+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Чтобы предотвратить подбор пароля к вашему FTP-серверу

Чтобы предотвратить подбор пароля к вашему FTP-серверу, RouterOS

Borage

Guest

04.07.2007 15:33:00

Вот несколько правил брандмауэра, чтобы остановить/замедлить подборщики паролей, пытающихся взломать ваш FTP-сервер. В этом примере FTP-сервер — маршрутизатор MikroTik. Чтобы защитить FTP-сервер за MikroTik, нужно использовать цепочку forward вместо цепочек input и output. Начальный этап (этап 1) добавляет IP-адрес во временный список адресов ftp_stage1 (таймауты через 1 минуту). А затем каждая попытка входа в течение минуты запускает следующие этапы (этап 2 - этап 4) до тех пор, пока не достигнет последнего этапа (этап 5), который добавляет IP-адрес в ftp_blacklist (таймауты через 1 неделю). Нужно изменить in-interface на что-то другое, если ether1 — это не сетевая карта (NIC), подключенная к Интернету. Это правило отбрасывает всех перечисленных подборщиков паролей / ip firewall filter
add chain=input in-interface=ether1 protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop
comment="drop ftp brute forcers" disabled=no Это правило добавляет подборщиков паролей в черный список (четвертая попытка входа в течение минуты) / ip firewall filter
add chain=output content="530 Login incorrect" dst-address-list=ftp_stage4 action=add-dst-to-address-list
address-list=ftp_blacklist address-list-timeout=1w comment="auto-firewall ftp - stage 5" disabled=no Третья попытка входа (в течение минуты) / ip firewall filter
add chain=output content="530 Login incorrect" dst-address-list=ftp_stage3 action=add-dst-to-address-list
address-list=ftp_stage4 address-list-timeout=1m comment="auto-firewall ftp - stage 4" disabled=no Вторая попытка входа (в течение минуты) / ip firewall filter
add chain=output content="530 Login incorrect" dst-address-list=ftp_stage2 action=add-dst-to-address-list
address-list=ftp_stage3 address-list-timeout=1m comment="auto-firewall ftp - stage 3" disabled=no Первая попытка входа (в течение минуты) / ip firewall filter
add chain=output content="530 Login incorrect" dst-address-list=ftp_stage1 action=add-dst-to-address-list
address-list=ftp_stage2 address-list-timeout=1m comment="auto-firewall ftp - stage 2" disabled=no Начальный этап / ip firewall filter
add chain=input in-interface=ether1 protocol=tcp dst-port=21 action=add-src-to-address-list
address-list=ftp_stage1 address-list-timeout=1m comment="auto-firewall ftp - stage 1" disabled=no

mrz

Guest

23.07.2007 13:08:00

Извини, моя ошибка: / ip firewall filter
add chain=input in-interface=ether1 protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop

# разрешаем 10 неправильных входов в минуту
/ ip firewall filter
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m

# добавляем в чёрный список
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=blacklist address-list-timeout=3h Это работает нормально. Протестировано.

jorj

Guest

17.08.2007 08:53:00

Проверено и работает. Еще один способ защитить вас: создайте учетную запись только с разрешением FTP. Это не должно сильно повлиять на ваш сервер. Также оставьте административную учетную запись без прав вообще и создайте еще одну на ваше имя. Это сделает еще сложнее для злоумышленника получить валидную пару логин/пароль для доступа к вашей сети.

mrz Guest	#4 0 24.08.2007 05:42:00 Да, ты можешь использовать этот скрипт в своём туториале.

Mactrekr

Guest

10.04.2008 23:50:00

мрз, похоже, у меня вообще не получается запустить твой скрипт. Я очень внимательно его ввёл и проверил в Winbox, но всё равно не работает. Даже после 12 неудачных попыток я всё ещё могу подключиться по SSH. Буду благодарен за любую помощь. Мак

Mactrekr Guest	#6 0 11.04.2008 04:47:00 Да ладно, разобрался, работает теперь, спасибо!

joie

Guest

15.07.2015 17:08:00

Только что попробовал внедрить этот скрипт, и он не работает. Использовал скрипт из вики, в котором не было указания интерфейса. http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention_(FTP Ниже привожу скрипт, который я запускаю.

add action=drop chain=forward comment="Drop FTP Brute Force" disabled=no
dst-port=21 protocol=tcp src-address-list=ftp_blacklist

add action=accept chain=forward comment="" content="530 1326" disabled=no
dst-limit=1/1m,9,dst-address/1m protocol=tcp

add action=add-dst-to-address-list address-list=ftp_blacklist
address-list-timeout=3h chain=forward comment="" content="530 1326"
disabled=no protocol=tcp

Микротик не является FTP-сервером, поэтому я изменил цепочки с input/output на forward и обновил "530 Incorrect Login" в соответствии с ответом моего сервера, но все равно не работает. Я также пробовал добавлять интерфейс, а также использовать input/output вместо forward, но не показывает, что видит какой-либо трафик.

С уважением,
Joie

mamadmade Guest	#8 0 26.10.2015 11:10:00 Кто-нибудь знает, как сделать так, чтобы это правило выдавало результат и отправляло его по электронной почте? Ну, что-то вроде отчета по почте из этого. Спасибо всем, кто сможет помочь!

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры