Regras Mikrotik para deter ataque DDoS e Synfood

O Que é DDoS?

    DDoS é o acrônimo para Distributed Denial of Service que, traduzido do inglês, significa algo aproximado a Negação Distribuída de Serviço, termo que evidencia a natureza coordenada destes tipos de ataques maliciosos.

    O DDoS é uma derivação, na verdade, de DoS (Denial of Service, ou Negação de Serviço, do português) um tipo de ataque malicioso que envolve apenas um atacante, que pode ser um único servidor ou computador controlado por um hacker.

    O DDoS nada mais é do que um conjunto de ataques DoS, só que diversos atacantes (como computadores ou servidores) distribuem e coordenam os ataques em um alvo, sobrecarregando todo sistema, deixando-o fora do ar.

O que é um Ataque DDos?

    Um ataque do tipo DDoS é um ataque malicioso que tem como objetivo sobrecarregar um servidor ou um computador, esgotar seus recursos como memória e processamento e fazê-lo ficar indisponível para acesso de qualquer usuário a internet.

  Eles são diferentes dos ataques tradicionais, em que hackers e agentes maliciosos infestam computadores com pragas virtuais para danificar arquivos. Os ataques DDoS são apenas para fins de sobrecarga, deixando servidores e sites lentos e indisponíveis para acesso.

    Um ataque DDoS exige a cooperação de vários atacantes para ser classificado como tal. No caso, um computador comandado por uma pessoa má intencionada é capaz de controlar vários outros computadores infectados para direcionar uma rede de ataques a um alvo muito específico.

  Como resultado, os servidores de um site atacado simplesmente não aguenta a demanda das requisições de acesso e simplesmente sai do ar, impossibilitando qualquer tipo de acesso ou interação com ele.

    Um ataque DDoS é geralmente motivado por hackers que, por algum motivo especial, tenham um objetivo malicioso em comum, fazendo de tudo para que um alvo fique indisponível na internet e o prejudique de várias maneiras diferentes.

    Caso o ataque tenha sucesso, os estragos podem ser grandes. Se um site de uma rede varejista for atacado, por exemplo, as perdas nas vendas totais e no retorno de investimento em campanhas de marketing e reposição de produtos podem ser catastróficas.

    Algo semelhante pode acontecer com um grande portal de notícias. Um veículo de comunicação fora do ar significa que toda a publicidade nele investido não estará visível para seus usuários, o que não gerará retorno para o site e muito menos para quem investiu nele.

SYN Flood

    SYN Flood (ou de fragmentação) é um método de ataque DDoS que causa uma sobrecarga direta na camada de transporte (camada 4) e indireta na camada 7 (camada de aplicação).

Basta abrir o terminal no mikrotik e colar as regras:

/ip firewall filter add chain=input protocol=tcp connection-limit=400,32 action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d comment="SYN Flood protect"

/ip firewall filter add chain=input protocol=tcp src-address-list=blocked-addr connection-limit=3,32 action=tarpit comment="SYN Flood protect"

/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes

/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new action=accept comment="SYN Flood protect" disabled=no

/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new action=drop comment="SYN Flood protect" disabled=no

/ip settings set tcp-syncookies=yes

IP FIREWALL FILTER

/ip firewall filter

add chain=forward connection-state=new action=jump jump-target=detect-ddos comment="DDoS protect"

/ip firewall filter

add chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s action=return comment="DDoS protect"

add chain=detect-ddos src-address=192.168.0.1 action=return comment="DDoS protect"

/ip firewall filter

add chain=detect-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m comment="DDoS protect"

add chain=detect-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m comment="DDoS protect"

/ip firewall filter

add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop comment="DDoS protect"

Leia Mais

 Como evitar ataques de força bruta e de scanner de porta MikroTik

    Criando listas de endereços dinâmicas para cada porta e protocolo relevantes; SSH, Telnete as Winboxportas que virão com os Brute Force ataques na Internet ou na rede local impedirão futuras varreduras de portas.

