Функція захисту від підбору пароля маршрутизатора
Захист маршрутизатора від підбору пароля працює для зовнішніх інтерфейсів пристрою за протоколами HTTP (TCP/80), Telnet (TCP/23) і HTTPS (TCP/443), SSHv2, FTP, а також з боку хмарного сервісу KeenDNS в Інтернеті.
Цей захист увімкнено в маршрутизаторі за замовчуванням. Якщо хтось введе неправильні облікові дані 5 разів протягом 3 хвилин, його IP-адреса буде заблокована на 15 хвилин.
Це виглядає так:
Зловмисник отримує доступ до вебінтерфейсу маршрутизатора.
Він вводить неправильний логін і пароль. Після спрацювання захисту вебінтерфейс маршрутизатора перестає відповідати на запити з IP-адреси, з якої була спроба доступу.
У системному журналі маршрутизатора відображаються такі записи:
Oct 26 14:30:39 ndm Core::Scgi::Auth: authentication failed for user admin. Oct 26 14:30:43 ndm Core::Scgi::Auth: authentication failed for user test. Oct 26 14:30:47 ndm Core::Scgi::Auth: authentication failed for user user1. Oct 26 14:30:51 ndm Core::Scgi::Auth: authentication failed for user admin. Oct 26 14:30:52 ndm Netfilter::Util::Conntrack: flushed 7 IPv4 connections for 109.252.x.x. Oct 26 14:30:52 ndm Netfilter::Util::BfdManager: "Http": ban remote host 109.252.x.x for 15 minutes. Oct 26 14:45:52 ndm Netfilter::Util::BfdManager: "Http": unban remote host 109.252.x.x.
Цією функцією можна керувати через інтерфейс командного рядка (CLI) маршрутизатора. Синтаксис команд такий:
ip http lockout-policy {threshold} [{duration} [{observation-window}}]] ip telnet lockout-policy {threshold} [{duration} [{observation-window}}]] ip ssh lockout-policy {threshold} [{duration} [{observation-window}]] vpn-server lockout-policy {threshold} [{duration} [{observation-window}]]де:
threshold— кількість спроб введення неправильного пароля; можливі значення: від4 до 20 спроб(за замовчуванням —5);duration— час у хвилинах, на який блокується IP-адреса зловмисника; можливі значення: від1 до 60 хвилин(за замовчуванням —15 хвилин);observation-window— проміжок часу в хвилинах, протягом якого мають відбутися неправильні спроби, після чого лічильник скидається; можливі значення: від1 до 10 хвилин(за замовчуванням —3 хвилини).Для моделей, що підтримують USB-накопичувачі, також є команда для захисту від атак методом підбору пароля до вбудованого FTP-сервера:
ip ftp lockout-policy {threshold} [{duration} [{observation-window}]]У KeeneticOS журналювання невдалих спроб входу в систему через HTTP вимкнено за замовчуванням. Ви можете увімкнути його за допомогою спеціальної команди. Після цього системний журнал буде записувати невдалі спроби підключення до HTTP вебінтерфейсу маршрутизатора. В інтерфейсі командного рядка (CLI) маршрутизатора виконайте такі команди:
ip http log auth system configuration save
Ось приклад повідомлень системного журналу про спроби вебпідключення (у нашому прикладі перше повідомлення — про невдалу спробу підключення, а друге — про успішне підключення до вебінтерфейсу):
Oct 18 10:42:43 ndm Core::Scgi::Auth: authentication failed for user "admin" from "172.16.18.33". Oct 18 10:43:11 ndm Core::Scgi::Auth: opened session "OIZROUQRLNJEMZTZ" for user "admin" from "172.16.18.33".
Примітка
Починаючи з KeeneticOS
3.7.1, функція захисту від підбору пароля працює через сервіс KeenDNS у режимі хмарного доступу.Щоб встановити параметри для відстеження спроб вторгнення шляхом підбору паролів до SSH і FTP-сервера для публічних інтерфейсів (увімкнено за замовчуванням), використовуються відповідні команди:
ip ssh lockout-policyip ftp lockout-policy
Починаючи з KeeneticOS
3.1, можна налаштувати захист від підбору пароля для PPTP VPN-сервера (ця функція увімкнена за замовчуванням). Команда для налаштування:vpn-server lockout-policy
Повну інформацію про синтаксис команд, згаданих у статті, можна знайти в Посібнику з CLI у Центр завантаження.