Để phát hiện và xem người dùng nào đang cố gắng thực hiện một cuộc tấn công vũ phu vào bộ định tuyến MikroTik, bạn có thể xem lại nhật ký hệ thống, nơi ghi lại các nỗ lực truy cập và hoạt động đáng ngờ.
Các cuộc tấn công bạo lực thường được đặc trưng bởi nhiều lần đăng nhập không thành công trong một khoảng thời gian ngắn. MikroTik RouterOS khá mạnh mẽ về khả năng ghi nhật ký, cung cấp thông tin chi tiết có thể giúp bạn xác định loại hành vi bất thường này.
Các bước để kiểm tra nhật ký tấn công Brute Force:
- Truy cập vào hồ sơ (Nhật ký):
- Từ WinBox: Bạn có thể truy cập nhật ký bằng cách chọn “Nhật ký” trong menu chính. Điều này sẽ hiển thị cho bạn danh sách các sự kiện gần đây, bao gồm cả các lần đăng nhập.
- Theo thiết bị đầu cuối: Sử dụng lệnh
/log print
để xem nhật ký. Bạn có thể lọc theo các loại sự kiện cụ thể nếu bạn đang tìm kiếm điều gì đó cụ thể, chẳng hạn như số lần đăng nhập.
- Tìm kiếm sự kiện đăng nhập thất bại: Tìm kiếm nhật ký cho các mục cho biết các lần đăng nhập không thành công. Những thông tin này thường được gắn nhãn với các thông báo như “đăng nhập thất bại” và có thể bao gồm địa chỉ IP của nguồn của lần đăng nhập đó.
- Xác định các kiểu tấn công Brute Force: Một cuộc tấn công vũ phu được đặc trưng bởi nhiều lần đăng nhập không thành công từ cùng một địa chỉ IP hoặc một dải IP trong một khoảng thời gian ngắn. Xem lại nhật ký để xác định các mẫu như vậy.
Hành động bổ sung:
- Chặn các địa chỉ IP đáng ngờ: Bạn có thể tạo quy tắc trong tường lửa MikroTik để chặn các địa chỉ IP cụ thể mà bạn cho rằng đang cố gắng tấn công vũ phu.
- Kích hoạt danh sách đen động: Hãy cân nhắc sử dụng danh sách đen động để tự động chặn các địa chỉ IP đang cố gắng tấn công vũ phu.
- Thay đổi cổng dịch vụ tiêu chuẩn: Việc thay đổi số cổng cho các dịch vụ như SSH, Winbox và WebFig thành các cổng không chuẩn có thể giúp giảm các cuộc tấn công vũ phu.
- Giới hạn số lần đăng nhập thất bại: MikroTik cho phép bạn đặt giới hạn số lần đăng nhập không thành công trước khi tạm thời chặn quyền truy cập từ địa chỉ IP đáng ngờ.
- Kích hoạt xác thực hai yếu tố (2FA): Nếu có thể, hãy bật xác thực hai yếu tố để cải thiện tính bảo mật.
Giám sát nhật ký bộ định tuyến MikroTik thường xuyên là một phương pháp được khuyến nghị để duy trì tính bảo mật cho mạng của bạn. Bằng cách nhanh chóng xác định và ứng phó với các cuộc tấn công vũ phu, bạn có thể bảo vệ mạng của mình khỏi bị truy cập trái phép và các lỗ hổng tiềm ẩn.
Không có thẻ cho bài viết này.