    Em nossa estrutura de código, os ataques de força bruta são evitados passando por quatro diferentes estágios com um salto, regra, nível 1, nível 2, etapa da lista de rastreamento de nível 3 e regra da Black List , que controla a frequência das solicitações de conexão, para cada um dos SSH, regras telnet e Winbox separadamente.

    Desta forma, a estrutura projetada concede o direito de enviar uma solicitação incorreta por 3 vezes para solicitações de conexão de entrada, após 3 tentativas malsucedidas, a fonte de onde vem a solicitação é bloqueada adicionando à lista negra de forma que seja bloqueada por 30 dias.

NOTA: 

    Os códigos em nosso documento podem não ser compatíveis com o nome da interface de acesso à Internet ou com os números de porta usados ​​em seu sistema. Para uma implementação sem problemas, primeiro, copie o código para um bloco de notas e certifique-se de que os campos nas seções ar “ in-interface=” e “ dst-port=” da de todas as regras são compatíveis com seu sistema. Por exemplo, em vez de “ in-interface=WAN”, ” in-interface=modem1″.

Regras de proteção de força bruta para porta SSH

/ ip firewall address-list
add list = “(SSH) Black List” comment = “(SSH) Black List” 

/ ip firewall filter
WAN comment = “(SSH) Blocks everyone in the Black List.” log-yes-log-prefix = “KL_ (SSH) Blacklist” src-address-list = “(SSH) Blacklist”
WAN comment = “(SSH) Black List Chain Skip Rule.” dst-port = 22 jump-target = “(SSH) Blacklist Chain” protocol = tcp
add-in-interface = WAN action = add-src-to-address-list address-list = “(SSH) Blacklist” address-list-timeout = 4w2d chain = “(SSH) Blacklist Chain” comment = “Repeating moves the initiatives (SSH) from the Level-3 Tracking List (SSH) to the Black List. ” connection-state = new log = yes log-prefix = “SSH) Added to Blacklist” src-address-list = “(SSH) Level-3 Tracking List”
add-in-interface = WAN action = add-src-to-address-list Address-list = “(SSH) Level-3 Tracking List” address-list-timeout = 1m chain = “(SSH) Blacklist Chain” comment = “Adds recurring attempts to the 1-minute Tracking List (SSH) Level-3.” connection-state = new log = yes log-prefix = “Level-3 (SSH) added to Track List” src-address-list = “(SSH) Level-2 Track List”
add-in-interface = WAN action = add-src-to-address-list Address-list = “(SSH) Level-2 Tracking List” address-list-timeout = 1m chain = “(SSH) Blacklist Chain” comment = “Adds recurring attempts to the 1-minute Follow-up List (SSH) Level-2.” log-prefix = “Level-2 (SSH) added to the Track List” src-address-list = “(SSH) Level-1 Track List”
add-in-interface = WAN action = add-src-to-address-list Address-list = “(SSH) Level-1 Track List” address-list-timeout = 1m chain = “(SSH) Blacklist Chain” comment = “Adds recurring attempts to the 1-minute Track (SSH) Level-1 Tracking List.” connection-state = new log = yes log-prefix = “Level-1 (SSH) added to the Track List”
add action = return chain = “(SSH) Blacklist Chain” comment = “(SSH) Components from the Blacklist Chain.”

