[ #mikrotik ][ #routerboard ] ブルートフォース(SSH)対策。

    Related Posts Plugin for WordPress, Blogger...
    Bruteforce login prevention - MikroTik Wiki /
    http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention

    Routerboardについて、現在はServiceからアクセスできるアドレス範囲を指定できるようになりましたが、それでもサーバなどを公開している場合、SSHポートなどにアタックを受ける場合があります。

    対応しては二通り有り、
    ・ポート番号を変更する
    ・Firewall Filterにアタック用のルールを追加する
    です。

    ここではSSHポートにブルートフォース攻撃を行われることを想定したルールを作成します。

    いきなりですがルールの内容です。
    /ip firewall filter
    add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
    in-interface=all-ppp protocol=tcp src-address-list=ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \
    in-interface=all-ppp protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    in-interface=all-ppp protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    in-interface=all-ppp protocol=tcp src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    in-interface=all-ppp protocol=tcp

    このルールの場合は、下から効力を発揮します。
    まずSSHポートに対して1セッションでも接続しようとすると、ssh_stage1(効果時間1分)にIPアドレスが登録されます。
    次にもう1セッションでも接続しようとすると、ssh_stage2(効果時間1分)にIPアドレスが登録されます。
    3セッション目が来るとssh_stage3(効果時間1分)にIPアドレスが登録されます。
    4回以上接続しようとすると、今度は効果時間が10日間あるssh_blacklistに登録され、かつ、一番上のルールであるdropにて、ssh_blacklistにあるIPアドレスの接続がdropされるようになります。

    実際には以下の様な感じで登録されています。
    [admin@MikroTik] /ip firewall address-list> print        
    Flags: X - disabled, D - dynamic
    # LIST ADDRESS TIMEOUT
    0 internal 192.168.1.0/24
    1 D blocked-addr 188.254.156.182 1w1d3h45m24s
    2 D blocked-addr 24.234.234.93 1w1d3h49m26s
    3 D blocked-addr 82.3.67.238 1w1d4h10m31s
    4 D blocked-addr 78.29.98.80 1w1d5h1m1s
    5 D ssh_blacklist 61.174.51.223 1w1d5h25m9s

    protocolとdst-portを変更することで、FTPや他のプロトコルなどにも応用することが出来ます。

    ということでRouterboardユーザーの方はfirewall filterを賢く使ってセキュアな環境を構築してください。

    RB2011UiAS-INRB2011UiAS-IN


    MikroTik
    売り上げランキング : 92440

    Amazonで詳しく見る by AZlink

    RBGPOERBGPOE


    MikroTik
    売り上げランキング : 174450

    Amazonで詳しく見る by AZlink


    Pagination

    Trackback

    Trackback URL

    http://kometchtech.blog.fc2.com/tb.php/1543-ffc1a816

    Comment

    Post Your Comment

    コメント登録フォーム
    公開設定

    Utility

    Profile

    kometch

    Author:kometch
    なんちゃってエンジニアです。
    2009年10月から業務都合により大阪勤務になりました。
    2010年1月、HYBRID W-ZERO3を購入しました。
    2010年11月、HTC Desire HDを購入しました。
    2012年2月、都内の会社に転職しました。
    2012年5月、HTC One Xを購入しました。
    2012年8月、事情により休職しました。
    2012年8月、SONY Xperia SXを購入しました。
    2013年1月、一身上の都合により退職しました。
    2014年3月、都内の会社に就職しました。
    2016年8月、HPC系の会社に転職しました。

    Amazonほしい物リスト
    何か問題などありましたら、こちらまで。 Twitter:@kometchtech follow us in feedly

    カレンダー

    05 | 2017/06 | 07
    - - - - 1 2 3
    4 5 6 7 8 9 10
    11 12 13 14 15 16 17
    18 19 20 21 22 23 24
    25 26 27 28 29 30 -

    全記事(数)表示

    全タイトルを表示

    バロメーター

    カテゴリー

    カテゴリークラウド

    アーカイブ

    検索フォーム

    FC2カウンター

    現在の閲覧者数

    現在の閲覧者数:

    Amazon アフィリエイト

    スポンサードリンク

    Latvia Time

    IPv4/IPv6

    月間ページランキング

    ブログパーツ

    サイトランキング

    スポンサードリンク