web-dev-qa-db-ja.com

Winbox経由のmikrotikルーターでのRDPログオン総当たり攻撃を防止

マスターズ、

RDPブルートフォース攻撃をブロックするようにルーターを構成する方法についてサポートが必要です

ルーターを指定した国(指定したIP範囲)からのRDP接続のみを許可するように設定します。さらに、ルーターを設定して(ipsをブラックリストに入れ)、ブルートフォースattepmstを指定したポート番号にドロップする必要があります。

Ftpポートをrdpポートに変更してこれを設定しようとします。

http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention_%28FTP_%26_SSH

任意の提案tnx。

H

現在の構成:

Winbox経由でルーターを設定しようとしています。

NATルール(dyndnsからローカルアドレス、rdpポート)を設定しました)

フィルタールールタブ:

enter image description here

  • この構成でうまくいくかわかりませんか?!コンテンツテキスト「530ログインが正しくありません」はRDP接続に適していますか? FTP接続のフィルタリングに使用されるチュートリアルであるため。
  • 指定されたIP範囲からのRDP試行を許可するようにルーターを設定するにはどうすればよいですか?

ありがとうございました

//新しい構成

enter image description here

2
holian

FTP構成は、実際にFTPデータを調べて530コードを確認しています。 FTP構成ではなくSSH構成を採用することをお勧めします。これを試して:

add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop \
comment="drop rdp brute forcers" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist \
address-list-timeout=10d comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 \
action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=3389 connection-state=new action=add-src-to-address-list \
address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no

この構成が実際に行うことは、着信試行ごとにIPアドレスをリストに追加することです。初めてstage1に追加されたとき、IPがまだstage1にあり(1分後)、もう一度試行されると、stage2に追加され、さらに2回追加された後、rdp_blacklistリストに追加されます。実際には10日間ブロックされます。

多かれ少なかれ積極的にしたい場合は、リストのタイムアウトを変更したり、必要に応じてリストを追加したりすることもできます。

これらのリストを追加して、特定のIP範囲のみを許可できます。

add chain=forward dst-port=3389 src-address=192.168.0.0/24 action=accept
add chain=forward dst-port=3389 src-address=10.10.0.1/32 action=accept
add chain=forward dst-port=3389 action=drop

最後のドロップ行の前に、必要な数のsrc-address行を追加するだけです。範囲がたくさんある場合は、アドレスリストを作成し、これを使用してそれを参照できます。

add chain=forward dst-port=3389 src-address-list=rdp_acceptlist action=accept
add chain=forward dst-port=3389 action=drop

次に、アドレスをrdp_acceptlistに追加します

Rdp_acceptlistに追加するには、次のコマンドを使用します。

/ip firewall address-list add list=rdp_acceptlist address=192.168.0.0/24
6
Regan