Regras de proteção de força bruta para porta Telnet

/ ip firewall address-list
add list = “(Telnet) Black List” comment = “(Telnet) Black List” 

/ ip firewall filterWAN comment = “(Telnet) Blocks everyone in the Black List.” log-yes-log-prefix = “KL_ (Telnet) Blacklist” src-address-list = “(Telnet) Blacklist”
WAN comment = “(Telnet) Black List Chain Skip Rule.” dst-port = 23 jump-target = “Black List Chain” (Telnet) protocol = tcp
add-in-interface = WAN action = add-src-to-address-list address-list = “Black List” (Telnet) address-list-timeout = 4w2d chain = “Black List Chain” comment = “Repeating moves the initiatives from the Level-3 Tracking List (Telnet) to the Black List. connection-state = new log = yes log-prefix = “Telnet) Added to Blacklist” src-address-list = “(Telnet) Level-3 Tracking List”
add-in-interface = WAN action = add-src-to-address-list Address-list = “(Telnet) Level-3 Tracking List” address-list-timeout = 1m chain = “(Telnet) Blacklist Chain” comment = “Adds recurring attempts to the 1-minute (Telnet) Level-3 Tracking List.” connection-state = new log = yes log-prefix = “Added to Level-3 (Telnet) Track List” src-address-list = “(Telnet) Level-2 Track List”
add-in-interface = WAN action = add-src-to-address-list Address-list = “(Telnet) Level-2 Tracking List” address-list-timeout = 1m chain = “(Telnet) Black List Chain” comment = “Adds recurring attempts to the 1-minute (Telnet) Level-2 Tracking List.” connection-state = new log = yes log-prefix = “Added to Level-2 (Telnet) Track List” src-address-list = “(Telnet) Level-1 Track List”
add-in-interface = WAN action = add-src-to-address-list Address-list = “(Telnet) Level-1 Track List” address-list-timeout = 1m chain = “(Telnet) Blacklist Chain” comment = “Adds repeated attempts to the 1-minute (Telnet) Level-1 Tracking List.” connection-state = new log = yes log-prefix = “Level-1 (Telnet) added to the Track List”
add action = return chain = “(Telnet) Blacklist Chain” comment = “(Telnet) Blacklist Chain.

Regras de proteção de força bruta para porta Winbox

/ip firewall address-list
add list=”(Winbox) Kara Liste” comment=”(Winbox) Kara Liste”

/ip firewall filter
add action=drop chain=input in-interface=WAN comment=”(Winbox) Kara Liste icerisindeki herkesi engeller.” log=yes log-prefix=”KL_(Winbox) Kara Liste” src-address-list=”(Winbox) Kara Liste”
add action=jump chain=input in-interface=WAN comment=”(Winbox) Kara Liste Zinciri Atlama Kurali.” dst-port=8291 jump-target=”(Winbox) Kara Liste Zinciri” protocol=tcp
add in-interface=WAN action=add-src-to-address-list address-list=”(Winbox) Kara Liste” address-list-timeout=4w2d chain=”(Winbox) Kara Liste Zinciri” comment=”Tekrar eden girisimleri (Winbox) Seviye-3 Takip Listesinden (Winbox) Kara Liste icerisine tasir.” connection-state=new log=yes log-prefix=”Winbox) Kara Listeye Eklendi” src-address-list=”(Winbox) Seviye-3 Takip Listesi”
add in-interface=WAN action=add-src-to-address-list address-list=”(Winbox) Seviye-3 Takip Listesi” address-list-timeout=1m chain=”(Winbox) Kara Liste Zinciri” comment=”Tekrar eden girisimleri 1 dakikaliginia (Winbox) Seviye-3 Takip Listesi icerisine ekler.” connection-state=new log=yes log-prefix=”Seviye-3(Winbox) Takip Listesine eklendi” src-address-list=”(Winbox) Seviye-2 Takip Listesi”
add in-interface=WAN action=add-src-to-address-list address-list=”(Winbox) Seviye-2 Takip Listesi” address-list-timeout=1m chain=”(Winbox) Kara Liste Zinciri” comment=”Tekrar eden girisimleri 1 dakikaliginia (Winbox) Seviye-2 Takip Listesi icerisine ekler.” connection-state=new log=yes log-prefix=”Seviye-2(Winbox) Takip Listesine eklendi” src-address-list=”(Winbox) Seviye-1 Takip Listesi”
add in-interface=WAN action=add-src-to-address-list address-list=”(Winbox) Seviye-1 Takip Listesi” address-list-timeout=1m chain=”(Winbox) Kara Liste Zinciri” comment=”Tekrar eden girisimleri 1 dakikaliginia (Winbox) Seviye-1 Takip Listesi icerisine ekler.” connection-state=new log=yes log-prefix=”Seviye-1(Winbox) Takip Listesine eklendi”
add action=return chain=”(Winbox) Kara Liste Zinciri” comment=”(Winbox) Kara Liste Zincirinden donenler.”

