Funzione di protezione da attacchi brute force per la password del router
La protezione del router contro la forzatura della password funziona per le interfacce esterne del dispositivo sui protocolli HTTP (TCP/80), Telnet (TCP/23) e HTTPS (TCP/443), SSHv2, FTP e sul lato cloud Internet del servizio KeenDNS.
Questa protezione è abilitata nel router per impostazione predefinita. Se qualcuno inserisce credenziali di accesso errate 5 volte entro 3 minuti, il suo indirizzo IP verrà bloccato per 15 minuti.
Si presenta come segue:
L'intruso accede all'interfaccia web del router.
Inserisce un login errato e una password. Una volta attivata la protezione, l'interfaccia web del router smette di rispondere alle richieste dall'indirizzo IP da cui è stato tentato l'accesso.
Il registro di sistema del router mostra le seguenti voci:
Oct 26 14:30:39 ndm Core::Scgi::Auth: authentication failed for user admin. Oct 26 14:30:43 ndm Core::Scgi::Auth: authentication failed for user test. Oct 26 14:30:47 ndm Core::Scgi::Auth: authentication failed for user user1. Oct 26 14:30:51 ndm Core::Scgi::Auth: authentication failed for user admin. Oct 26 14:30:52 ndm Netfilter::Util::Conntrack: flushed 7 IPv4 connections for 109.252.x.x. Oct 26 14:30:52 ndm Netfilter::Util::BfdManager: "Http": ban remote host 109.252.x.x for 15 minutes. Oct 26 14:45:52 ndm Netfilter::Util::BfdManager: "Http": unban remote host 109.252.x.x.
Questa funzione può essere controllata tramite l'interfaccia a riga di comando (CLI) del router. La sintassi dei comandi è la seguente:
ip http lockout-policy {threshold} [{duration} [{observation-window}}]] ip telnet lockout-policy {threshold} [{duration} [{observation-window}}]] ip ssh lockout-policy {threshold} [{duration} [{observation-window}]] vpn-server lockout-policy {threshold} [{duration} [{observation-window}]]dove:
threshold— numero di tentativi di inserimento della password errata, valori possibili da4 a 20 tentativi(per impostazione predefinita5);duration— tempo in minuti per cui l'indirizzo IP dell'aggressore viene bloccato, valori possibili da1 a 60 minuti(per impostazione predefinita15 minuti);observation-window— periodo di tempo in minuti durante il quale devono verificarsi tentativi errati, dopodiché il contatore viene ripristinato, valori possibili da1 a 10 minuti(per impostazione predefinita3 minuti).In KeeneticOS, la registrazione dei tentativi di accesso al sistema non riusciti tramite HTTP è disabilitata per impostazione predefinita. È possibile attivarla con un comando speciale. Il registro di sistema registrerà quindi i tentativi di connessione non riusciti all'interfaccia web HTTP del router. Nell'interfaccia a riga di comando (CLI) del router, eseguire i seguenti comandi:
ip http log auth system configuration save
Ecco un esempio di messaggi del registro di sistema relativi ai tentativi di connessione web (il nostro esempio mostra il primo messaggio relativo a un tentativo di connessione non riuscito e il secondo messaggio mostra informazioni su una connessione al web riuscita):
Oct 18 10:42:43 ndm Core::Scgi::Auth: authentication failed for user "admin" from "172.16.18.33". Oct 18 10:43:11 ndm Core::Scgi::Auth: opened session "OIZROUQRLNJEMZTZ" for user "admin" from "172.16.18.33".
Nota
A partire da KeeneticOS
3.7.1, la funzione di protezione da attacchi brute force della password opera tramite il servizio KeenDNS in modalità accesso tramite Cloud.Per impostare i parametri per il tracciamento dei tentativi di intrusione tramite forzatura bruta delle password del server SSH e FTP per le interfacce pubbliche (abilitato per impostazione predefinita), si usano i comandi corrispondenti:
ip ssh lockout-policyip ftp lockout-policy
A partire da KeeneticOS
3.1, è possibile configurare l'autenticazione con forzatura bruta della password del server VPN PPTP per i tentativi di intrusione (questa funzione è abilitata per impostazione predefinita). Il comando per configurarla è:vpn-server lockout-policy
È possibile trovare informazioni complete sulla sintassi dei comandi menzionati nell'articolo nella Guida CLI in Download center.