Функция защиты от перебора паролей для доступа к интернет-центру
В роутерах Keenetic реализована защита интернет-центра от роботов, перебирающих пароли (защита от брутфорса, англ. brute force). Защита работает для внешних интерфейсов устройства по протоколам HTTP (TCP/80), HTTPS (TCP/443), Telnet (TCP/23), SSHv2, FTP и со стороны интернет-облака службы KeenDNS.
По умолчанию данная защита включена в интернет-центре. В случае, если кто-то в течение 3-х минут 5 раз неверно введет учетные данные для входа в интернет-центр, его IP-адрес будет заблокирован на 15 минут.
Внешне это выглядит следующим образом:
Злоумышленник обращается к веб-интерфейсу интернет-центра со стороны внешнего WAN-интерфейса.
Вводит неверные логин и пароль. После срабатывания защиты веб-интерфейс интернет-центра перестает отвечать на запросы с IP-адреса, с которого выполнялись попытки доступа.
В системном журнале интернет-центра появляются соответствующие записи вида:
Oct 26 14:30:39 ndm Core::Scgi::Auth: authentication failed for user admin. Oct 26 14:30:43 ndm Core::Scgi::Auth: authentication failed for user test. Oct 26 14:30:47 ndm Core::Scgi::Auth: authentication failed for user user1. Oct 26 14:30:51 ndm Core::Scgi::Auth: authentication failed for user admin. Oct 26 14:30:52 ndm Netfilter::Util::Conntrack: flushed 7 IPv4 connections for 109.252.x.x. Oct 26 14:30:52 ndm Netfilter::Util::BfdManager: "Http": ban remote host 109.252.x.x for 15 minutes. Oct 26 14:45:52 ndm Netfilter::Util::BfdManager: "Http": unban remote host 109.252.x.x.
Управлять данной функцией можно через интерфейс командной строки (CLI) интернет-центра. Синтаксис команд следующий:
ip http lockout-policy {threshold} [{duration} [{observation-window}}]] ip telnet lockout-policy {threshold} [{duration} [{observation-window}}]] ip ssh lockout-policy {threshold} [{duration} [{observation-window}]]где:
threshold— количество попыток ввести неверный пароль, возможные значения от4до20 попыток(по умолчанию5);duration— время в минутах, на которое блокируется IP-адрес злоумышленника, возможные значения от1до60 минут(по умолчанию15 минут);observation-window— период времени в минутах, за который должны произойти неверные попытки, после чего счетчик сбрасывается, возможные значения от1до10 минут(по умолчанию3 минуты).В KeeneticOS по умолчанию выключена возможность логирования попыток неудачной авторизации в системе по протоколу HTTP. Включить её можно специальной командой. После этого в системном журнале будут фиксироваться события о неудачных попытках подключения к веб-интерфейсу роутера по протоколу HTTP. В интерфейсе командной строки (CLI) интернет-центра выполните команды:
ip http log auth system configuration save
Вот пример сообщений в системном журнале о попытках подключения к вебу (в нашем примере показано первое сообщение о неудачной попытке подключения, а во втором сообщении информация об удачном подключении к вебу):
Oct 18 10:42:43 ndm Core::Scgi::Auth: authentication failed for user "admin" from "172.16.18.33". Oct 18 10:43:11 ndm Core::Scgi::Auth: opened session "OIZROUQRLNJEMZTZ" for user "admin" from "172.16.18.33".
Примечание
Начиная с версии KeeneticOS
3.7.1реализована защита от перебора паролей для удаленного доступа к устройству через доменное имя KeenDNS при работе в режиме Через облако.
Полную информацию, по синтаксису указанных в статье команд, вы найдете в справочнике командного интерфейса в Центр загрузки.