Regras de bloqueio do scanner de porta

/ ip firewall address-list
add list = “Black List (Port Scanner WAN)” comment = “Black List (Port Scanner WAN)” 

/ ip firewall filter
Add action = drop chain = input in-interface = WAN comment = “(Port Scanner WAN) Block everyone in the Black List.” log-yes-log-prefix = “KL_ (Port Scanner WAN) Black List” src-address-list = “(Port Scanner WAN) Black List”
add action = drop chain = forward in-interface = WAN comment = “(Port Scanner WAN) Block everyone in the Black List.” log-yes-log-prefix = “KL_ (Port Scanner WAN) Black List” src-address-list = “(Port Scanner WAN) Black List”
add-in-interface = WAN action = add-src-to-address-list address-list = “Black List (Port Scanner WAN)” address-list-timeout = 4w2d chain = input comment = “IP addresses that scan TCP ports Scanner WAN) Adds to Blacklist and blocks for 30 days “log = yes log-prefix =” (Port Scanner WAN) is added to Blacklist “protocol = tcp psd = 21.3s, 3.1

Leia Mais

Segurança em rede de computadores    

    A segurança em rede de computadores é um tema crucial nos dias de hoje, visto que a tecnologia avança a cada dia e a interconexão de dispositivos e redes é cada vez mais comum. A segurança de uma rede é um conjunto de medidas e procedimentos que visam proteger as informações e recursos contidos na rede, evitando o acesso não autorizado, a perda de dados e outros tipos de ataques.

    Um dos principais aspectos a serem considerados na segurança em rede de computadores é a autenticação. A autenticação é um processo que permite verificar se um usuário é realmente quem ele diz ser, através de credenciais de acesso, como usuário e senha. É importante que as senhas sejam fortes e complexas, e que sejam trocadas periodicamente, para evitar que pessoas mal-intencionadas possam adivinhá-las.

    Outro aspecto importante é o controle de acesso. O controle de acesso é um conjunto de medidas que limita o acesso a determinados recursos ou áreas da rede apenas para usuários autorizados. Isso pode ser feito através de perfis de usuários, que permitem que cada usuário tenha acesso apenas aos recursos necessários para realizar suas tarefas.

    Além disso, é fundamental que a rede esteja protegida por um firewall. O firewall é um sistema de segurança que filtra o tráfego de dados que entra e sai da rede, bloqueando o acesso a sites e serviços perigosos ou não autorizados. Também é importante manter os softwares de segurança atualizados, como antivírus e anti-malware, para garantir que a rede esteja protegida contra novas ameaças.

    Outra medida importante é a criptografia de dados. A criptografia é um processo que converte os dados em um formato que só pode ser lido por quem tem a chave de decodificação. Isso é particularmente importante quando se trata de informações confidenciais, como senhas e dados bancários, que precisam ser mantidos seguros durante a transmissão pela rede.

    Por fim, é importante ter um plano de contingência em caso de falhas de segurança. Isso inclui medidas para detectar e responder a ameaças de segurança, bem como a criação de backups regulares dos dados da rede. Ter um plano de contingência bem estruturado pode minimizar o impacto de um ataque à rede e ajudar a recuperar dados perdidos.

    Em resumo, a segurança em rede de computadores é um tema complexo e em constante evolução, que exige atenção constante por parte dos profissionais de tecnologia da informação. A implementação de medidas de segurança adequadas pode garantir a integridade e confidencialidade dos dados contidos na rede, protegendo as informações contra ameaças internas e externas.

