Функція захисту пароля маршрутизатора від перебору

Маршрутизатори Keenetic мають захист від перебору пароля. Захист працює для зовнішніх інтерфейсів пристрою за протоколами HTTP (TCP/80), Telnet (TCP/23) і HTTPS (TCP/443), SSH, FTP і на стороні Інтернет-хмари KeenDNS.

Цей захист включено в маршрутизаторі за замовчуванням. Якщо хтось введе неправильні облікові дані 5 разів протягом 3 хвилин, його IP-адресу буде заблоковано на 15 хвилин.

Це виглядає наступним чином:

1. Зловмисник робить спроби отримати доступ до веб-інтерфейсу маршрутизатора.

2. Він вводить невірний логін і пароль. Після спрацьовування захисту веб-інтерфейс маршрутизатора перестає відповідати на запити з IP-адреси, з якої була спроба доступу.

3. Системний журнал маршрутизатора містить такі записи:

Oct 26 14:30:39 ndm
Core::Scgi::Auth: authentication failed for user admin.
Oct 26 14:30:43 ndm
Core::Scgi::Auth: authentication failed for user test.
Oct 26 14:30:47 ndm
Core::Scgi::Auth: authentication failed for user user1.
Oct 26 14:30:51 ndm
Core::Scgi::Auth: authentication failed for user admin.
Oct 26 14:30:52 ndm
Netfilter::Util::Conntrack: flushed 7 IPv4 connections for 109.252.x.x.
Oct 26 14:30:52 ndm
Netfilter::Util::BfdManager: "Http": ban remote host 109.252.x.x for 15 minutes.
Oct 26 14:45:52 ndm
Netfilter::Util::BfdManager: "Http": unban remote host 109.252.x.x.


Ця функція може бути налаштована через інтерфейс інтерфейс командного рядка (CLI) роутера. Синтаксис команд наступний:

ip http lockout-policy {threshold} [{duration} [{observation-window}]]

ip telnet lockout-policy {threshold} [{duration} [{observation-window}]]

ip ssh lockout-policy {threshold} [{duration} [{observation-window}]]

vpn-server lockout-policy {threshold} [{duration} [{observation-window}]]

 

де

threshold — кількість спроб введення некоректного паролю, можливі значення - від 4 до 20 спроб (за замовчуванням 5);

duration — час в хвилинах на який IP адреса кожного зловмисника буде заблокована, можливі значення від 1 до 60 хвилин (за замовчуванням15 хвилин);

observation-window — період часу в хвилинах протягом якого протягом якого повинні відбутися неправильні спроби, після чого лічильник скидається, можливі значення від 1 до 10 хвилин (за замовчуванням 3 хвилини).

Для моделей, що підтримують USB-накопичувачі, є також команда захисту від атак перебору паролю на вбудованому FTP-сервері:

ip ftp lockout-policy {threshold} [{duration} [{observation-window}]]

У KeeneticOS реєстрація невдалих спроб входу в систему через HTTP вимкнена за замовчуванням. Увімкнути його можна спеціальною командою. Після цього в системному журналі будуть записані невдалі спроби підключитися до веб-інтерфейсу HTTP маршрутизатора. В інтерфейсі командного рядка (CLI) виконайте команди:

ip http log auth
system configuration save

 

TIP: Примітка

1. Починаючи з KeeneticOS 3.7.1, функція підбору пароля працює через службу KeenDNS у режимі «Хмарний доступ».

2. Починаючи з KeeneticOS 2.12, можна налаштувати параметри виявлення вторгнень шляхом підбору паролів серверів SSH і FTP для публічних інтерфейсів (увімкнено за замовчуванням).Для цього використовуються наступні команди відповідно:

ip ssh lockout-policy

ip ftp lockout-policy

3. Починаючи з версії KeeneticOS 3.1 можна увімкнути для сервера PPTP VPN автентифікацію за паролем під час спроб вторгнення (ця функція ввімкнена за замовчуванням). Команда така:

vpn-server lockout-policy

Ви можете знайти повну інформацію про синтаксис команд, згаданих у статті, у Посібнику з CLI у Центрі завантажень.

Чи була ця стаття корисною?

66 з 71 вважають статтю корисною