Per rilevare e vedere quali utenti stanno tentando di effettuare un attacco di forza bruta su un router MikroTik, è possibile esaminare i log di sistema, dove vengono registrati i tentativi di accesso e le attività sospette.

Gli attacchi di forza bruta sono generalmente caratterizzati da numerosi tentativi di accesso falliti in un breve periodo di tempo. MikroTik RouterOS è abbastanza robusto nelle sue capacità di registrazione, fornendo dettagli che possono aiutarti a identificare questo tipo di comportamento anomalo.

Passaggi per controllare i registri degli attacchi di forza bruta:

1. Accesso ai record (registri):
   • Da WinBox: È possibile accedere ai registri selezionando “Registro” nel menu principale. Questo ti mostrerà un elenco degli eventi recenti, inclusi i tentativi di accesso.
   • Per terminale: Usa il comando /log print per visualizzare i log. Puoi filtrare per tipi di eventi specifici se stai cercando qualcosa in particolare, come i tentativi di accesso.
2. Cerca eventi di accesso non riusciti: Cerca nei registri le voci che indicano tentativi di accesso non riusciti. Questi verranno spesso etichettati con messaggi come "errore di accesso" e potrebbero includere l'indirizzo IP della fonte del tentativo di accesso.
3. Identificare i modelli di attacco di forza bruta: Un attacco di forza bruta è caratterizzato da più tentativi di accesso falliti dallo stesso indirizzo IP o da un intervallo di IP in un breve periodo di tempo. Esaminare i registri per identificare tali modelli.

Azioni aggiuntive:

• Blocca indirizzi IP sospetti: Puoi creare regole nel firewall MikroTik per bloccare specifici indirizzi IP che ritieni stiano tentando attacchi di forza bruta.
• Abilita lista nera dinamica: Prendi in considerazione l'utilizzo di liste nere dinamiche per bloccare automaticamente gli indirizzi IP che tentano attacchi di forza bruta.
• Modifica porte di servizio standard: La modifica dei numeri di porta per servizi come SSH, Winbox e WebFig in porte non standard può aiutare a ridurre gli attacchi di forza bruta.
• Limita i tentativi di accesso non riusciti: MikroTik ti consente di impostare un limite al numero di tentativi di accesso falliti prima di bloccare temporaneamente l'accesso dall'indirizzo IP sospetto.
• Abilita l'autenticazione a due fattori (2FA): Se possibile, abilita l'autenticazione a due fattori per migliorare la sicurezza.

Monitorare regolarmente i registri del router MikroTik è una pratica consigliata per mantenere la sicurezza della tua rete. Identificando e rispondendo rapidamente agli attacchi di forza bruta, puoi proteggere la tua rete da accessi non autorizzati e potenziali vulnerabilità.