Leia Mais

 A computação quântica

    

    A computação quântica é um tipo de computação que utiliza a mecânica quântica para realizar cálculos. Ao contrário da computação clássica, que utiliza bits (0s e 1s) para representar informações e realizar operações, a computação quântica utiliza qubits, que são unidades de informação quântica.

    

Os qubits

    Os qubits podem estar em vários estados quânticos simultaneamente, o que significa que eles podem representar várias possibilidades ao mesmo tempo. Essa característica é conhecida como superposição quântica.

    Além disso, a computação quântica permite a utilização de um fenômeno chamado emaranhamento quântico, onde dois qubits podem estar entrelaçados de tal forma que a medida de um afeta instantaneamente o outro, independentemente da distância entre eles.

    Essas características permitem que a computação quântica seja muito mais poderosa que a computação clássica em certas tarefas, como a fatoração de números inteiros grandes e a simulação de sistemas quânticos complexos.

    No entanto, a computação quântica ainda está em seus estágios iniciais e enfrenta muitos desafios técnicos, como a dificuldade de manter a coerência quântica dos qubits por tempo suficiente para realizar cálculos úteis.

Leia Mais

Configurando um firewall basico

Configuração de Firewall     

    Configurar um firewall em um roteador MikroTik é uma tarefa importante para garantir a segurança da sua rede. Abaixo estão algumas etapas básicas para configurar um firewall no MikroTik:

1. Acesse o MikroTik RouterOS usando o Winbox ou o navegador da web.

2. Selecione a guia "IP" na barra lateral e clique em "Firewall" no menu suspenso.

3. Na guia "Firewall Rules", clique em "Add New" para criar uma nova regra de firewall.

4. Na seção "General", configure a ação da regra, como "accept", "drop" ou "reject", dependendo do que você deseja fazer com o tráfego que atinge a regra.

5. Na seção "Src. Address", defina o endereço IP de origem do tráfego que você deseja bloquear ou permitir.

6. Na seção "Dst. Address", defina o endereço IP de destino do tráfego que você deseja bloquear ou permitir.

7. Na seção "Protocol", defina o protocolo de rede que você deseja bloquear ou permitir, como TCP, UDP ou ICMP.

8. Na seção "Action", defina a ação que você deseja tomar quando o tráfego atinge a regra, como "accept", "drop" ou "reject".

9. Clique em "OK" para salvar a regra.

10. Repita os passos acima para criar todas as regras de firewall que você precisa para proteger sua rede.

    Além disso, você pode usar recursos avançados do MikroTik Firewall, como NAT, Mangle, Filter e outros, para personalizar a sua configuração de firewall de acordo com as necessidades específicas da sua rede. Recomenda-se também revisar regularmente as configurações do firewall para garantir que ele esteja configurado corretamente e atendendo às suas necessidades de segurança.

Leia Mais

 Como configurar VLANs no Mikrotik

Para configurar VLANs no Mikrotik, siga os seguintes passos:

1. Crie uma interface de VLAN: a. Acesse o menu "Interfaces" e selecione "VLAN"; b. Clique em "+" para criar uma nova interface VLAN; c. Defina o número da VLAN e o nome da interface (por exemplo, VLAN10); d. Selecione a interface física na qual a VLAN será criada (por exemplo, ether1).

2. Configure as portas que se conectarão às VLANs: a. Acesse o menu "Interfaces" e selecione a interface física (por exemplo, ether2); b. Na aba "VLAN", clique em "+" para adicionar uma nova VLAN; c. Defina o número da VLAN (por exemplo, VLAN10) e selecione a interface VLAN criada anteriormente (por exemplo, VLAN10).

3. Configure as regras de firewall: a. Acesse o menu "Firewall"; b. Crie uma nova regra de entrada para a VLAN; c. Defina a interface de entrada como a interface VLAN (por exemplo, VLAN10); d. Defina a ação da regra (por exemplo, permitir ou negar o tráfego).

