+ Responder ao Tópico



  1. #1

    Lightbulb Proteção contra Ataques Brute Force!

    Olá gente,

    Não sei se acontece com todos, mas tenho percebido que em certas ocasiões nossos servidores são constantemente atacados via brute force, sendo que os ips são dos mais variados locais, internacionais, inclusive, dessa forma procurei e implantei uma solução que evita que nossa máquina fique respondendo a esses ips.
    A idéia é a seguinte, um brute force tenta desesperadamente encontrar um user e senha válidos para acessar, para isso ele faz inúmeras conexões simultâneas então olha o que eu fiz:

    / ip firewall filter
    add chain=input protocol=tcp dst-port=8291 connection-limit=2,32 \
    connection-state=established action=add-src-to-address-list \
    address-list="drop winbox" address-list-timeout=12h comment="" \ disabled=no
    add chain=input protocol=tcp dst-port=80 connection-limit=2,32 \
    connection-state=established action=add-src-to-address-list \
    address-list="drop winbox" address-list-timeout=12h comment="" disabled=no
    add chain=input src-address-list="drop winbox" action=drop comment="" \
    disabled=no

    Olha só, do geito que fiz ao se fazer duas tentativas simultâneas, ou via winbox 8291, ou webbox 80 (poderia ser para outros serviços tipo, dtp, telnet, ou qualquer outra porta que você usa com algum sistema que utilize login e senha).
    O ip de origem é jogado para uma lista (drop winbox, assim ficamos sabendo quem foi o bendito que tava querendo nos invadir).
    E pro fim todos os ips que constarem dessa lista terão seu acesso negado por 12h desde a primeira tentativa.
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         drop winbox.JPG
Visualizações:	272
Tamanho: 	31,0 KB
ID:      	209   Clique na imagem para uma versão maior

Nome:	         drop winbox1.JPG
Visualizações:	213
Tamanho: 	25,6 KB
ID:      	210  

    Clique na imagem para uma versão maior

Nome:	         drop winbox2.JPG
Visualizações:	210
Tamanho: 	20,5 KB
ID:      	211  

  2. #2

    Padrão

    Perfeito! Parabéns pela excelente idéia. Tenho certeza que a maioria vai se interessar.
    Valeu, e obrigado em nome de todos!



  3. #3

    Padrão

    opa,

    Pois então, a idéia é encontrar soluções para possíveis situações que complicam com a vida de todos nós (acho que que uma delas é esse tipo de ataque, que acredito que tenha pouco efeito, com relação ao cara conseguir invadir em si, mas isso acaba comprometendo o nosso link, quando se tem 10, ou 20 ataques simultâneos).

    Falow.

  4. #4

    Padrão

    Aqui analiso todas as logs e nunca apareceu uma tentativa de ataque pela porta 8291 ou 80, somente na 22 e 23 (ssh), e para eliminar isso, somente coloquei o IP da minha rede com direito de acesso... Desde então não apareceu mais nada na log.. No seu caso, Josevaldo, aparece na log somente um erro de user/senha no acesso pelo WInbox?



  5. #5

  6. #6

    Padrão

    Let´s Rock man !! Massa, bem lembrado.



  7. #7
    Moderador Avatar de ederamboni
    Ingresso
    Oct 2004
    Localização
    Montes Claros
    Posts
    880
    Posts de Blog
    13

    Padrão

    eu fiz um pouco diferente contra ataques na porta 80 eu mudei ela cetei por exemplo que pra acessar via web o cara tem que digitar por exemplo 192.168.1.1:8080 ai ele consegue acesar e agora pra ssh mudei a porta tbm exemplo 2222 e telnet tbm 2323 sabe coisas simples que complica mais a vida de alguns espertinhos nao e verdade???
    abracos

  8. #8

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    publica a dica no wiki
    Alexandre,
    Vou ver se consigo publicar no wiki então... tentarei não sei se consigo



  9. #9

    Padrão

    Citação Postado originalmente por ederamboni Ver Post
    eu fiz um pouco diferente contra ataques na porta 80 eu mudei ela cetei por exemplo que pra acessar via web o cara tem que digitar por exemplo 192.168.1.1:8080 ai ele consegue acesar e agora pra ssh mudei a porta tbm exemplo 2222 e telnet tbm 2323 sabe coisas simples que complica mais a vida de alguns espertinhos nao e verdade???
    abracos
    eder,
    É isso ae irmão, mudando a porta já dificulta e muito a vida desses caras, porem geralmente acompanhado do brute force, eles lanção mão de um port scanner, que com certeza descobrirá que porta responde no servidor.
    Mas como vc mesmo falou mudar a porta já ajuda bastante

  10. #10
    Moderador Avatar de ederamboni
    Ingresso
    Oct 2004
    Localização
    Montes Claros
    Posts
    880
    Posts de Blog
    13

    Padrão

    e verdade nao e 100% mas pros que se acham os bons e nao sabem quase nada nao encomodao mais ....