خنثی کردن حملات BRUTEFORCE LOGIN
خنثی کردن حملات BRUTEFORCE LOGIN
در این بخش با نحوه مقابله با حملات Bruteforce login در روتر میکروتیک آشنا شویم.
در این مواقع معمولا از طریق پروتکل ftp و پروتکل ssh روتر ما مورد حمله قرار می گیرد
که در این مقاله با استفاده از ابزار های بخش Firewall میکروتیک از این اتفاق جلوگیری می نماییم.
ابتدا به بررسی حمالت ftp می پردازیم.
معمولا در این حالت با توجه به این که از پروتکل tcp استفاده می شود
پاسخی از جانب روتر مبنی بر خطا در نام کاربری و کلمه عبور وارد شده به سمت IP حمله کننده ارسال می شود
که ما با استفاده از این پیغام IP حمله کننده را شناسایی و آن را در Blacklist قرار می دهیم:
ip firewall filter/
\ add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop
“comment=”drop ftp brute forcers
add chain=output action=accept protocol=tcp content=”530 Login incorrect” dst- limit=1/1m,9,dst-address/1m
\ “add chain=output action=add-dst-to-address-list protocol=tcp content=”530 Login incorrect
address-list=ftp_blacklist address-list-timeout=3h
در دستور بالا ما IP ادرس حمله کننده را به مدت سه ساعت در ftp-blacklist قرار می دهیم.
برای مقابله با حملات ssh از قابلیت port-knocking میکروتیک استفاده می کنیم.
به این صورت که در ابتدا هر درخواستی از جانب یک IP برای پورت ssh ارسال شود IP را در یک لیست قرار می دهد.
در ادامه اگر مجدد درخواستی برای اتصال ssh ایجاد شد و از قبل روتر آن ip را در list address خود مشاهده کرد مجدد آن را وارد یک لیست جدید کرده
و به همین ترتیب تا 3 لیست متوالی را ایجاد می کنیم.
در صورتی که مجدداً درخواستی از جانب آن IP که در لیست مرحله چهارم قرار دارد ایجاد شد آن IP را Blacklist قرار می دهد
و این تعداد متوالی درخواست را به عنوان attacker شناسایی کرده
و دسترسی آن را به هر مدت زمانی که ما تعیین می کنیم در آن لیست قرار نگه دارد.
ip firewall filter/
\ add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop
comment=”drop ssh brute forcers” disabled=no
\ add chain=input protocol=tcp dst-port=22 connection-state=new
\ address- action=add-src-to-address-list src-address-list=ssh_stage3 list=ssh_blacklist
address-list-timeout=10d comment=”” disabled=no
\ add chain=input protocol=tcp dst-port=22 connection-state=new
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3
address-list-timeout=1m comment=”” disabled=no
\ add chain=input protocol=tcp dst-port=22 connection-state=new src-address- list=ssh_stage1
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=”” disabled=no
\ add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src- to-address-list
address-list=ssh_stage1 address-list-timeout=1m comment=”” disabled=no
در نهایت دسترسی آن blacklist به پورت 22 روتر را مسدود می کنیم:
\ add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop
comment=”drop ssh brute downstream” disabled=no
جهت مشاهده فیلم های آموزشی میکروتیک بر روی این لینک کلیک نمایید.
جدیدترین اخبار مجموعه فراز نتورک را در صفحات اجتماعی دنبال کنید
نویسنده: مهندس بهداد رحمانی
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.