Russian English German Ukrainian

Компьютерная помощь

(066) 72-00-654     (098) 44-74-068

г. Днепр

ж/м Левобережный-3

MikroTik: блокировка brute force атак

Brute force attack является наиболее распространённой атакой. Цель данной атаки – получить доступ к аккаунтам пользователей путем многократных попыток угадать пароль пользователя или группы пользователей. Если приложения не имеют никаких защитных мер против этого типа атак, то злоумышленнику довольно просто взломать систему, основанную на парольной аутентификации, осуществив сотню попыток ввода пароля с помощью автоматизированных программок, легкодоступных в Интернете.

Есть обратный метод, вместо попытки подобрать пароль к одному аккаунту, можно попробовать один пароль к множеству аккаунтов. Это известно как reverse brute force attack. Данная техника, стоит заметить, не срабатывает там, где есть политика блокировки учетной записи. Reverse brute force attacks менее распространенная атака еще и потому, что атакующему зачастую сложно составить достаточно большой объем имен для этой атаки.

Лучший, хотя и более сложный метод – progressive delays (прогрессивные задержки). Суть его в том, что учетные записи блокируются на некоторое время после нескольких неудачных попыток входа. Время блокировки возрастает с каждой новой неудачной попыткой. Это защищает от автоматизированных средств, проводящих brute force attack, и фактически делает нецелесообразным проведение данных атак.

В Linux для защиты от этого успешно используется fail2ban. В микротике такого удовольствия нет, поэтому будем создавать защиту от brut force своими руками.

Блокировка доступа к SSH после 3 неудачных попыток.

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

Блокировка доступа к RDP после 5 неудачных попыток.

add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop comment="drop rdp brute forcers" disabled=no
add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage5 action=add-src-to-address-list address-list=rdp_blacklist address-list-timeout=10d comment="" disabled=no
add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage4 action=add-src-to-address-list address-list=rdp_stage5 address-list-timeout=1m comment="" disabled=no
add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_stage4 address-list-timeout=1m comment="" disabled=no
add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 address-list-timeout=1m comment="" disabled=no
add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no
add chain=forward protocol=tcp dst-port=3389 connection-state=new action=add-src-to-address-list address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no

Блокировка доступа к SIP (IP телефония). 

Данный метод основан на том, что ваш легитимный клиент при подключении передает логин и пароль и подключение происходит успешно. Если же злоумышленник пытается подобрать ваш пароль, то он будет пробовать подключатся снова и снова с новыми данными - тут то мы его и ловим. Если в течении 15 секунд sip-клиент не успел зарегистрироваться и отправил неверные данные входа - при следующем обращении он банится на 1 день. Регистрация происходит не дольше 2 секунд, поэтому все "ваши клиенты" будут зарегистрированы без проблем и смогут спокойно пользоваться телефонией. Данный метод может плохо отрабатывать, когда с одного IP будет регистрироваться большое количество устройств (например 10-20 телефонов). Но, вполне логично, если есть такой удаленный обьект смысла использовать данный метод нет, проще прокинуть VPN.

/ip firewall filter add chain=forward in-interface=ether1 src-address-list="SIP Hacker" action=drop
/ip firewall filter add chain=forward protocol=udp dst-port=5060 connection-state=new src-address-list="SIP Trial" in-interface=ether1 action=add-src-to-address-list address-list="SIP Hacker" address-list-timeout=1d
/ip firewall filter add chain=forward src-address=0.0.0.0/0 protocol=udp dst-port=5060 in-interface=ether1 connection-state=new action=add-src-to-address-list address-list="SIP Trial" address-list-timeout=00:00:15

 

  • Сборка ПК для дома и офиса

  • Бесплатная диагностика

  • Гарантия

  • Самые низкие цены