Bruteforce pieslēgšanās mēģinājumu bloķēšana

Bloķējam bruteforce paroļu pielasīšanas mēģinājumus Mikrotik rūterim.

Iekš /ip firewall filter:

Atļaujam slēgties baltajā sarakstā esošajiem klientiem.

add action=drop chain=input dst-port=80 protocol=tcp src-address-list=!whitelist
add chain=input dst-port=22 protocol=tcp src-address-list=whitelist

Nezināmiem klientiem atļaujam pāris mēģinājumus pieslēgties un ievadīt paroli. Ja klients neievada pareizi paroli, tad viņš tiek bloķēts. Piemērā - bloķēšana uz 10 dienām.

SSH:

add action=drop chain=input comment="drop ssh bruteforcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1h chain=input dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1h chain=input dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1h chain=input dst-port=22 protocol=tcp

Winbox:



Ping knocking

Kā variants, var nobloķēt visus pieslēgumus no visām adresēm izņemot balto sarakstu.

Ja gadījumā ir nepieciešamība pieslēgties no dinamiskām IP adresēm, tad veicam, vispirms, „pieklauvēšanu“ ar noteikta lieluma ICMP paketi. Ja tāda pakete nonāk rūterī, tad atļauto adrešu sarakstā pievienojas sūtītāja ip adrese uz 1 stundu.

/ip firewall filter
add action=add-src-to-address-list address-list=allow-ip address-list-timeout=1h chain=input packet-size=683 protocol=icmp

Jāpievērš uzmanība, ka paketes izmērs ir 683 baiti. Pingojot ir jānorāda par 28 baitiem mazāks izmērs. Dotajā gadījumā ping komanda no windows:

ping -l 655 myhostname.domain

Avots: https://habr.com/post/359038/