Um zu erkennen und zu sehen, welche Benutzer versuchen, einen Brute-Force-Angriff auf einen MikroTik-Router durchzuführen, können Sie die Systemprotokolle überprüfen, in denen Zugriffsversuche und verdächtige Aktivitäten aufgezeichnet werden.

Brute-Force-Angriffe zeichnen sich typischerweise durch zahlreiche fehlgeschlagene Anmeldeversuche innerhalb kurzer Zeit aus. MikroTik RouterOS verfügt über recht robuste Protokollierungsfunktionen und liefert Details, die Ihnen bei der Identifizierung dieser Art von anomalem Verhalten helfen können.

Schritte zum Überprüfen von Brute-Force-Angriffsprotokollen:

1. Zugriff auf Aufzeichnungen (Protokolle):
   • Von WinBox: Sie können auf die Protokolle zugreifen, indem Sie im Hauptmenü „Protokoll“ auswählen. Dadurch wird Ihnen eine Liste der letzten Ereignisse angezeigt, einschließlich der Anmeldeversuche.
   • Per Terminal: Verwenden Sie den Befehl /log print um die Protokolle anzuzeigen. Sie können nach bestimmten Ereignistypen filtern, wenn Sie nach etwas Bestimmtem suchen, beispielsweise nach Anmeldeversuchen.
2. Nach fehlgeschlagenen Anmeldeereignissen suchen: Durchsuchen Sie die Protokolle nach Einträgen, die auf fehlgeschlagene Anmeldeversuche hinweisen. Diese werden häufig mit Meldungen wie „Anmeldefehler“ gekennzeichnet und können die IP-Adresse der Quelle des Anmeldeversuchs enthalten.
3. Identifizieren Sie Brute-Force-Angriffsmuster: Ein Brute-Force-Angriff ist durch mehrere fehlgeschlagene Anmeldeversuche von derselben IP-Adresse oder einem Bereich von IPs innerhalb kurzer Zeit gekennzeichnet. Überprüfen Sie die Protokolle, um solche Muster zu identifizieren.

Zusätzliche Aktionen:

• Blockieren Sie verdächtige IP-Adressen: Sie können in der MikroTik-Firewall Regeln erstellen, um bestimmte IP-Adressen zu blockieren, von denen Sie glauben, dass sie Brute-Force-Angriffe versuchen.
• Dynamische Blacklist aktivieren: Erwägen Sie die Verwendung dynamischer Blacklists, um IP-Adressen, die Brute-Force-Angriffe versuchen, automatisch zu blockieren.
• Standard-Service-Ports ändern: Das Ändern der Portnummern für Dienste wie SSH, Winbox und WebFig in nicht standardmäßige Ports kann dazu beitragen, Brute-Force-Angriffe zu reduzieren.
• Begrenzen Sie fehlgeschlagene Anmeldeversuche: Mit MikroTik können Sie die Anzahl der fehlgeschlagenen Anmeldeversuche begrenzen, bevor Sie den Zugriff von der verdächtigen IP-Adresse vorübergehend blockieren.
• Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA): Aktivieren Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung, um die Sicherheit zu verbessern.

Die regelmäßige Überwachung der Protokolle Ihres MikroTik-Routers wird empfohlen, um die Sicherheit Ihres Netzwerks zu gewährleisten. Indem Sie Brute-Force-Angriffe schnell erkennen und darauf reagieren, können Sie Ihr Netzwerk vor unbefugtem Zugriff und potenziellen Schwachstellen schützen.