Mikrotik. Защищаем RDP от брутфорса

Список правил ниже, распостраняется на все порты TCP. 

Стоит сразу исключить доверенные IP, добавив в лист allow.

Так же исключить порты, например подключение к видео-регистратору, web-сайт и т.п. Т.к. подключение к ним может идти от куда угодно (например с телефона или планшета), с мобильного или любого другого интернета. Добавляем вручную, т.к. обычно проблемные порты обнаруживаются позже.

  • Если прилетает любой пакет с адреса, который находится в списке Bruteforcers, игнорируем его.
  • “Прилетает” новый пакет с нового адреса, который не находится ни в каком списке, мы его отправляем в список BruteForcers_Step1.
  • Прилетает опять новый пакет, если он находится в списке BruteForcers_Step1, добавляем его в список BruteForcers_Step2
  • Прилетает опять новый пакет, если он находится в списке BruteForcers_Step2, добавляем его в список BruteForcers_Step3
  • Прилетает опять новый пакет, если он находится в списке BruteForcers_Step14, добавляем его в список BruteForcers_Step15
  • Прилетает опять новый пакет, если он находится в списке BruteForcers_Step15, добавляем его в список Bruteforcers
Исключаем порты («!» воспринимается как «не»). Т.е. если бы мы хотели контролировать избранные порты, мы бы их явно указали (например 3389), а т.к. мы хотим все порты кроме избранных, ставим «не 443 и 8000».

На вкладке Advenced (так как на главной вкладке можно исключить только определенные IP) ставим «не» исходящий адрес-лист Allow, что бы наши IP по дефолту правило не блокировало. Например если админим сеть извне — у нас идет много подключений к серверам и оборудованию по разным портам.

Добавляем правила в Firewall:

/ip firewall filter

add action=drop chain=forward comment=»Block BruteForcers» in-interface-list=WAN src-address-list=BruteForcers
add action=jump chain=forward comment=»RDP. Go into the chain for detecting Bruteforcers» connection-state=new in-interface-list=WAN jump-target=BruteForcersDetect protocol=tcp
add action=add-src-to-address-list address-list=BruteForcers address-list-timeout=1d chain=BruteForcersDetect comment=»Adding an address to the list of Bruteforcers» log=yes src-address-list=BruteForcers_Step15
add action=add-src-to-address-list address-list=BruteForcers_Step15 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step15 src-address-list=BruteForcers_Step14
add action=add-src-to-address-list address-list=BruteForcers_Step14 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step14 src-address-list=BruteForcers_Step13
add action=add-src-to-address-list address-list=BruteForcers_Step13 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step13 src-address-list=BruteForcers_Step12
add action=add-src-to-address-list address-list=BruteForcers_Step12 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step12 src-address-list=BruteForcers_Step11
add action=add-src-to-address-list address-list=BruteForcers_Step11 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step11 src-address-list=BruteForcers_Step10
add action=add-src-to-address-list address-list=BruteForcers_Step10 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step10 src-address-list=BruteForcers_Step9
add action=add-src-to-address-list address-list=BruteForcers_Step9 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step9 src-address-list=BruteForcers_Step8
add action=add-src-to-address-list address-list=BruteForcers_Step8 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step8 src-address-list=BruteForcers_Step7
add action=add-src-to-address-list address-list=BruteForcers_Step7 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step7 src-address-list=BruteForcers_Step6
add action=add-src-to-address-list address-list=BruteForcers_Step6 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step6 src-address-list=BruteForcers_Step5
add action=add-src-to-address-list address-list=BruteForcers_Step5 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step5 src-address-list=BruteForcers_Step4
add action=add-src-to-address-list address-list=BruteForcers_Step4 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step4 src-address-list=BruteForcers_Step3
add action=add-src-to-address-list address-list=BruteForcers_Step3 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step3 src-address-list=BruteForcers_Step2
add action=add-src-to-address-list address-list=BruteForcers_Step2 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step2 src-address-list=BruteForcers_Step1
add action=add-src-to-address-list address-list=BruteForcers_Step1 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step1
add action=return chain=BruteForcersDetect comment=»End of chain and return.»

Оставить комментарий

Все права защищены.

Задавайте вопросы по электронной почте.