Page 2 of 5 FirstFirst 1234 ... LastLast
Results 16 to 30 of 75

Thread: Настройка brute force protection на роутере

  1. 01-01-2009, 17:52 #16
    chyvack
    chyvack is offline Junior Member
    Join Date
    Feb 2008
    Location
    NNov
    Posts
    13
    http://wl500g.info/showpost.php?p=69964&postcount=63
    http://wl500g.info/showthread.php?t=16753&highlight=ssh
    wl500gP 128MB + ViPower VPA-35018 + WD GP 1TB hdd
    Reply With Quote Reply With Quote
  2. 17-02-2010, 06:19 #17
    MrGalaxy
    MrGalaxy is offline Вечный студент
    Join Date
    Apr 2008
    Location
    город самоваров и пряников
    Posts
    1,492

    Не работает brute force protection

    Решил активировать эту опцию в веб-морде wl500gP. Проверяю: ввожу несколько раз неверный пароль по SSH, потом верный и нормально вхожу.
    Что я не так сделал?
    Прошивка 1087.
    Ламер, деградировавший до чайника.

    1. WL-500gP(v1)|RAM 128M|Entware 3.0.4-r4844M|Доработаны цепи питания|Заменены светодиоды
    Samsung G2 Portable HX-MU050DC|Скрипт поднятия wan после падения|transmission|dlengine|vnstat
    2. DIR-320|RAM 64M|Flash 8M|Entware 1.9.2.7-rtn-r4772M|Принт-сервер для HP 1000-1022, P1005-P1505
    Reply With Quote Reply With Quote
  3. 17-02-2010, 06:48 #18
    karea
    karea is offline Senior Member
    Join Date
    Sep 2009
    Posts
    415
    Quote Originally Posted by MrGalaxy View Post
    Решил активировать эту опцию в веб-морде wl500gP. Проверяю: ввожу несколько раз неверный пароль по SSH, потом верный и нормально вхожу.
    Что я не так сделал?
    Прошивка 1087.
    Подддерживаю, совершенно непонятно как эта опция работает и работает ли вообще, 600 ставишь - залезть пытаются и неоднократно, 6000 ставишь та же история.
    Помогает только фильтр на пытающийся залезть URL в Firewall.
    Хотя может быть этот вопрос нужно задать в топике о прошивках от энтузиастов.
    Last edited by karea; 17-02-2010 at 07:08.
    Sezam-902HD
    Reply With Quote Reply With Quote
  4. 17-02-2010, 08:51 #19
    al37919
    al37919 is offline Forum Guru
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    проверил --- все работает.

    Защита реагирует на устаноление соединения, а не на ввод пароля. Более того, для нее неважно был введен корректный пароль или нет. У меня стоит 1 попытка за 60 сек. Логинимся первый раз, выходим, сразу пытаемся логиниться второй раз и не получаем запрос на ввод пароля. Блокирование осуществляется на заданное время после последней попытки. Очень большое время ставить смысла нет, т.к. есть шанс заблокировать самого себя.

    учтенные на данный момент IP адреса можно просмотреть здесь:
    Code:
    cat /proc/net/ipt_recent/BRUTE
    Reply With Quote Reply With Quote
  5. 17-02-2010, 16:55 #20
    MrGalaxy
    MrGalaxy is offline Вечный студент
    Join Date
    Apr 2008
    Location
    город самоваров и пряников
    Posts
    1,492
    Quote Originally Posted by al37919 View Post
    Защита реагирует на устаноление соединения, а не на ввод пароля. Более того, для нее неважно был введен корректный пароль или нет.
    Допустим так. Как видно по моему скрину из 1-го поста, у меня настроено на 5 попыток в течение 600 с. Я сделал больше и запрос пароля всё-равно возникал у меня.
    Так что у меня неправильно?

    ЗЫ: Куда-то исчез скрин, блин, в космос, что-ли испарился...
    Вот повторяю:

    Ламер, деградировавший до чайника.

