Как бороться с подбором паролей на оборудовании Mikrotik

При постановке задачи ограничить возможность подбора паролей возникает как минимум 4 способа как это реализовать:

  1. VPN
  2. Port knocking
  3. Список разрешенных адресов
  4. Fail2ban

VPN лучший вариант – чтобы начать подбирать пароль к сервису нужно сначала подобрать к VPN, что понятно, в процессе обнаружится и нарушитель заблокируется (вручную или каким-либо другим способом).

Port knocking – хороший вариант там где по каким-либо причинам не возможен (не желателен) VPN. Принцип: сетевой порт является по-умолчанию закрытым, но до тех пор, пока на него не поступит заранее определённая последовательность пакетов данных, которая «заставит» порт открыться. Например, вы можете сделать «невидимым» для внешнего мира порт SSH, и открытым только для тех, кто знает нужную последовательность.

Список разрешенных адресов – неплохой вариант, но только в паре с чем-то еще. Например, через список разрешенных адресов ограничивается доступ к VPN сервису, а целевой сервис уже доступен из VPN.

Fail2ban поможет там где другие способы не возможны или не удобны. Рассмотрим его подробнее как самый популярный. Принцип: клиент подключается к сервису и при нескольких неудачных попытках входа блокируется. В mikrotik нет пакета Fail2ban, но сам механизм можно реализовать с помощью firewall и address list. Узнать, что вход неудачный можно, например, частым SYN пакетам или ответам целевого сервиса (если они не шифрованы, конечно).

Для ftp сервиса на mikrotik правила firewall могут выглядеть так (wiki mikrotik):

add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \

comment=»drop ftp brute forcers»

add chain=output action=accept protocol=tcp content=»530 Login incorrect» dst-limit=1/1m,9,dst-address/1m

add chain=output action=add-dst-to-address-list protocol=tcp content=»530 Login incorrect» \

address-list=ftp_blacklist address-list-timeout=3h

Как работают эти правила: если клиент 10 раз ввел неправильны логин/пароль в течении 1 минуты, то его записывают address-list ftp_blacklist. Клиентов, находящихся в address-list ftp_blacklist первое правило в примере блокирует на 3 часа.

Пример для сервисов, использующих шифрование (wiki mikrotik):

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \comment=»drop ssh brute forcers» disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new \src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \address-list-timeout=10d comment=»» disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new \src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \address-list-timeout=1m comment=»» disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=»» disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \address-list=ssh_stage1 address-list-timeout=1m comment=»» disabled=no

Как работают эти правила: при подключении клиент посылает SYN-пакет, который проходит через правила firewall, доходит до пятого правила, которому пакет соответствует и происходит добавление клиента в address-list ssh_stage1 на 1 минуту. Если клиент в течении 1 минуты еще раз подключится к этому сервису, то отработает уже четвертое правило и ip адрес запишется уже в ssh_stage2 на 1 минуту. Если будет еще одно подключение в течении минуты, то запишется уже ssh_stage3. В случае еще одного подключения запишется уже в ssh_blacklist, а тех кто в этом листе находится блокирует первое правило.

Важно понимать, что для правильной работы Fail2ban требуется правильный порядок правил в firewall и сделайте себе черный ход на случай если сами попадете в бан =)

Это может быть Вам интересно

SSD диски – плюсы и минусы

SSD диски построены на базе энергонезависимой памяти, где используется технология NAND и FRAM. Технология NAND SSD позволяет при использовании схем балансирования нагрузки в специальном контроллере...

Видеорегистратор Redline CCTV перегрелся

При тестировании видеорегистратора Redline CCTV специалистами компании РосАвтоатизации был выявлен недостаток регистратора. У регистратора при температуре окружающей среды от 27°, периодически возникает кратковременный обрыв записи....

Что выбрать: ClearCanvas, MRIdb или dcm4chee?

    Перед нашей компанией поставили задачу внедрения бесплатной PACS системы, включающая DICOM сервер, просмотрщик и клиентское приложение. При оперативном поиске мы обнаружили популярную за рубежом...

Оставьте заявку и мы Вам перезвоним

Политика конфиденциальности

Данная политика конфиденциальности (далее — «Политика») распространяется на всю персональную информацию, которую получает от Пользователя во время его пребывания веб-сайт Ra38.ru или его поддомены (далее «Веб-сайт»). Также, Политика описывает, как Веб-сайт собирает, использует и раскрывает полученную персональную информацию. Пользователь, пользуясь Веб-сайтом, дает свое согласие на сбор и использование его персональной информации.

Получение персональной информации

Пользователь может посещать Веб-сайт и не сообщать свои персональные данные, но в некоторых случаях, когда Пользователь решил воспользоваться услугами или приобрести продукты, информация о которых размещена на Веб-сайте, он запрашивает персональную информацию Пользователя.

Веб-сайт самостоятельно или через сервисы других Веб-сайтов может запросить у Пользователя следующую информацию: имя и фамилию, название компании, которую он представляет (если есть), почтовый адрес, номер телефона, адрес электронной почты.

Любая информация, автоматически считываемая в результате посещения Пользователем Веб-сайта, включая последовательность просмотра, используется без идентификации отдельных пользователей. Веб-сайт «cookies» для того, чтобы быть более удобным для Пользователя.

Использование и раскрытие персональной информации

Веб-сайт использует персональную информацию Пользователя для предоставления услуг и продуктов, разрешения споров и устранения неполадок, повышения удобства работы и улучшения сервисов, информирования о новых услугах и продуктах. Пользователь, регистрируясь на Веб-сайте, соглашается на получение информации об оказываемых услугах, об обновленных версиях или новых продуктах, а также прочей важной информации, которую Веб-сайт посчитает важным сообщить.

Веб-сайт никому не продает и не разглашает персональную информацию о Пользователе. Веб-сайт вправе раскрыть и передать персональную информацию третьим лицам только в том случае, если это требует российское или международное законодательство и/или органы власти с соблюдением законной процедуры.

Удаление персональной информации

Пользователь, зарегистрированный на Веб-сайте, имеет возможность в любое время удалить свою персональную информацию, для этого необходимо связаться по электронной почте info@ra38.ru.

Ссылки на другие веб-сайты

Веб-сайт может содержать ссылки на сторонние веб-сайты. Веб-сайт не контролирует другие веб-сайты и их политику конфиденциальности. Веб-сайт призывает Пользователя перед представлением своей персональной информации на сторонних веб-сайтах внимательно ознакомиться с их политикой конфиденциальности.

Безопасность

Веб-сайт предпринимает соответствующие меры для обеспечения безопасности персональной информации Пользователя от потери, неправильного использования, несанкционированного доступа, разглашения или изменения.

Изменения условий Политики

Веб-сайт оставляет за собой право дополнять и изменять условия Политики в связи с требованиями законодательства, внедрением дополнительных сервисов и сложившейся практикой взаимоотношений с Пользователями.