در این مقاله آموزشی قصد داریم با برخی از راهکار های افزایش امنیت و مقابله با حملات DDoS , Bruteforce login  در میکروتیک آشنا شویم.  برای این منظور در ابتدا پیشنهاد می شود موارد زیر اعمال شوند

  • غیر فعال کردن سرویس DNS در صورت عدم نیاز

در صورتی که در بخش DNS   گزینه … Allow Remote  فعال باشد ممکن است  باعث ایجاد حملات DNS شود برای جلوگیری از  آن زمانی که این گزینه فعال است این دستورات در CLI اجرا نمایید:

/ip firewall filter

add action=drop chain=input dst-port=53 protocol=udp

add action=drop chain=input dst-port=53 protocol=tcp

  • غیر فعال کردن   Telnet و SSH در صورت عدم نیاز.

در صورتی که نیاز به استفاده از این سرویس ها دارید می توان در قسمت IPگزینه ی Services برای هر سرویس یک Allowed Address  مشخص نمود که آن سرویس فقط در رنج مذکور قابل دسترس باشد.

پیشنهاد می شود پورت های پیش فرض سرویس های Telnet و SSH  نیز تغییر داده شود.

  • تغییر پورت پیش فرض سرویس HTTP به پورت غیر از ۸۰

با اعمال سیاست های فوق تا حدودی روتر از حملات DDoS  در امان می باشد.

برای اینکه بتوان با استفاده از فایروال میکروتیک از اعمال DDoS روی سرور های داخل شبکه نیز جلوگیری نمود دستورات زیر  را عمال می کنیم:

/ip firewall filter

add action=jump chain=forward comment=”DDoS Detection and Blocking” \
connection-state=new jump-target=detect-ddos
add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=DDoSed address-list-timeout=\
۱۰m chain=detect-ddos
add action=add-src-to-address-list address-list=DDoSer address-list-timeout=\
۱۰m chain=detect-ddos
add action=drop chain=forward connection-state=new \
dst-address-list=DDoSed  src-address-list=DDoSer

 دستورات فوق ترافیک عبوری را به یک مرحله جدید برای برسی DDoS منتقل می کند.

در این مرحله ترافیک ها بر اساس تعداد اتصال یا Connection  به ازای IP در Destination و Source ترافیک را مورد برسی قرار می دهد. در این مثال ماتعداد ۳۲ اتصال در ۱۰ هر ثانیه را ملاک حالت عادی قرار داده ایم که در صورت نیاز می توانید به تغییر آن اقدام نمایید.

سپس آدرس حمله کننده و آدرس سروری که به آن حمله می شود را در دو Address List جداگانه قرار می دهد و در این مثال ارتباط این دو آدرس لیست با یکدیگر را بطور کامل قطع می کند.

نحوه مقابله با حملات Bruteforce login در این مواقع معمولاً از طریق پروتکل ftp و پروتکل ssh روتر ما مورد حمله قرار می گیرد که در این مقاله با استفاده از ابزار های بخش Firewall میکروتیک از این اتفاق جلوگیری می نماییم.

ابتدا به بررسی حملات ftp می پردازیم. معمولاً در این حملات با توجه به این که از پروتکل tcp استفاده می شود پاسخی از جانب روتر مبنی بر خطا در نام کاربری و کلمه عبور وارد شده به سمت IP حمله کننده ارسال می شود که ما با استفاده از این پیغام IP حمله کننده را شناسایی و آن را در Blacklist قرار می دهیم:

/ip firewall filter
add action=drop chain=input comment=”Drop FTP Brute Forcers” disabled=yes \
dst-port=21 protocol=tcp src-address-list=”FTP Black List”
add action=accept chain=output content=”530 Login incorrect” disabled=yes \
dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=”FTP Black List” \
address-list-timeout=3h chain=output content=”530 Login incorrect” \
disabled=yes protocol=tcp

در دستور بالا ما IP ادرس حمله کننده را به مدت سه ساعت در ftp-blacklist قرار می دهیم.

برای مقابله با حملات ssh از قابلیت port-knocking میکروتیک استفاده می کنیم. به این صورت که در ابتدا هر درخواستی از جانب یک IP برای پورت ssh ارسال شود IP را در یک لیست قرار می دهد. در ادامه اگر مجدد درخواستی برای اتصال ssh ایجاد شد و از قبل روتر آن ip را در address list خود مشاهده کرد مجدد آن را وارد یک لیست جدید کرده و به همین ترتیب تا ۳ لیست متوالی را ایجاد می کنیم. در صورتی که مجدداً درخواستی از جانب آن IP که در لیست مرحله چهارم قرار دارد ایجاد شد آن IP را Blacklist قرار می دهد و این تعداد متوالی درخواست را به عنوان attacker شناسایی کرده و دسترسی آن را به هر مدت زمانی که ما تعیین می کنیم در آن لیست قرار نگه دارد.

/ip firewall filter

add action=drop chain=input comment=”Drop SSH  Brute Forcers” dst-port=\
۲۲ protocol=tcp  src-address-list=\
“SSH Black List”
add action=add-src-to-address-list address-list=”SSH Black List” \
address-list-timeout=1w3d chain=input connection-state=new dst-port=\
۲۲ protocol=tcp src-address-list=”SSH Stage 3″
add action=add-src-to-address-list address-list=”SSH Stage 3″ \
address-list-timeout=1m chain=input connection-state=new dst-port=\
۲۲ protocol=tcp src-address-list=”SSH Stage 2″
add action=add-src-to-address-list address-list=”SSH Stage 2″ \
address-list-timeout=1m chain=input connection-state=new dst-port=\
۲۲ protocol=tcp src-address-list=”SSH Stage 1″
add action=add-src-to-address-list address-list=”SSH Stage 1″ \
address-list-timeout=1m chain=input connection-state=new dst-port=\
۲۲ protocol=tcp

در نهاید دسترسی SSH Black List به پورت ۲۲ روتر میبندیم :

/ip firewall filter

add action=drop chain=forward comment=”Drop SSH Brute Downstream” dst-port=\
۲۲ protocol=tcp src-address-list=”SSH Black List”

6پسند
1123بازدید

ممكن است این موارد را هم بپسندید!

ارسال دیدگاه

لطفا نام خود را وارد كنید! لطفا آدرس ایمیل را صحیح وارد كنید! لطفا پیام را وارد كنید!