Proteção contra Ataques Brute Force!

[Josevaldo]

Olá gente,

Não sei se acontece com todos, mas tenho percebido que em certas ocasiões nossos servidores são constantemente atacados via brute force, sendo que os ips são dos mais variados locais, internacionais, inclusive, dessa forma procurei e implantei uma solução que evita que nossa máquina fique respondendo a esses ips.
A idéia é a seguinte, um brute force tenta desesperadamente encontrar um user e senha válidos para acessar, para isso ele faz inúmeras conexões simultâneas então olha o que eu fiz:

/ ip firewall filter
add chain=input protocol=tcp dst-port=8291 connection-limit=2,32 \
connection-state=established action=add-src-to-address-list \
address-list="drop winbox" address-list-timeout=12h comment="" \ disabled=no
add chain=input protocol=tcp dst-port=80 connection-limit=2,32 \
connection-state=established action=add-src-to-address-list \
address-list="drop winbox" address-list-timeout=12h comment="" disabled=no
add chain=input src-address-list="drop winbox" action=drop comment="" \
disabled=no

Olha só, do geito que fiz ao se fazer duas tentativas simultâneas, ou via winbox 8291, ou webbox 80 (poderia ser para outros serviços tipo, dtp, telnet, ou qualquer outra porta que você usa com algum sistema que utilize login e senha).
O ip de origem é jogado para uma lista (drop winbox, assim ficamos sabendo quem foi o bendito que tava querendo nos invadir).
E pro fim todos os ips que constarem dessa lista terão seu acesso negado por 12h desde a primeira tentativa.

[w4rh4ck3r]

Perfeito! Parabéns pela excelente idéia. Tenho certeza que a maioria vai se interessar.
Valeu, e obrigado em nome de todos!

[Josevaldo]

opa,

Pois então, a idéia é encontrar soluções para possíveis situações que complicam com a vida de todos nós (acho que que uma delas é esse tipo de ataque, que acredito que tenha pouco efeito, com relação ao cara conseguir invadir em si, mas isso acaba comprometendo o nosso link, quando se tem 10, ou 20 ataques simultâneos).

Falow.

[_AGM_]

Aqui analiso todas as logs e nunca apareceu uma tentativa de ataque pela porta 8291 ou 80, somente na 22 e 23 (ssh), e para eliminar isso, somente coloquei o IP da minha rede com direito de acesso... Desde então não apareceu mais nada na log.. No seu caso, Josevaldo, aparece na log somente um erro de user/senha no acesso pelo WInbox?

[alexandrecorrea]

publica a dica no wiki

[alamdias]

Let´s Rock man !! Massa, bem lembrado.

[ederamboni]

eu fiz um pouco diferente contra ataques na porta 80 eu mudei ela cetei por exemplo que pra acessar via web o cara tem que digitar por exemplo 192.168.1.1:8080 ai ele consegue acesar e agora pra ssh mudei a porta tbm exemplo 2222 e telnet tbm 2323 sabe coisas simples que complica mais a vida de alguns espertinhos nao e verdade???
abracos

[Josevaldo]

publica a dica no wiki

Alexandre,
Vou ver se consigo publicar no wiki então... tentarei não sei se consigo

[Josevaldo]

eu fiz um pouco diferente contra ataques na porta 80 eu mudei ela cetei por exemplo que pra acessar via web o cara tem que digitar por exemplo 192.168.1.1:8080 ai ele consegue acesar e agora pra ssh mudei a porta tbm exemplo 2222 e telnet tbm 2323 sabe coisas simples que complica mais a vida de alguns espertinhos nao e verdade???
abracos

eder,
É isso ae irmão, mudando a porta já dificulta e muito a vida desses caras, porem geralmente acompanhado do brute force, eles lanção mão de um port scanner, que com certeza descobrirá que porta responde no servidor.
Mas como vc mesmo falou mudar a porta já ajuda bastante

[ederamboni]

e verdade nao e 100% mas pros que se acham os bons e nao sabem quase nada nao encomodao mais ....