[ #mikrotik ][ #routerboard ] ブルートフォース(SSH)対策。

2014.06.24
mikrotik
FirewallRouterboardRouterOSブルートフォース
Bruteforce login prevention - MikroTik Wiki
wiki.mikrotik.com

Routerboardについて、現在はServiceからアクセスできるアドレス範囲を指定できるようになりましたが、それでもサーバなどを公開している場合、SSHポートなどにアタックを受ける場合があります。

対応しては二通り有り、

POINT

  • ポート番号を変更する
  • Firewall Filterにアタック用のルールを追加する

です。

ここではSSHポートにブルートフォース攻撃を行われることを想定したルールを作成します。

いきなりですがルールの内容です。

/ip firewall filter
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 
in-interface=all-ppp protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist 
address-list-timeout=1w3d chain=input connection-state=new dst-port=22 
in-interface=all-ppp protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 
address-list-timeout=1m chain=input connection-state=new dst-port=22 
in-interface=all-ppp protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 
address-list-timeout=1m chain=input connection-state=new dst-port=22 
in-interface=all-ppp protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 
address-list-timeout=1m chain=input connection-state=new dst-port=22 
in-interface=all-ppp protocol=tcp

このルールの場合は、下から効力を発揮します。
まずSSHポートに対して1セッションでも接続しようとすると、ssh_stage1(効果時間1分)にIPアドレスが登録されます。

次にもう1セッションでも接続しようとすると、ssh_stage2(効果時間1分)にIPアドレスが登録されます。

3セッション目が来るとssh_stage3(効果時間1分)にIPアドレスが登録されます。

4回以上接続しようとすると、今度は効果時間が10日間あるssh_blacklistに登録され、かつ、一番上のルールであるdropにて、ssh_blacklistにあるIPアドレスの接続がdropされるようになります。

実際には以下の様な感じで登録されています。

[admin@MikroTik] /ip firewall address-list> print
Flags: X - disabled, D - dynamic
#   LIST                  ADDRESS                         TIMEOUT
0   internal              192.168.1.0/24
1 D blocked-addr          188.254.156.182                 1w1d3h45m24s
2 D blocked-addr          24.234.234.93                   1w1d3h49m26s
3 D blocked-addr          82.3.67.238                     1w1d4h10m31s
4 D blocked-addr          78.29.98.80                     1w1d5h1m1s
5 D ssh_blacklist         61.174.51.223                   1w1d5h25m9s

protocolとdst-portを変更することで、FTPや他のプロトコルなどにも応用することが出来ます。

ということでRouterboardユーザーの方はfirewall filterを賢く使ってセキュアな環境を構築してください。

RB2011UiAS-IN
RB2011UiAS-IN

MikroTik
売り上げランキング : 92440

Amazonで詳しく見る by AZlink

RBGPOE
RBGPOE

MikroTik
売り上げランキング : 174450

Amazonで詳しく見る by AZlink

この記事を書いた人

kometchtech

うつ病を患いながら、IT業界の末席にいるおっさんエンジニア。科学計算をしたことがないのに、HPC分野にお邪魔している。興味のある分野で学習したことをblogにまとめつつ、うつ病の経過症状のメモも置いておく日々。じつはRouterboard User Group JPの中の人でもある。 Amazon欲しいものリスト / Arm板を恵んでくれる人募集中

kometchtechをフォローする
kometchtech
タイトルとURLをコピーしました