Tentativa de invasão no Mikrotik

[maumcq]

Bom dia a todos, como é rotina essa manhã fui visualizar o log no servidor e me deparei com a tentativa de invasão pela porta ssh por 2 ips diferentes, fiquei acompanhando os logs gerados no momento por uns 10min, acho que isso aconteceu a noite toda através de programas que tipo bforce.

Resolvir então trocar as portas do ssh e telnet e implementei no firewall regras que bloqueiam o acesso ao mkt pela net.

/ ip firewall filter

add chain=input in-interface=pppoe-out1 protocol=tcp dst-port=22 action=drop comment="Bloq ssh + telnet pela net" \
disabled=no
add chain=input in-interface=pppoe-out1 protocol=tcp dst-port=nova-porta action=drop comment="" disabled=no
add chain=input in-interface=pppoe-out1 protocol=tcp dst-port=23 action=drop comment="" disabled=no
add chain=input in-interface=pppoe-out1 protocol=tcp dst-port=nova-porta action=drop comment="" disabled=no

Espero que ter ajudado e que vocês postem novas soluções para esses ataques

Será que tem como o mkt informar quando houver tentativas de invasão ou até mesmo quando um admin logar nele??? Sem precisar está consultando o log por rotina, pois comumente consulto todas as manhãs e noites.

[sergio]

Tem sim. Acesse o wiki do Mikrotik e veja uns exemplos de bloqueio de brute force para ssh e ftp. No exemplo além de negar o acesso, é adicionado o IP do atacante a uma black list (address list) por um determinado período.