Маршрутизатори Keenetic мають захист від перебору пароля. Захист працює для зовнішніх інтерфейсів пристрою за протоколами HTTP (TCP/80), Telnet (TCP/23) і HTTPS (TCP/443), SSH, FTP і на стороні Інтернет-хмари KeenDNS.
Цей захист включено в маршрутизаторі за замовчуванням. Якщо хтось введе неправильні облікові дані 5 разів протягом 3 хвилин, його IP-адресу буде заблоковано на 15 хвилин.
Це виглядає наступним чином:
1. Зловмисник робить спроби отримати доступ до веб-інтерфейсу маршрутизатора.
2. Він вводить невірний логін і пароль. Після спрацьовування захисту веб-інтерфейс маршрутизатора перестає відповідати на запити з IP-адреси, з якої була спроба доступу.
3. Системний журнал маршрутизатора містить такі записи:
Oct 26 14:30:39 ndm
Core::Scgi::Auth: authentication failed for user admin.
Oct 26 14:30:43 ndm
Core::Scgi::Auth: authentication failed for user test.
Oct 26 14:30:47 ndm
Core::Scgi::Auth: authentication failed for user user1.
Oct 26 14:30:51 ndm
Core::Scgi::Auth: authentication failed for user admin.
Oct 26 14:30:52 ndm
Netfilter::Util::Conntrack: flushed 7 IPv4 connections for 109.252.x.x.
Oct 26 14:30:52 ndm
Netfilter::Util::BfdManager: "Http": ban remote host 109.252.x.x for 15 minutes.
Oct 26 14:45:52 ndm
Netfilter::Util::BfdManager: "Http": unban remote host 109.252.x.x.
Ця функція може бути налаштована через інтерфейс інтерфейс командного рядка (CLI) роутера. Синтаксис команд наступний:
ip http lockout-policy {threshold} [{duration} [{observation-window}]]
ip telnet lockout-policy {threshold} [{duration} [{observation-window}]]
ip ssh lockout-policy {threshold} [{duration} [{observation-window}]]
vpn-server lockout-policy {threshold} [{duration} [{observation-window}]]
де
threshold — кількість спроб введення некоректного паролю, можливі значення - від 4 до 20 спроб (за замовчуванням 5);
duration — час в хвилинах на який IP адреса кожного зловмисника буде заблокована, можливі значення від 1 до 60 хвилин (за замовчуванням15 хвилин);
observation-window — період часу в хвилинах протягом якого протягом якого повинні відбутися неправильні спроби, після чого лічильник скидається, можливі значення від 1 до 10 хвилин (за замовчуванням 3 хвилини).
Для моделей, що підтримують USB-накопичувачі, є також команда захисту від атак перебору паролю на вбудованому FTP-сервері:
ip ftp lockout-policy {threshold} [{duration} [{observation-window}]]
У KeeneticOS реєстрація невдалих спроб входу в систему через HTTP вимкнена за замовчуванням. Увімкнути його можна спеціальною командою. Після цього в системному журналі будуть записані невдалі спроби підключитися до веб-інтерфейсу HTTP маршрутизатора. В інтерфейсі командного рядка (CLI) виконайте команди:
ip http log auth
system configuration save
TIP: Примітка
1. Починаючи з KeeneticOS 3.7.1, функція підбору пароля працює через службу KeenDNS у режимі «Хмарний доступ».
2. Починаючи з KeeneticOS 2.12, можна налаштувати параметри виявлення вторгнень шляхом підбору паролів серверів SSH і FTP для публічних інтерфейсів (увімкнено за замовчуванням).Для цього використовуються наступні команди відповідно:
ip ssh lockout-policy
ip ftp lockout-policy
3. Починаючи з версії KeeneticOS 3.1 можна увімкнути для сервера PPTP VPN автентифікацію за паролем під час спроб вторгнення (ця функція ввімкнена за замовчуванням). Команда така:
vpn-server lockout-policy
Ви можете знайти повну інформацію про синтаксис команд, згаданих у статті, у Посібнику з CLI у Центрі завантажень.