Защита RDP от брутфорса

Тема в разделе "Вопросы и решение проблем", создана пользователем AlexFo, 17 мар 2021.

  1. AlexFo

    AlexFo New Member

    Регистрация:
    17 мар 2021
    Сообщения:
    1
    Симпатии:
    0
    Баллы:
    1
    Хочу понять насколько будет эффективна такая защита без использования VPN? Нестандартный порт уже проходил всё равно находят.

    В начале установлении RDP-подключения на порт МикроТика “прилетают” пакеты со статусом NEW. Все остальные пакеты для установленной сессии будут иметь статус ESTABLISHED или RELATED. Современные брутфорсеры не “ломятся” подбирать пароли, они спокойно их перебирают, посылая 1 запрос в течение 5-10 минут. Соответственно, нужно отслеживать такой “ленивый” подбор паролей. Нормальный пользователь RDP не будет каждые 10 минут переподключаться, поэтому если с какого-то IP-адреса в течение часа поступает 5-6 запросов на установление RDP-сессии, – это будет признаком брутфорсера. Допустим, что используется Windows 10… 3 пакета со статусом NEW умножить на 5 попыток в час = 15 пакетов со статусом NEW, т.е. если с какого-то адреса за час прилетает больше 15 новых пакетов, блокируем этот адрес на сутки.

    Код:
    /ip firewall filter
    # В цепоче forward
    
    add action=drop chain=forward comment=”Block BruteForcers” in-interface-list=ISP src-address-list=BruteForcers
    add action=jump chain=forward comment=”RDP. Go into the chain for detecting Bruteforcers” connection-state=new dst-port=3389 in-interface-list=ISP jump-target=BruteForcersDetect protocol=tcp
    # Цепочка BruteForcersDetect
    
    add action=add-src-to-address-list address-list=BruteForcers address-list-timeout=1d chain=BruteForcersDetect comment=”Adding an address to the list of Bruteforcers” log=yes src-address-list=BruteForcers_Step15
    add action=add-src-to-address-list address-list=BruteForcers_Step15 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step15 src-address-list=BruteForcers_Step14
    add action=add-src-to-address-list address-list=BruteForcers_Step14 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step14 src-address-list=BruteForcers_Step13
    add action=add-src-to-address-list address-list=BruteForcers_Step13 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step13 src-address-list=BruteForcers_Step12
    add action=add-src-to-address-list address-list=BruteForcers_Step12 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step12 src-address-list=BruteForcers_Step11
    add action=add-src-to-address-list address-list=BruteForcers_Step11 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step11 src-address-list=BruteForcers_Step10
    add action=add-src-to-address-list address-list=BruteForcers_Step10 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step10 src-address-list=BruteForcers_Step9
    add action=add-src-to-address-list address-list=BruteForcers_Step9 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step9 src-address-list=BruteForcers_Step8
    add action=add-src-to-address-list address-list=BruteForcers_Step8 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step8 src-address-list=BruteForcers_Step7
    add action=add-src-to-address-list address-list=BruteForcers_Step7 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step7 src-address-list=BruteForcers_Step6
    add action=add-src-to-address-list address-list=BruteForcers_Step6 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step6 src-address-list=BruteForcers_Step5
    add action=add-src-to-address-list address-list=BruteForcers_Step5 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step5 src-address-list=BruteForcers_Step4
    add action=add-src-to-address-list address-list=BruteForcers_Step4 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step4 src-address-list=BruteForcers_Step3
    add action=add-src-to-address-list address-list=BruteForcers_Step3 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step3 src-address-list=BruteForcers_Step2
    add action=add-src-to-address-list address-list=BruteForcers_Step2 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step2 src-address-list=BruteForcers_Step1
    add action=add-src-to-address-list address-list=BruteForcers_Step1 address-list-timeout=30m chain=BruteForcersDetect comment=BruteForcers_Step1
    add action=return chain=BruteForcersDetect comment=”End of chain and return.”
     
  2. alexey

    alexey Moderator

    Регистрация:
    16 мар 2021
    Сообщения:
    22
    Симпатии:
    0
    Баллы:
    1
    Эффективнее не выставлять наружу RDP, использовать port knocking, если невозможно - делать как делаете, использовать надежные пароли, если за час прилетает 15 новых пакетов - нужно блокировать на неделю/месяц/навсегда, хакер определенно не спешит.
    Не переживайте, это не брутфорс, просто кто-то домашнее задание делает )
     

Поделиться этой страницей

Share