Начиная с микропрограммы бета-версии NDMS V2.08.B0 была улучшена защита интернет-центра от роботов, перебирающих пароли (защита от брутфорса, англ. brute force). Защита работает для внешних интерфейсов устройства по протоколам HTTP (TCP/80) и Telnet (TCP/23). На момент написания статьи указанная микропрограмма доступна для Keenetic III, Giga III, Ultra II, LTE, Viva, Extra, Omni II, Lite III, 4G III, Start II, Air и Extra II.
По умолчанию данная защита включена в интернет-центре. В случае, если кто-то в течение 3-х минут 5 раз неверно введет учетные данные для входа в интернет-центр, его IP-адрес будет заблокирован на 15 минут.
Внешне это выглядит следующим образом:
1. Злоумышленник обращается к веб-интерфейсу интернет-центра.
2. Вводит неверные логин и пароль. После срабатывания защиты веб-интерфейс интернет-центра перестает отвечать на запросы с IP-адреса, с которого выполнялись попытки доступа.
3. В системном журнале интернет-центра появляется соответствующая запись:
Управлять данной функцией можно через интерфейс командной строки (CLI) интернет-центра.
Синтаксис команд следующий:
ip http lockout-policy {threshold} [{duration} [{observation-window}}]]
ip telnet lockout-policy {threshold} [{duration} [{observation-window}}]]
где
threshold — количество попыток ввести неверный пароль, возможные значения от 4 до 20 попыток (по умолчанию 5);
duration — время в минутах, на которое блокируется IP-адрес злоумышленника, возможные значения от 1 до 60 минут (по умолчанию 15 минут);
observation-window — период времени в минутах, за который должны произойти неверные попытки, после чего счетчик сбрасывается, возможные значения от 1 до 10 минут (по умолчанию 3 минуты).
KB-5152
Комментарии
А разбираться с диапазоном возможных значений пользователи должны сами?
А также с вашими всевозможными скобками?
Хотя бы привели пример командной строки чтобы было понятно, что всю вашу кучу скобок всех возможных видов нужно просто стереть.
К какой паре присовокупить вашу последнюю квадратную скобку?
Самое главное, что по умолчанию такая защита включена в интернет-центре (если в течение 3-х минут 5 раз злоумышленник неверно введет учетные данные для входа в интернет-центр, его IP-адрес будет заблокирован на 15 минут).
Обращаю ваше внимание, что защита работает для внешних интерфейсов устройства по протоколам HTTP (TCP/80) и Telnet (TCP/23). Т.е. проверять работу данной функции нужно со стороны WAN-интерфейса (из Интернета).
Как правило, для 99% пользователей, не нужно дополнительно настраивать эту функцию (она работает по умолчанию с оптимальными параметрами). Но если кто-то захочет под свои нужды сделать дополнительные настройки, то в этом случае может воспользоваться приведенными в статье специальными командами.
Например, хотим ужесточить правила по умолчанию (5-15-3). В CLI выполним команду:
ip http lockout-policy 4 60 1
В этом случае для веб-интерфейса будет включена следующая защита, - если кто-то в течение одной минуты выполнит 4 неверные попытки для подключения к веб-конфигуратору интернет-центра, его IP-адрес будет заблокирован на 60 минут.
Почему в журнале Keenetic lite III нет записей о неверном вводе пароля по http, выделенных красным, а только запись черным цветом о бане IP адреса? При использовании telnet все отображается.
В режиме командной строки (CLI) роутера выполните команду ip http log auth для включения записи в системный журнал таких событий.
Войдите в службу, чтобы оставить комментарий.