4. Atribua endereços IP às VLANs: a. Acesse o menu "IP" e selecione "Addresses"; b. Clique em "+" para adicionar um novo endereço IP; c. Defina o endereço IP da VLAN (por exemplo, 192.168.10.1/24) e selecione a interface VLAN correspondente (por exemplo, VLAN10).

    Com esses passos, você configurou com sucesso VLANs no seu Mikrotik. É importante lembrar que você precisará configurar o switch físico que está conectado ao Mikrotik para suportar VLANs também.

Leia Mais

COMO CONFIGURAR FAILOVER NO MIKROTIK

COMO CONFIGURAR FAILOVER NO MIKROTIK | WISSAM QUEMEL

Failover

    O failover é uma técnica usada para garantir que o sistema continue operando mesmo que ocorra uma falha em algum componente crítico. No contexto de redes, o failover pode ser usado para garantir a disponibilidade de serviços importantes, como acesso à Internet, mesmo que ocorra uma falha no roteador principal.

    O Mikrotik é um sistema operacional de roteamento e firewall bastante popular entre empresas e provedores de Internet. Ele oferece suporte a várias técnicas de failover, que podem ser usadas para garantir a alta disponibilidade de serviços.

    Neste artigo, iremos explorar as principais técnicas de failover disponíveis no Mikrotik.

1. Failover de link WAN

    A técnica de failover de link WAN é usada para garantir que o acesso à Internet continue funcionando mesmo que um dos links WAN falhe. O Mikrotik suporta várias opções de failover de link WAN, incluindo failover baseado em ping e failover baseado em interface.

    No failover baseado em ping, o Mikrotik verifica periodicamente se um determinado endereço IP na Internet pode ser alcançado através de cada link WAN. Se o endereço não puder ser alcançado através de um dos links WAN, o Mikrotik assume que o link falhou e muda automaticamente para o link de backup.

    No failover baseado em interface, o Mikrotik verifica se a interface física do link WAN está ativa ou inativa. Se a interface estiver inativa, o Mikrotik assume que o link falhou e muda automaticamente para o link de backup.

2. Failover de gateway

    A técnica de failover de gateway é usada para garantir que os dispositivos da rede continuem acessando a Internet mesmo que o gateway padrão falhe. No Mikrotik, é possível configurar vários gateways padrão, cada um apontando para um link WAN diferente.

    O Mikrotik monitora periodicamente cada gateway padrão e, se um deles falhar, muda automaticamente para o próximo gateway disponível.

3. Failover de servidor

    A técnica de failover de servidor é usada para garantir que os serviços da rede continuem disponíveis mesmo que um servidor falhe. No Mikrotik, é possível configurar vários servidores para oferecer o mesmo serviço, como DNS ou SMTP.

    O Mikrotik monitora periodicamente cada servidor e, se um deles falhar, muda automaticamente para o próximo servidor disponível.

4. Failover de roteador

    A técnica de failover de roteador é usada para garantir que a rede continue operando mesmo que o roteador principal falhe. No Mikrotik, é possível configurar um roteador secundário para assumir automaticamente as funções do roteador principal em caso de falha.

    Para configurar o failover de roteador, é necessário configurar o roteador secundário com as mesmas configurações do roteador principal, incluindo endereços IP, configurações de interface e regras de firewall.

Conclusão

    O Mikrotik oferece várias técnicas de failover para garantir a alta disponibilidade de serviços críticos. É importante entender as diferentes opções de failover disponíveis e escolher a que melhor se adapta às necessidades da sua rede. Ao configurar o failover no Mikrotik, é importante testar cuidadosamente a configuração para garantir que ela funcione conforme.

Um exemplo muito bom é este vídeo do Wissan Quemel, onde ele ensina como fazer um excelente failover.

Leia Mais