Mikrotik, blocco automatico IP sospetti:
In questo articolo voglio condividere una configurazione di sicurezza avanzata su Mikrotik che permette di monitorare e bloccare automaticamente gli IP che tentano accessi sospetti a porte comunemente scansionate.
Questa configurazione è utile per identificare bot e potenziali hacker che potrebbero provare a ottenere accesso alla rete attraverso porte frequentemente bersagliate, come SSH (22), Telnet (23) e HTTPS (443).
Per prima cosa, è molto importante assicurarsi che queste porte non siano in uso per servizi attivi nella rete.
Devono essere porte non utilizzate, per evitare che tentativi di accesso legittimi vengano bloccati.
Una volta verificato che queste porte non siano assegnate ad alcun servizio, è possibile procedere con l’implementazione della configurazione.
L’obiettivo è configurare Mikrotik per bloccare temporaneamente un IP al primo tentativo di accesso su una porta specifica (SSH, Telnet o HTTPS) per 30 minuti, mantenendo una lista di “controllo” per tracciare gli IP che hanno tentato un accesso, con un timeout di 30 giorni.
Al secondo tentativo entro 30 giorni, l’IP sospetto verrà bloccato definitivamente, aggiungendolo a una address-list di blocco permanente.
Questa configurazione permette di identificare gli IP con comportamenti potenzialmente pericolosi, bloccando in modo definitivo solo quelli che persistono nei tentativi di accesso.
Al primo tentativo di connessione su una delle porte monitorate, l’IP viene aggiunto alla lista honeypot_temp
per un blocco temporaneo di 30 minuti e inserito anche in una lista di controllo honeypot_check
per un periodo di 30 giorni.
Ho configurato queste regole per le porte 22 (SSH), 23 (Telnet) e 443 (HTTPS):
/ip firewall filter
add chain=input protocol=tcp dst-port=22 action=add-src-to-address-list address-list=honeypot_temp address-list-timeout=30m log=yes log-prefix=”SSH Temp Block:
add chain=input protocol=tcp dst-port=22 action=add-src-to-address-list address-list=honeypot_check address-list-timeout=30d log=yes log-prefix=”SSH Check List:
add chain=input protocol=tcp dst-port=23 action=add-src-to-address-list address-list=honeypot_temp address-list-timeout=30m log=yes log-prefix=”Telnet Temp Block:
add chain=input protocol=tcp dst-port=23 action=add-src-to-address-list address-list=honeypot_check address-list-timeout=30d log=yes log-prefix=”Telnet Check List:
add chain=input protocol=tcp dst-port=443 action=add-src-to-address-list address-list=honeypot_temp address-list-timeout=30m log=yes log-prefix=”HTTPS Temp Block:
add chain=input protocol=tcp dst-port=443 action=add-src-to-address-list address-list=honeypot_check address-list-timeout=30d log=yes log-prefix=”HTTPS Check List:
Queste regole permettono di bloccare temporaneamente l’IP per 30 minuti e di mantenerlo in monitoraggio per 30 giorni in honeypot_check
.
Se lo stesso IP tenta un nuovo accesso sulla stessa porta entro 30 giorni, viene aggiunto alla lista honeypot_block
in modo permanente, assicurando il blocco definitivo.
/ip firewall filter
add chain=input protocol=tcp dst-port=22 src-address-list=honeypot_check action=add-src-to-address-list address-list=honeypot_block address-list-timeout=0 log=yes log-prefix=”SSH Permanent Block:
add chain=input protocol=tcp dst-port=23 src-address-list=honeypot_check action=add-src-to-address-list address-list=honeypot_block address-list-timeout=0 log=yes log-prefix=”Telnet Permanent Block:
add chain=input protocol=tcp dst-port=443 src-address-list=honeypot_check action=add-src-to-address-list address-list=honeypot_block address-list-timeout=0 log=yes log-prefix=”HTTPS Permanent Block:
Infine, ho aggiunto due regole di blocco per impedire l’accesso agli IP presenti nelle liste honeypot_temp
(blocco temporaneo) e honeypot_block
(blocco permanente).
/ip firewall filter
add chain=input src-address-list=honeypot_temp action=drop log=yes log-prefix=”Temp Drop:
add chain=input src-address-list=honeypot_block action=drop log=yes log-prefix=”Permanent Drop:
Infine, per ciascuna di queste regole, è utile selezionare anche l’interfaccia di ingresso (in-interface
) o, in alternativa, l’elenco di interfacce (in-interface-list
)
Questa configurazione mi ha permesso di bloccare automaticamente gli IP che tentano di accedere a porte comunemente scansionate, riducendo così il rischio di accessi non autorizzati.
Implementare questa configurazione su Mikrotik mi ha fornito una sicurezza aggiuntiva contro tentativi di intrusione, rendendo la rete più sicura e meglio protetta contro bot e scansioni automatiche.
Se ti appassiona il mondo Mikrotik, ho anche creato un corso completo dove tratto molte configurazioni pratiche! Lo trovi su Udemy a questo indirizzo.
Hai un’azienda ed hai bisogno di supporto o assistenza? Contattami direttamente! 🚀
Lascia un commento