Para detectar e ver quais usuários estão tentando realizar um ataque de força bruta em um roteador MikroTik, você pode revisar os logs do sistema, onde são registradas tentativas de acesso e atividades suspeitas.

Os ataques de força bruta são normalmente caracterizados por inúmeras tentativas de login malsucedidas em um curto período de tempo. MikroTik RouterOS é bastante robusto em seus recursos de registro, fornecendo detalhes que podem ajudá-lo a identificar esse tipo de comportamento anômalo.

Etapas para verificar os registros de ataque de força bruta:

1. Acesso aos Registros (Logs):
   • Do WinBox: Você pode acessar os registros selecionando “Log” no menu principal. Isso mostrará uma lista de eventos recentes, incluindo tentativas de login.
   • Por terminal: Use o comando /log print para visualizar os registros. Você pode filtrar por tipos de eventos específicos se estiver procurando algo em particular, como tentativas de login.
2. Pesquisar eventos de login com falha: Pesquise nos logs entradas que indiquem tentativas de login malsucedidas. Freqüentemente, eles serão rotulados com mensagens como “falha de login” e podem incluir o endereço IP da origem da tentativa de acesso.
3. Identifique padrões de ataque de força bruta: Um ataque de força bruta é caracterizado por múltiplas tentativas de login malsucedidas a partir do mesmo endereço IP ou de um intervalo de IPs em um curto período de tempo. Revise os logs para identificar esses padrões.

Ações Adicionais:

• Bloquear endereços IP suspeitos: Você pode criar regras no firewall MikroTik para bloquear endereços IP específicos que você acha que estão tentando ataques de força bruta.
• Ativar lista negra dinâmica: Considere o uso de listas negras dinâmicas para bloquear automaticamente endereços IP que tentam ataques de força bruta.
• Alterar portas de serviço padrão: Alterar os números das portas de serviços como SSH, Winbox e WebFig para portas não padrão pode ajudar a reduzir ataques de força bruta.
• Limitar tentativas de login com falha: MikroTik permite que você defina um limite para o número de tentativas de login malsucedidas antes de bloquear temporariamente o acesso do endereço IP suspeito.
• Habilite a autenticação de dois fatores (2FA): Se possível, habilite a autenticação de dois fatores para melhorar a segurança.

Monitorar regularmente os logs do roteador MikroTik é uma prática recomendada para manter a segurança da sua rede. Ao identificar e responder rapidamente a ataques de força bruta, você pode proteger sua rede contra acesso não autorizado e possíveis vulnerabilidades.