Функция защиты от перебора паролей для доступа к интернет-центру

Начиная с микропрограммы бета-версии NDMS V2.08.B0 была улучшена защита интернет-центра от роботов, перебирающих пароли. Защита работает для внешних интерфейсов устройства по протоколам HTTP (TCP/80) и Telnet (TCP/23). На момент написания статьи указанная микропрограмма доступна для Keenetic III, Giga III, Ultra II, LTE, Viva, Extra, Omni II, Lite III, 4G III, Start II, Air и Extra II.

По умолчанию данная защита включена в интернет-центре. В случае, если кто-то в течение 3-х минут 5 раз неверно введет учетные данные для входа в интернет-центр, его IP-адрес будет заблокирован на 15 минут.

Внешне это выглядит следующим образом:

1. Злоумышленник обращается к веб-интерфейсу интернет-центра.

2. Вводит неверные логин и пароль. После срабатывания защиты веб-интерфейс интернет-центра перестает отвечать на запросы с IP-адреса, с которого выполнялись попытки доступа.

3. В системном журнале интернет-центра появляется соответствующая запись:

Управлять данной функцией можно через интерфейс командной строки (CLI) интернет-центра.
Синтаксис команд следующий:

ip http lockout-policy {threshold} [{duration} [{observation-window}}]]

ip telnet lockout-policy {threshold} [{duration} [{observation-window}}]]

где

threshold — количество попыток ввести неверный пароль, возможные значения от 4 до 20 попыток (по умолчанию 5);

duration — время в минутах, на которое блокируется IP-адрес злоумышленника, возможные значения от 1 до 60 минут (по умолчанию 15 минут);

observation-window — период времени в минутах, за который должны произойти неверные попытки, после чего счетчик сбрасывается, возможные значения от 1 до 10 минут (по умолчанию 3 минуты).

KB-5152

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 5 из 5
Еще есть вопросы? Отправить запрос

Комментарии

Комментариев: 2
  • А разбираться с диапазоном возможных значений пользователи должны сами?
    А также с вашими всевозможными скобками?
    Хотя бы привели пример командной строки чтобы было понятно, что всю вашу кучу скобок всех возможных видов нужно просто стереть.

    К какой паре присовокупить вашу последнюю квадратную скобку?

  • Самое главное, что по умолчанию такая защита включена в интернет-центре (если в течение 3-х минут 5 раз злоумышленник неверно введет учетные данные для входа в интернет-центр, его IP-адрес будет заблокирован на 15 минут).
    Обращаю ваше внимание, что защита работает для внешних интерфейсов устройства по протоколам HTTP (TCP/80) и Telnet (TCP/23). Т.е. проверять работу данной функции нужно со стороны WAN-интерфейса (из Интернета).
    Как правило, для 99% пользователей, не нужно дополнительно настраивать эту функцию (она работает по умолчанию с оптимальными параметрами). Но если кто-то захочет под свои нужды сделать дополнительные настройки, то в этом случае может воспользоваться приведенными в статье специальными командами.
    Например, хотим ужесточить правила по умолчанию (5-15-3). В CLI выполним команду:
    ip http lockout-policy 4 60 1
    В этом случае для веб-интерфейса будет включена следующая защита, - если кто-то в течение одной минуты выполнит 4 неверные попытки для подключения к веб-конфигуратору интернет-центра, его IP-адрес будет заблокирован на 60 минут.

Войдите в службу, чтобы оставить комментарий.