Hola a todos, compañeros.
Quiero compartir con vosotros un artículo de la wiki de mikrotik que me parece muy interesante. Consiste en crear unas líneas en el Firewall para evitar que los mikrotiks que tengamos con IPs públicas sean fruto de ataque por fuerza bruta (diccionario) para ssh y/o FTP.
Se puede copiar y pegar directamente en el terminal:
Para el ataque FTP:
/ip firewall filter
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
comment="drop ftp brute forcers"
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
address-list=ftp_blacklist address-list-timeout=3h
Los pasos que sigue consisten en:
1º: Todas aquellas direcciones que estén en ftp_blacklist las dropea.
2º: Para general la lista de direcciones: permite que una dirección reciba hasta 9 veces en un minuto el mensaje de "login incorrect" una vez superado la intentona, lo mete en lista negra.
para el caso de ssh:
/ip firewall filter
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute forcers" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=10d comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no
Sigue un proceso que busca el mismo objetivo, pero lo hace de distinta forma. El paso 1 hace lo mismo, los siguientes pasos lo que hacen es que las conexiones al puerto 22 según se crean (new) las mete en listas temporales por un minuto, y así crea hasta 3 listas temporales (3 intentos) al cuarto intento, si en menos de algo más de un minuto, lo intenta más de tres veces, lo mete en una definitiva por 10 días.
Realmente, interesante.
La fuente de información es: http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention_(FTP_%26_SSH)
Curso Mikrotik Mayo/Junio 2009 Madrid
Evitar acceso por fuerza bruta
4 mensajes • Página 1 de 1
Re: Evitar acceso por fuerza bruta
por overdrv » Mar May 26, 2009 7:11 pm
Estupendo: gran aporte.
Mañana lo pondré en mi mikrotik de cabecera!
Mañana lo pondré en mi mikrotik de cabecera!
Víctor De La Nuez
Consultor de telecomunicaciones
http://www.wificanarias.com
Tlf.: 922 32 64 31
No atiendo consultas privadas. Plantea tu duda en el foro.
Consultor de telecomunicaciones
http://www.wificanarias.com
Tlf.: 922 32 64 31
No atiendo consultas privadas. Plantea tu duda en el foro.
-
overdrv - Site Admin
- Mensajes: 131
- Registrado: Jue May 14, 2009 11:27 am
- Ubicación: Los Realejos / Santa Cruz De Tenerife
Re: Evitar acceso por fuerza bruta
por aprendiz » Mié Oct 21, 2009 6:26 am
bueno puedo acotar que el ataque por ssh lo puedes dropear el tiempo que estimes conveniente ya sea 1 dia, 1 semana, 1 mes. lo mismo puedes hacer con los ataques via ftp externos
- aprendiz
- Mensajes: 5
- Registrado: Mar Oct 20, 2009 6:06 am
Re: Evitar acceso por fuerza bruta
por juanmi » Mié Oct 21, 2009 9:19 am
Efectivamente, lo puedes controlar con "address-list-timeout=10d" y recordar que son listas dinámicas, si se reinicia el sistema, la lista desaparece.
- juanmi
- Mensajes: 56
- Registrado: Jue May 14, 2009 12:14 pm
- Ubicación: La red
4 mensajes • Página 1 de 1
¿Quién está conectado?
Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado