comradeRecky
@comradeRecky
и швец, и жнец, и на дуде игрец

Бан адресов из лога неудачных попыток авторизации?

Всем доброго времени суток.
Возникла такая ситуация: некий телефон из DHCP-диапазона пытается залогиниться на веб-морде шлюза раз в 10-15сек. Очевидно, что телефон с какой-то дрянью. Иду в Filter Rules и прописываю дропы по этому MAC-у.
Естественно, что решение так себе. Хотелось бы узнать, как лучше защитить дорогой душе микротик от таких методов перебора внутри локалки и есть ли у Вас рабочие способы это автоматизировать?
  • Вопрос задан
  • 258 просмотров
Решения вопроса 1
@nApoBo3
1. Изолированная сеть управления.
2. При попытке обратиться в одному из небезопасных портов( 20,21,22,23,25,110,465,993,3389,5160,8291 добавить по вкусу ) из любых иных сетей помещаем его в address list на определенное время( например сутки )
3. Все соединения из данного address list блокируем.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
По таким исходным данным могу предложить два пути:
- скрипт анализирует лог, ищет неудачные попытки входа и вносит в черный список
- почитайте про port knocking
Ответ написан
karabanov
@karabanov
Системный администратор
Рекомендую ознакомиться https://www.youtube.com/watch?v=wGDTWaDL8jc
Про fail2ban там тоже есть.
Ответ написан
Комментировать
Diman89
@Diman89
На вики микротика была статья bruteforce login prevention
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы