ในการตรวจจับและดูว่าผู้ใช้รายใดกำลังพยายามโจมตีเราเตอร์ MikroTik อย่างดุร้าย คุณสามารถตรวจสอบบันทึกของระบบซึ่งมีการบันทึกความพยายามในการเข้าถึงและกิจกรรมที่น่าสงสัย
การโจมตีแบบ Brute Force มีลักษณะเฉพาะคือการพยายามเข้าสู่ระบบที่ล้มเหลวหลายครั้งในช่วงเวลาสั้นๆ MikroTik RouterOS ค่อนข้างแข็งแกร่งในความสามารถในการบันทึก โดยให้รายละเอียดที่สามารถช่วยคุณระบุพฤติกรรมที่ผิดปกติประเภทนี้ได้
ขั้นตอนในการตรวจสอบบันทึกการโจมตีแบบ Brute Force:
- การเข้าถึงบันทึก (บันทึก):
- จาก WinBox: คุณสามารถเข้าถึงบันทึกได้โดยเลือก "บันทึก" ในเมนูหลัก นี่จะแสดงรายการกิจกรรมล่าสุด รวมถึงความพยายามในการเข้าสู่ระบบ
- โดยอาคารผู้โดยสาร: ใช้คำสั่ง
/log print
เพื่อดูบันทึก คุณสามารถกรองตามประเภทเหตุการณ์ที่เจาะจงได้หากคุณกำลังมองหาสิ่งที่เฉพาะเจาะจง เช่น การพยายามเข้าสู่ระบบ
- ค้นหาเหตุการณ์การเข้าสู่ระบบที่ล้มเหลว: ค้นหาบันทึกสำหรับรายการที่บ่งชี้ถึงความพยายามในการเข้าสู่ระบบที่ล้มเหลว สิ่งเหล่านี้มักจะมีป้ายกำกับด้วยข้อความ เช่น “การเข้าสู่ระบบล้มเหลว” และอาจรวมถึงที่อยู่ IP ของแหล่งที่มาของความพยายามในการเข้าถึง
- ระบุรูปแบบการโจมตีแบบ Brute Force: การโจมตีแบบ bruteforce มีลักษณะเฉพาะคือการพยายามเข้าสู่ระบบที่ล้มเหลวหลายครั้งจากที่อยู่ IP เดียวกันหรือช่วงของ IP ภายในระยะเวลาอันสั้น ตรวจสอบบันทึกเพื่อระบุรูปแบบดังกล่าว
การดำเนินการเพิ่มเติม:
- บล็อกที่อยู่ IP ที่น่าสงสัย: คุณสามารถสร้างกฎในไฟร์วอลล์ MikroTik เพื่อบล็อกที่อยู่ IP เฉพาะที่คุณคิดว่ากำลังพยายามโจมตีแบบดุร้าย
- เปิดใช้งานบัญชีดำแบบไดนามิก: พิจารณาใช้บัญชีดำแบบไดนามิกเพื่อบล็อกที่อยู่ IP ที่พยายามโจมตีแบบดุร้ายโดยอัตโนมัติ
- เปลี่ยนพอร์ตบริการมาตรฐาน: การเปลี่ยนหมายเลขพอร์ตสำหรับบริการต่างๆ เช่น SSH, Winbox และ WebFig เป็นพอร์ตที่ไม่ได้มาตรฐานสามารถช่วยลดการโจมตีแบบ Brute Force ได้
- การจำกัดความพยายามในการเข้าสู่ระบบล้มเหลว: MikroTik ช่วยให้คุณสามารถกำหนดขีดจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบที่ล้มเหลวก่อนที่จะบล็อกการเข้าถึงจากที่อยู่ IP ที่น่าสงสัยชั่วคราว
- เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย (2FA): หากเป็นไปได้ ให้เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยเพื่อปรับปรุงความปลอดภัย
การตรวจสอบบันทึกของเราเตอร์ MikroTik เป็นประจำเป็นแนวทางปฏิบัติที่แนะนำเพื่อรักษาความปลอดภัยของเครือข่ายของคุณ ด้วยการระบุและตอบสนองต่อการโจมตีแบบ bruteforce อย่างรวดเร็ว คุณสามารถปกป้องเครือข่ายของคุณจากการเข้าถึงที่ไม่ได้รับอนุญาตและช่องโหว่ที่อาจเกิดขึ้นได้
ไม่มีแท็กสำหรับโพสต์นี้