    1. WL-500gP(v1)|RAM 128M|Entware 3.0.4-r4844M|Доработаны цепи питания|Заменены светодиоды
    Samsung G2 Portable HX-MU050DC|Скрипт поднятия wan после падения|transmission|dlengine|vnstat
    2. DIR-320|RAM 64M|Flash 8M|Entware 1.9.2.7-rtn-r4772M|Принт-сервер для HP 1000-1022, P1005-P1505
    Reply With Quote Reply With Quote
  6. 17-02-2010, 17:01 #21
    Unlimited
    Unlimited is offline Senior Member
    Join Date
    Oct 2008
    Posts
    451
    так это попытки внутри одного соединения... а фаерволом контролируются именно попытки установить соединение...
    ASUS RT-N16 (1.9.2.7-rtn) + multi-wan (2x PPPoE, было на WL-500W)
    Нужно делать так как нужно, а как не нужно - делать не нужно.
    Reply With Quote Reply With Quote
  7. 17-02-2010, 17:14 #22
    MrGalaxy
    MrGalaxy is offline Вечный студент
    Join Date
    Apr 2008
    Location
    город самоваров и пряников
    Posts
    1,492
    Не вопрос! Сейчас запускал putty и закрывал несколько раз. Вот фрагмент лога:

    Code:
    Feb 17 18:55:01 /opt/sbin/cron[8216]: (admin) CMD (run-parts /opt/etc/cron.1mins)
Feb 17 18:55:30 dropbear[8242]: Child connection from ::ffff:192.168.2.221:49407
Feb 17 18:55:33 dropbear[8242]: exit before auth: Exited normally
Feb 17 18:55:36 dropbear[8243]: Child connection from ::ffff:192.168.2.221:49408
Feb 17 18:55:38 dropbear[8243]: exit before auth: Exited normally
Feb 17 18:55:41 dropbear[8244]: Child connection from ::ffff:192.168.2.221:49409
Feb 17 18:55:43 dropbear[8244]: exit before auth: Exited normally
Feb 17 18:55:46 dropbear[8245]: Child connection from ::ffff:192.168.2.221:49410
Feb 17 18:55:48 dropbear[8245]: exit before auth: Exited normally
Feb 17 18:55:50 dropbear[8246]: Child connection from ::ffff:192.168.2.221:49411
Feb 17 18:55:53 dropbear[8246]: exit before auth: Exited normally
Feb 17 18:55:55 dropbear[8249]: Child connection from ::ffff:192.168.2.221:49412
Feb 17 18:55:58 dropbear[8249]: exit before auth: Exited normally
Feb 17 18:56:00 dropbear[8250]: Child connection from ::ffff:192.168.2.221:49413
Feb 17 18:56:01 /opt/sbin/cron[8252]: (admin) CMD (run-parts /opt/etc/cron.1mins)
Feb 17 18:56:05 dropbear[8250]: password auth succeeded for 'admin' from ::ffff:192.168.2.221:49413
Feb 17 18:56:09 dropbear[8250]: exit after auth (admin): Exited normally
    Роутер даже не подумал меня отфутболить.

    Скажете: я не пытался авторизоваться? Вот, пожалуйста:

    Code:
    Feb 17 18:59:26 dropbear[8279]: Child connection from ::ffff:192.168.2.221:49431
Feb 17 18:59:28 dropbear[8279]: bad password attempt for 'admin' from ::ffff:192.168.2.221:49431
Feb 17 18:59:29 dropbear[8279]: exit before auth (user 'admin', 1 fails): Exited normally
Feb 17 18:59:31 dropbear[8280]: Child connection from ::ffff:192.168.2.221:49432
Feb 17 18:59:33 dropbear[8280]: bad password attempt for 'admin' from ::ffff:192.168.2.221:49432
Feb 17 18:59:34 dropbear[8280]: exit before auth (user 'admin', 1 fails): Exited normally
Feb 17 18:59:36 dropbear[8281]: Child connection from ::ffff:192.168.2.221:49433
Feb 17 18:59:38 dropbear[8281]: bad password attempt for 'admin' from ::ffff:192.168.2.221:49433
Feb 17 18:59:39 dropbear[8281]: exit before auth (user 'admin', 1 fails): Exited normally
Feb 17 18:59:41 dropbear[8282]: Child connection from ::ffff:192.168.2.221:49434
Feb 17 18:59:42 dropbear[8282]: bad password attempt for 'admin' from ::ffff:192.168.2.221:49434
Feb 17 18:59:44 dropbear[8282]: exit before auth (user 'admin', 1 fails): Exited normally
Feb 17 18:59:46 dropbear[8283]: Child connection from ::ffff:192.168.2.221:49435
Feb 17 18:59:48 dropbear[8283]: bad password attempt for 'admin' from ::ffff:192.168.2.221:49435
Feb 17 18:59:50 dropbear[8283]: exit before auth (user 'admin', 1 fails): Exited normally
Feb 17 18:59:52 dropbear[8284]: Child connection from ::ffff:192.168.2.221:49436
Feb 17 18:59:57 dropbear[8284]: password auth succeeded for 'admin' from ::ffff:192.168.2.221:49436
Feb 17 19:00:01 /opt/sbin/cron[8290]: (admin) CMD (run-parts /opt/etc/cron.5mins)
Feb 17 19:00:01 /opt/sbin/cron[8291]: (admin) CMD (run-parts /opt/etc/cron.1mins)
Feb 17 19:00:01 dropbear[8284]: exit after auth (admin): Exited normally
    Last edited by MrGalaxy; 17-02-2010 at 17:18.
    Ламер, деградировавший до чайника.

