Как настроить и защитить Mikrotik от перебора паролей SSH и FTP?

Mikrotik

Как настроить роутер, чтобы не дать злоумышленнику сделать перебор паролей bruteforce к Mikrotik? Как защитить Mikrotik и не дать осуществить подбор пароля к FTP?

Доступ к настройкам Mikrotik можно осуществлять несколькими способами — через псевдо графический интерфейс WinBox — порт 8291, через локаль (имея физический доступ). Через веб интерфейс (www) — порт 80. И конецно как у всех Linux-подобных систем у Mikrotik имеется доступ через SSH ( порт 22). Вот как раз о защите SSH и пойдёт реч…Защитить Mikrotik от перебора паролей SSH и FTP просто, а именно:

Правила в Mikrotik добавляем через консоль, либо через WinBox:
Разрешаем не более 10 не правильных попыток ввода пароля к FTP серверу, в минуту, с последующей блокировкой на 1 час:

ip firewall filter add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment=»drop ftp brute forcers»
ip firewall filter add chain=output action=accept protocol=tcp content=»530 Login incorrect» dst-limit=1/1m,9,dst-address/1m
ip firewall filter add chain=output action=add-dst-to-address-list protocol=tcp content=»530 Login incorrect» address-list=ftp_blacklist address-list-timeout=1h

Для SSH — разрешаем перебор не более 1 минуты с последующей блокировкой на 3 часа ( 3 h, 3 дня — 3d ) по желанию:

ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment=»drop ssh brute forcers» disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=3h comment=»» disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment=»» disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=»» disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment=»» disabled=no

Затем, для наглядности через WinBox, передвигаем их в нужное место.

 

2 thoughts on “Как настроить и защитить Mikrotik от перебора паролей SSH и FTP?

  1. Хороший маршрутизатор! А где такой купить сейчас можно? Просто по-зарез нужно разграничить периметр безопасности 1С-сервера и VPN-клиента? Так где такой купить можно?

  2. Такой купить можно в магазине.

Comments are closed.