Per rilevare e vedere quali utenti stanno tentando di effettuare un attacco di forza bruta su un router MikroTik, è possibile esaminare i log di sistema, dove vengono registrati i tentativi di accesso e le attività sospette.
Gli attacchi di forza bruta sono generalmente caratterizzati da numerosi tentativi di accesso falliti in un breve periodo di tempo. MikroTik RouterOS è abbastanza robusto nelle sue capacità di registrazione, fornendo dettagli che possono aiutarti a identificare questo tipo di comportamento anomalo.
Passaggi per controllare i registri degli attacchi di forza bruta:
- Accesso ai record (registri):
- Da WinBox: È possibile accedere ai registri selezionando “Registro” nel menu principale. Questo ti mostrerà un elenco degli eventi recenti, inclusi i tentativi di accesso.
- Per terminale: Usa il comando
/log print
per visualizzare i log. Puoi filtrare per tipi di eventi specifici se stai cercando qualcosa in particolare, come i tentativi di accesso.
- Cerca eventi di accesso non riusciti: Cerca nei registri le voci che indicano tentativi di accesso non riusciti. Questi verranno spesso etichettati con messaggi come "errore di accesso" e potrebbero includere l'indirizzo IP della fonte del tentativo di accesso.
- Identificare i modelli di attacco di forza bruta: Un attacco di forza bruta è caratterizzato da più tentativi di accesso falliti dallo stesso indirizzo IP o da un intervallo di IP in un breve periodo di tempo. Esaminare i registri per identificare tali modelli.
Azioni aggiuntive:
- Blocca indirizzi IP sospetti: Puoi creare regole nel firewall MikroTik per bloccare specifici indirizzi IP che ritieni stiano tentando attacchi di forza bruta.
- Abilita lista nera dinamica: Prendi in considerazione l'utilizzo di liste nere dinamiche per bloccare automaticamente gli indirizzi IP che tentano attacchi di forza bruta.
- Modifica porte di servizio standard: La modifica dei numeri di porta per servizi come SSH, Winbox e WebFig in porte non standard può aiutare a ridurre gli attacchi di forza bruta.
- Limita i tentativi di accesso non riusciti: MikroTik ti consente di impostare un limite al numero di tentativi di accesso falliti prima di bloccare temporaneamente l'accesso dall'indirizzo IP sospetto.
- Abilita l'autenticazione a due fattori (2FA): Se possibile, abilita l'autenticazione a due fattori per migliorare la sicurezza.
Monitorare regolarmente i registri del router MikroTik è una pratica consigliata per mantenere la sicurezza della tua rete. Identificando e rispondendo rapidamente agli attacchi di forza bruta, puoi proteggere la tua rete da accessi non autorizzati e potenziali vulnerabilità.
Non ci sono tag per questo post.