Pour détecter et voir quels utilisateurs tentent de mener une attaque par force brute sur un routeur MikroTik, vous pouvez consulter les journaux système, où sont enregistrées les tentatives d'accès et les activités suspectes.
Les attaques par force brute se caractérisent généralement par de nombreuses tentatives de connexion infructueuses sur une courte période de temps. MikroTik RouterOS est assez robuste dans ses capacités de journalisation, fournissant des détails qui peuvent vous aider à identifier ce type de comportement anormal.
Étapes pour vérifier les journaux d’attaque par force brute :
- Accès aux enregistrements (journaux) :
- Depuis WinBox : Vous pouvez accéder aux journaux en sélectionnant « Journal » dans le menu principal. Cela vous montrera une liste des événements récents, y compris les tentatives de connexion.
- Par terminal : Utilisez la commande
/log print
pour afficher les journaux. Vous pouvez filtrer par types d'événements spécifiques si vous recherchez quelque chose en particulier, comme des tentatives de connexion.
- Rechercher des événements d’échec de connexion : Recherchez dans les journaux les entrées indiquant des tentatives de connexion ayant échoué. Ceux-ci seront souvent étiquetés avec des messages tels que « échec de connexion » et peuvent inclure l'adresse IP de la source de la tentative d'accès.
- Identifiez les modèles d’attaque par force brute : Une attaque par force brute se caractérise par plusieurs tentatives de connexion infructueuses à partir de la même adresse IP ou d’une plage d’adresses IP sur une courte période de temps. Consultez les journaux pour identifier de tels modèles.
Actions supplémentaires :
- Bloquer les adresses IP suspectes : Vous pouvez créer des règles dans le pare-feu MikroTik pour bloquer des adresses IP spécifiques qui, selon vous, tentent des attaques par force brute.
- Activer la liste noire dynamique : Pensez à utiliser des listes noires dynamiques pour bloquer automatiquement les adresses IP tentant des attaques par force brute.
- Modifier les ports de service standard : Changer les numéros de port de services tels que SSH, Winbox et WebFig en ports non standard peut aider à réduire les attaques par force brute.
- Limiter les tentatives de connexion échouées : MikroTik vous permet de définir une limite sur le nombre de tentatives de connexion infructueuses avant de bloquer temporairement l'accès à partir de l'adresse IP suspecte.
- Activer l'authentification à deux facteurs (2FA) : Si possible, activez l'authentification à deux facteurs pour améliorer la sécurité.
La surveillance régulière des journaux de votre routeur MikroTik est une pratique recommandée pour maintenir la sécurité de votre réseau. En identifiant et en répondant rapidement aux attaques par force brute, vous pouvez protéger votre réseau contre les accès non autorisés et les vulnérabilités potentielles.
Il n'y a aucun tag pour ce message.