    1. WL-500gP(v1)|RAM 128M|Entware 3.0.4-r4844M|Доработаны цепи питания|Заменены светодиоды
    Samsung G2 Portable HX-MU050DC|Скрипт поднятия wan после падения|transmission|dlengine|vnstat
    2. DIR-320|RAM 64M|Flash 8M|Entware 1.9.2.7-rtn-r4772M|Принт-сервер для HP 1000-1022, P1005-P1505
    Reply With Quote Reply With Quote
  8. 17-02-2010, 17:17 #23
    Unlimited
    Unlimited is offline Senior Member
    Join Date
    Oct 2008
    Posts
    451
    А если с внешнего интерфейса? ;-)

    У меня все работает, только что проверил:
    Code:
    ftp# ssh unlim.homeip.net
root@unlim.homeip.net's password:
Permission denied, please try again.
root@unlim.homeip.net's password:

ftp# ssh unlim.homeip.net
root@unlim.homeip.net's password:
Permission denied, please try again.
root@unlim.homeip.net's password:

ftp# ssh unlim.homeip.net
root@unlim.homeip.net's password:
Permission denied, please try again.
root@unlim.homeip.net's password:
Permission denied, please try again.
root@unlim.homeip.net's password:

ftp# ssh unlim.homeip.net
ssh: connect to host unlim.homeip.net port 22: Operation timed out
    RT-N16,r1211,brute ssh 3/60.
    Last edited by Unlimited; 17-02-2010 at 17:23.
    ASUS RT-N16 (1.9.2.7-rtn) + multi-wan (2x PPPoE, было на WL-500W)
    Нужно делать так как нужно, а как не нужно - делать не нужно.
    Reply With Quote Reply With Quote
  9. 17-02-2010, 17:21 #24
    theMIROn
    theMIROn is offline Undeveloper
    Join Date
    Jul 2008
    Posts
    3,277
    Blog Entries
    1
    ssh должен быть включен через web интерфейс.
    ASUS WL5xx: FW 1.9.2.7-d-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | bip irc proxy
    ASUS RT-N1x: FW 1.9.2.7-rtn-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | fake ident daemon
    Reply With Quote Reply With Quote
  10. 17-02-2010, 17:24 #25
    MrGalaxy
    MrGalaxy is offline Вечный студент
    Join Date
    Apr 2008
    Location
    город самоваров и пряников
    Posts
    1,492
    Quote Originally Posted by Unlimited View Post
    А если с внешнего интерфейса? ;-)
    М-м-м.. Это как? Я вход извне в принципе запретил.
    Мне нужно добиться, чтобы это в локальной сети работало! А то кто-то уже пару раз пытался ко мне проникнуть.

    Quote Originally Posted by theMIROn View Post
    ssh должен быть включен через web интерфейс.
    Включён через веб.
    Last edited by MrGalaxy; 17-02-2010 at 17:28.
    Ламер, деградировавший до чайника.

    1. WL-500gP(v1)|RAM 128M|Entware 3.0.4-r4844M|Доработаны цепи питания|Заменены светодиоды
    Samsung G2 Portable HX-MU050DC|Скрипт поднятия wan после падения|transmission|dlengine|vnstat
    2. DIR-320|RAM 64M|Flash 8M|Entware 1.9.2.7-rtn-r4772M|Принт-сервер для HP 1000-1022, P1005-P1505
    Reply With Quote Reply With Quote
  11. 17-02-2010, 17:29 #26
    Unlimited
    Unlimited is offline Senior Member
    Join Date
    Oct 2008
    Posts
    451
    работает с обоих WAN интерфейсов и ppp0(инет) и eth0 (провайдерская локаль)...
    А зачем тебе нужно чтоб из твоей LAN работало?
    ASUS RT-N16 (1.9.2.7-rtn) + multi-wan (2x PPPoE, было на WL-500W)
    Нужно делать так как нужно, а как не нужно - делать не нужно.
    Reply With Quote Reply With Quote
  12. 17-02-2010, 17:32 #27
    MrGalaxy
    MrGalaxy is offline Вечный студент
    Join Date
    Apr 2008
    Location
    город самоваров и пряников
    Posts
    1,492
    Quote Originally Posted by Unlimited View Post
    А зачем тебе нужно чтоб из твоей LAN работало?
    Я, вроде, объяснил...
    Ситуация жизненная, а потом дело не в том, для чего это мне надо, а работает ли в принципе или это у меня руки-крюки.
    Last edited by MrGalaxy; 17-02-2010 at 17:35.
    Ламер, деградировавший до чайника.

