Bruteforce login prevention - MikroTik Wiki
Routerboardについて、現在はServiceからアクセスできるアドレス範囲を指定できるようになりましたが、それでもサーバなどを公開している場合、SSHポートなどにアタックを受ける場合があります。
対応しては二通り有り、
POINT
- ポート番号を変更する
- Firewall Filterにアタック用のルールを追加する
です。
ここではSSHポートにブルートフォース攻撃を行われることを想定したルールを作成します。
いきなりですがルールの内容です。
/ip firewall filter add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 in-interface=all-ppp protocol=tcp src-address-list=ssh_blacklist add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 in-interface=all-ppp protocol=tcp src-address-list=ssh_stage3 add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 in-interface=all-ppp protocol=tcp src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 in-interface=all-ppp protocol=tcp src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 in-interface=all-ppp protocol=tcp
このルールの場合は、下から効力を発揮します。
まずSSHポートに対して1セッションでも接続しようとすると、ssh_stage1(効果時間1分)にIPアドレスが登録されます。
次にもう1セッションでも接続しようとすると、ssh_stage2(効果時間1分)にIPアドレスが登録されます。
3セッション目が来るとssh_stage3(効果時間1分)にIPアドレスが登録されます。
4回以上接続しようとすると、今度は効果時間が10日間あるssh_blacklistに登録され、かつ、一番上のルールであるdropにて、ssh_blacklistにあるIPアドレスの接続がdropされるようになります。
実際には以下の様な感じで登録されています。
[admin@MikroTik] /ip firewall address-list> print Flags: X - disabled, D - dynamic # LIST ADDRESS TIMEOUT 0 internal 192.168.1.0/24 1 D blocked-addr 188.254.156.182 1w1d3h45m24s 2 D blocked-addr 24.234.234.93 1w1d3h49m26s 3 D blocked-addr 82.3.67.238 1w1d4h10m31s 4 D blocked-addr 78.29.98.80 1w1d5h1m1s 5 D ssh_blacklist 61.174.51.223 1w1d5h25m9s
protocolとdst-portを変更することで、FTPや他のプロトコルなどにも応用することが出来ます。
ということでRouterboardユーザーの方はfirewall filterを賢く使ってセキュアな環境を構築してください。
RB2011UiAS-IN MikroTik Amazonで詳しく見る by AZlink |
RBGPOE MikroTik Amazonで詳しく見る by AZlink |