Найти в Дзене
ЧереПашка
2 подписчика

Блокировка RDP от перебора паролей средствами #mikrotik

24
2 мин
Сегодня  хотел поделится информацией которое в свое время мне помогла победить  перебор паролей на серверы у которых открыты порта на RDP 3389. И так начну свой рассказ. В  последнее время все кому не лень подбирают пароли к удаленному   рабочему столу и другим открытым сервисам. Есть разные способы   блокировки этого, например такой. Открываем Winbox и переходим в Терминал. В него по одной строчке вставляем следующий код: /ip firewall filter add action=reject chain=forward comment="Block RDP bruteforce" log=yes \    log-prefix="Blocked - " reject-with=icmp-network-unreachable \    src-address-list="Blocked bruteforcers" add action=add-src-to-address-list address-list="Blocked bruteforcers" \    address-list-timeout=60m chain=forward comment="RDP bruteforce stage4" \    connection-state=new dst-port=3389 log=yes log-prefix=\    "RDP BRUTEFORCE - " protocol=tcp src-address-list=rdp_bruteforce3 add action=add-src-to-address-list address-list=rdp_bruteforce3 \    address-list-tim

Сегодня  хотел поделится информацией которое в свое время мне помогла победить  перебор паролей на серверы у которых открыты порта на RDP 3389. И так начну свой рассказ. В  последнее время все кому не лень подбирают пароли к удаленному   рабочему столу и другим открытым сервисам. Есть разные способы   блокировки этого, например такой.

Открываем Winbox и переходим в Терминал.

терминал микротик
терминал микротик

В него по одной строчке вставляем следующий код:

/ip firewall filter

add action=reject chain=forward comment="Block RDP bruteforce" log=yes \    log-prefix="Blocked - " reject-with=icmp-network-unreachable \    src-address-list="Blocked bruteforcers"

add action=add-src-to-address-list address-list="Blocked bruteforcers" \    address-list-timeout=60m chain=forward comment="RDP bruteforce stage4" \    connection-state=new dst-port=3389 log=yes log-prefix=\    "RDP BRUTEFORCE - " protocol=tcp src-address-list=rdp_bruteforce3

add action=add-src-to-address-list address-list=rdp_bruteforce3 \    address-list-timeout=15m chain=forward comment="RDP bruteforce stage3" \    connection-state=new dst-port=3389 log=yes log-prefix=\    "RDP BRUTEFORCE - STAGE3 - " protocol=tcp src-address-list=rdp_bruteforce2

add action=add-src-to-address-list address-list=rdp_bruteforce2 \    address-list-timeout=15m chain=forward comment="RDP bruteforce stage2" \    connection-state=new dst-port=3389 log=yes log-prefix=\    "RDP BRUTEFORCE - STAGE2 - " protocol=tcp src-address-list=rdp_bruteforce1

add action=add-src-to-address-list address-list=rdp_bruteforce1 \    address-list-timeout=15m chain=forward comment="RDP bruteforce stage1" \    connection-state=new dst-port=3389 log=yes log-prefix=\    "RDP BRUTEFORCE - STAGE1 -" protocol=tcp

Как это будет выглядеть в терминале
Как это будет выглядеть в терминале

Объясняю что мы сделали. При попытке подключения атакующий ip записывается в список  rdp_bruteforce1 на указанный в address-list-timeout  промежуток времени.  При второй попытке подключения этот ip  записывается в rdp_bruteforce2,  при третьей — rdp_bruteforce3. При  следующих попытках он попадает в  список Blocked bruteforcers и  блокируется.

Блокированные адреса
Блокированные адреса

Надо обратить внимание, что в dst-port  должен указываться не внешний  порт подключения, а конечный порт, на  который пробрасывается соединение.  Допустим, если для подключения по  RDP используется внешний  нестандартный порт 6000, который  пробрасывается на порт 3389  внутреннего сервера, то в dst-port нужно  указать 3389, а не 6000. Ну  все. Теперь Ваше RDP соединение будет иметь хоть какую то но  блокировку. Так же не забывайте указывать на стандартные логины не  стандартные пароли , лучше использовать генераторы с различными  символами. Спасибо  что прочитали, надеюсь для Вас это было полезно. Не забываем поставить  лайк и подписаться.