خنثی کردن حملات BRUTEFORCE LOGIN – میکروتیک

/ 24 ژانویه 17

با نحوه مقابله با حملات Bruteforce login در روتر میکروتیک در مقاله آموزشی زیر آشنا می‌شویم. در این مواقع معمولاً از طریق پروتکل ftp و پروتکل ssh روتر ما مورد حمله قرار می‌گیرد که در این مقاله با استفاده از ابزارهای بخش Firewall میکروتیک از این اتفاق جلوگیری می‌نماییم.

ابتدا به بررسی حملات ftp می‌پردازیم. معمولاً در این حملات با توجه به این که از پروتکل tcp استفاده می‌شود پاسخی از جانب روتر مبنی بر خطا در نام کاربری و کلمه عبور وارد شده به سمت IP حمله کننده ارسال می‌شود که ما با استفاده از این پیغام IP حمله کننده را شناسایی و آن را در Blacklist قرار می‌دهیم:

 /ip firewall filter

add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \

comment=”drop ftp brute forcers”

add chain=output action=accept protocol=tcp content=”530 Login incorrect” dst-limit=1/1m,9,dst-address/1m

add chain=output action=add-dst-to-address-list protocol=tcp content=“530 Login incorrect” \

address-list=ftp_blacklist address-list-timeout=3h

در دستور بالا ما IP ادرس حمله کننده را به مدت سه ساعت در ftp-blacklist قرار می‌دهیم.

برای مقابله با حملات ssh از قابلیت port-knocking میکروتیک استفاده می‌کنیم. به این صورت که در ابتدا هر درخواستی از جانب یک IP برای پورت ssh ارسال شود IP را در یک لیست قرار می‌دهد. در ادامه اگر مجدد درخواستی برای اتصال ssh ایجاد شد و از قبل روتر آن ip را در address list خود مشاهده کرد مجدد آن را وارد یک لیست جدید کرده و به همین ترتیب تا 3 لیست متوالی را ایجاد می‌کنیم. در صورتی که مجدداً درخواستی از جانب آن IP که در لیست مرحله چهارم قرار دارد ایجاد شد آن IP را Blacklist قرار می‌دهد و این تعداد متوالی درخواست را به عنوان attacker شناسایی کرده و دسترسی آن را به هر مدت زمانی که ما تعیین می‌کنیم در آن لیست قرار نگه دارد.

 /ip firewall filter

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \comment=”drop ssh brute forcers” disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new \src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \address-list-timeout=10d comment=”” disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new \src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \address-list-timeout=1m comment=”” disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=”” disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \address-list=ssh_stage1 address-list-timeout=1m comment=”” disabled=no

 

در نهایت دسترسی آن blacklist به پورت ۲۲ روتر را مسدود می‌کنیم:

add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \comment=”drop ssh brute downstream” disabled=no

 

 

 

LiveZilla Live Chat Software سوال خود را با ما مطرح کنید