Per detectar i veure quins usuaris estan intentant fer un atac de força bruta en un router MikroTik, pots revisar els registres (logs) del sistema, on es registren els intents d'accés i les activitats sospitoses.

Els atacs de força bruta solen caracteritzar-se per nombrosos intents d'inici de sessió fallits en un període curt de temps. MikroTik RouterOS és força robust en les seves capacitats de registre, proporcionant detalls que et poden ajudar a identificar aquest tipus de comportament anòmal.

Passos per Verificar els Registres d'Atacs de Força Bruta:

1. Accés als Registres (Logs):
   • Des de WinBox: Pots accedir als registres seleccionant “Log” al menú principal. Això us mostrarà una llista d'esdeveniments recents, inclosos els intents d'inici de sessió.
   • Per Terminal: Utilitza la comanda /log print per veure els registres. Pots filtrar per tipus d'esdeveniments específics si cerques alguna cosa en particular, com intents d'accés.
2. Cerca Esdeveniments d'Inici de Sessió Fallits: Cerca als registres entrades que indiquin intents d'inici de sessió fallits. Aquests sovint estaran etiquetats amb missatges com a “login failure” i poden incloure l'adreça IP de l'origen de l'intent d'accés.
3. Identificar Patrons d'Atac de Força Bruta: Un atac de força bruta es caracteritza per múltiples intents dinici de sessió fallits des de la mateixa adreça IP o un rang dIP en un curt període de temps. Revisa els registres per identificar aquests patrons.

Accions Addicionals:

• Bloquejar Adreces IP Sospitoses: Pots crear regles al firewall de MikroTik per bloquejar adreces IP específiques que creguis que estan intentant atacs de força bruta.
• Habilitar Blacklist Dinàmic: Considera lús de llistes negres dinàmiques (dynamic blacklist) per bloquejar automàticament adreces IP que intenten atacs de força bruta.
• Canviar Ports de Servei Estàndard: Canviar els números de port per a serveis com SSH, Winbox, i WebFig a ports no estàndard pot ajudar a reduir els atacs de força bruta.
• Limitar Intents d'inici de sessió fallits: MikroTik us permet configurar un límit al nombre d'intents d'inici de sessió fallits abans de bloquejar temporalment l'accés des de l'adreça IP sospitosa.
• Habilitar l'Autenticació de Dos Factors (2FA): Si és possible, activeu l'autenticació de dos factors per millorar la seguretat.

Monitoritzar els registres del teu router MikroTik de manera regular és una pràctica recomanada per mantenir la seguretat de la teva xarxa. En identificar i respondre ràpidament als atacs de força bruta, pots protegir la teva xarxa contra accessos no autoritzats i possibles vulnerabilitats.