicam com a vida de todos nós (acho que que uma delas é esse tipo de ataque, que acredito que tenha pouco efeito, com relação ao cara conseguir invadir em si, mas isso acaba comprometendo o nosso link, quando se tem 10, ou 20 ataques simultâneos).

    Falow.

  4. #4

    Padrão

    Aqui analiso todas as logs e nunca apareceu uma tentativa de ataque pela porta 8291 ou 80, somente na 22 e 23 (ssh), e para eliminar isso, somente coloquei o IP da minha rede com direito de acesso... Desde então não apareceu mais nada na log.. No seu caso, Josevaldo, aparece na log somente um erro de user/senha no acesso pelo WInbox?



  5. #5

  6. #6

    Padrão

    Let´s Rock man !! Massa, bem lembrado.