    1. WL-500gP(v1)|RAM 128M|Entware 3.0.4-r4844M|Доработаны цепи питания|Заменены светодиоды
    Samsung G2 Portable HX-MU050DC|Скрипт поднятия wan после падения|transmission|dlengine|vnstat
    2. DIR-320|RAM 64M|Flash 8M|Entware 1.9.2.7-rtn-r4772M|Принт-сервер для HP 1000-1022, P1005-P1505
    Reply With Quote Reply With Quote
  13. 17-02-2010, 20:29 #28
    theMIROn
    theMIROn is offline Undeveloper
    Join Date
    Jul 2008
    Posts
    3,277
    Blog Entries
    1
    Quote Originally Posted by MrGalaxy View Post
    Я, вроде, объяснил...
    Ситуация жизненная, а потом дело не в том, для чего это мне надо, а работает ли в принципе или это у меня руки-крюки.
    из локалки защиты нет. можно сделать вручную посредством iptables и, если включена защита в web инетерфейсе, таблицы BRUTE
    ASUS WL5xx: FW 1.9.2.7-d-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | bip irc proxy
    ASUS RT-N1x: FW 1.9.2.7-rtn-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | fake ident daemon
    Reply With Quote Reply With Quote
  14. 17-02-2010, 21:01 #29
    MrGalaxy
    MrGalaxy is offline Вечный студент
    Join Date
    Apr 2008
    Location
    город самоваров и пряников
    Posts
    1,492
    Quote Originally Posted by theMIROn View Post
    из локалки защиты нет. можно сделать вручную посредством iptables и, если включена защита в web инетерфейсе, таблицы BRUTE
    Спасибо за информацию. Где почитать про таблицу BRUTE? Спрашивал Гугл, но он молчит, как партизан.
    А ещё было бы лучше готовое правило и куда его записать.

    И пожелание разработчикам включить защиту от таких атак в последующие версии прошивки.
    Ламер, деградировавший до чайника.

    1. WL-500gP(v1)|RAM 128M|Entware 3.0.4-r4844M|Доработаны цепи питания|Заменены светодиоды
    Samsung G2 Portable HX-MU050DC|Скрипт поднятия wan после падения|transmission|dlengine|vnstat
    2. DIR-320|RAM 64M|Flash 8M|Entware 1.9.2.7-rtn-r4772M|Принт-сервер для HP 1000-1022, P1005-P1505
    Reply With Quote Reply With Quote
  15. 18-02-2010, 09:20 #30
    theMIROn
    theMIROn is offline Undeveloper
    Join Date
    Jul 2008
    Posts
    3,277
    Blog Entries
    1
    Quote Originally Posted by MrGalaxy View Post
    Спасибо за информацию. Где почитать про таблицу BRUTE? Спрашивал Гугл, но он молчит, как партизан.
    А ещё было бы лучше готовое правило и куда его записать.

    И пожелание разработчикам включить защиту от таких атак в последующие версии прошивки.
    При чем тут гугл? Глядите в самом роутере
    Code:
    $ iptables-save
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
    поэтому соединения из локлки (br0) не подпадают под защиту
    ASUS WL5xx: FW 1.9.2.7-d-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | bip irc proxy
    ASUS RT-N1x: FW 1.9.2.7-rtn-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | fake ident daemon
    Reply With Quote Reply With Quote
Page 2 of 5 FirstFirst 1234 ... LastLast
« Previous Thread | Next Thread »

Similar Threads

  1. Установка и настройка asterisk на роутере
    By ptabashov in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 247
    Last Post: 04-11-2021, 08:59
  2. Настройка CRON на роутере
    By dccharacter in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 338
    Last Post: 04-11-2014, 20:25
  3. Настройка mpcs на роутере
    By poptab in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 1059
    Last Post: 17-07-2012, 06:22
  4. [HowTo] avoid brute force in AP mode
    By newbiefan in forum WL-500gP Tutorials
    Replies: 8
    Last Post: 17-06-2010, 19:58
  5. VSFTP Brute force attacks
    By sarlacc in forum WL-500g Q&A
    Replies: 2
    Last Post: 28-08-2007, 19:56

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Forum Rules