Jump to content

Как защититься от брутфорса с разных IP

С неделю назад заметил что какой-то олень нехороший человек долбится по PPtP. имеющаяся схема блокировки не срабатывает, т.к. за проход с одного IP делается всего 2 попытки, зато адресов много - почти целая подсеть /24.

Итого получаем почти 500 попыток авторизации за минуту раз в пару часов.

Взлома конечно не боюсь, с паролями все хорошо, но сам факт напрягает.

 

Сейчас реализовано так:
 

add action=drop chain=input comment="Drop List" src-address-list=drop_list
add action=add-src-to-address-list address-list=drop_list address-list-timeout=1d chain=input comment="Bruteforce login prevention(auth_err: stage3 to drop_list)" \
    connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_3
add action=add-src-to-address-list address-list=auth_err_stage_3 address-list-timeout=2m chain=input comment="Bruteforce login prevention(auth_err: stage2 to stage3)" \
    connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_2
add action=add-src-to-address-list address-list=auth_err_stage_2 address-list-timeout=6h chain=input comment="Bruteforce login prevention(auth_err: stage1 to stage2)" \
    connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_1
add action=add-src-to-address-list address-list=auth_err_stage_1 address-list-timeout=12h chain=input comment="Bruteforce login prevention(auth_err: stage1)" \
    connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=!white_list

В свете последней активности хотелось бы блокировать сразу всю сеть после, скажем 10 попыток подключения из этой сети.

Есть идеи как это реализовать? 

Share this post


Link to post
Share on other sites

11 минут назад, Leninxxx сказал:

В свете последней активности хотелось бы блокировать сразу всю сеть после, скажем 10 попыток подключения из этой сети.Есть идеи как это реализовать? 

Костылем из планировщика?

Share this post


Link to post
Share on other sites

17 минут назад, alibek сказал:

Для начала нужно определиться, что такое "вся сеть".

Сетью можно считать и 0.0.0.0/0.

ну брутят-то из сети /24, следовательно ее и хочется блокировать.

 

29 минут назад, TheUser сказал:

Костылем из планировщика?

Хочется более элегантого решения :)

Share this post


Link to post
Share on other sites

В 28.02.2020 в 01:00, Leninxxx сказал:

Хочется более элегантого решения :)

Закройте полностью PPtP, прикрутите port-knocking, и будет вам счастье ))

Share this post


Link to post
Share on other sites

В 28.02.2020 в 09:20, Leninxxx сказал:

В свете последней активности хотелось бы блокировать сразу всю сеть после, скажем 10 попыток подключения из этой сети.

Есть идеи как это реализовать? 

Все такие блокировки порой занимают ресурсы процессора и на больших объемах трафика их уже не применить.

Выгоднее тут иметь схему с белым трафиком.

Ну и уходить на другие протоколы - L2TP, SSTP.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.