Jump to content
  • 3

Защита от брутфорса веб-интерфейса по протоколу HTTPS


Кинетиковод

Question

Давно не работает защита от брутфорса вебморды. В бете так и не заработала. С учётом того, что у многих вебморда выставлена наружу это не есть хорошо. Изменения параметров защиты ip http lockout-policy применяются, но сама защита так и не заводится.

  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites

24 answers to this question

Recommended Posts

  • 1

Начиная с версии 3.0 была добавлена поддержка 'lockout-policy' (защита от перебора паролей, брутфорса) для протокола HTTPS. Включено по умолчанию для SSL-сервера. Спасибо @Le ecureuil

Записи попыток подбора паролей в журнале - по аналогии с nginx-сервером (http).

  • Thanks 1
Link to comment
Share on other sites

  • 2

@r13 @ankar84 @Vik2018 "добавлена защита от перебора паролей HTTPS" - да, все правильно, но это касается старого WebUI \ nginx.

Для нового WebUI поддержку 'lockout-policy' для протокола HTTPS планируется добавить в 3.00

  • Thanks 6
Link to comment
Share on other sites

  • 1

@Кинетиковод по умолчанию логирование неудачной авторизации отключено.

Чтобы включить логирование, необходимо выполнить команду в cli:

ip http log aut
system configuration save

Выключить:

no ip http log aut
system configuration save

Для HTTP протокола! HTTPS не поддерживается!

  • Thanks 1
Link to comment
Share on other sites

  • 0
2 минуты назад, enpa сказал:

@Кинетиковод по умолчанию логирование неудачной авторизации отключено.

Чтобы включить логирование, необходимо выполнить команду в cli:


ip http log aut
system configuration save

Выключить:


no ip http log aut
system configuration save

 

Логирование и защита от брутфорса в виде бана не одно и то же. Логирование я включил, чтобы хотя бы наблюдать за работой сетевых дятлов. А кто баны выписывать будет?

Link to comment
Share on other sites

  • 0
2 часа назад, Кинетиковод сказал:

Давно не работает защита от брутфорса вебморды. В бете так и не заработала. С учётом того, что у многих вебморда выставлена наружу это не есть хорошо. Изменения параметров защиты ip http lockout-policy применяются, но сама защита так и не заводится.

случайно не через облако тестируете?

Link to comment
Share on other sites

  • 0
1 минуту назад, enpa сказал:

@Кинетиковод не тот лог. Бан происходит, но не логируется событие. Надо исправлять.

Если бы так. На самом деле вы можете перебирать пароли до посинения, а потом ввести верный и авторизоваться. 

Логирование тут не при чём. Защита просто не работает.

Link to comment
Share on other sites

  • 0

@Кинетиковод мой ип был сейчас забанен и я в течение 15 мин не мог резолвить адрес роутера. Прошло ровно 15 минут и в логе вижу:

I [Nov  9 18:30:22] ndm: Netfilter::Util::BfdManager: "Http": unban remote host 193.0.174.20x.

и сейчас могу попасть в gui.

Link to comment
Share on other sites

  • 0

@Кинетиковод еще раз попробовал воспроизвести Ваши доводы:

E [Nov  9 18:34:07] ndm: Core::Scgi::Auth: authentication failed for user 222.
E [Nov  9 18:34:13] ndm: Core::Scgi::Auth: authentication failed for user 213123.
E [Nov  9 18:34:20] ndm: Core::Scgi::Auth: authentication failed for user ааааа.
E [Nov  9 18:34:29] ndm: Core::Scgi::Auth: authentication failed for user dfdf.
I [Nov  9 18:34:29] ndm: Netfilter::Util::Conntrack: flushed 8 IPv4 connections for 193.0.174.201.
I [Nov  9 18:34:29] ndm: Netfilter::Util::BfdManager: "Http": ban remote host 193.0.174.201 for 15 minutes.

Все работает.

2018-11-09_18-36.png

Функционал отрабатывает для всех заявленных протоколов. Возможно на Ваше устройстве не работает. Но вы не предоставили self-test.

Link to comment
Share on other sites

  • 0
2 минуты назад, enpa сказал:

@Кинетиковод мой ип был сейчас забанен и я в течение 15 мин не мог резолвить адрес роутера. Прошло ровно 15 минут и в логе вижу:


I [Nov  9 18:30:22] ndm: Netfilter::Util::BfdManager: "Http": unban remote host 193.0.174.20x.

и сейчас могу попасть в gui. А вот записи, что я быд забанен, не было.

У меня такого не происходит. Включить защиту через CLI невозможно. Селф выложу чуть позже раз надо.

Link to comment
Share on other sites

  • 0

@enpa

У меня тоже что-то не хотит, подключаюсь напрямую по https

PS проверял на 2.13.C.0.0-3

ip http lockout-policy 4 60 10
Ноя 9 23:06:34
ndm
Core::Scgi::Auth: authentication failed for user test.
Ноя 9 23:06:44
ndm
Core::Scgi::AuthPool: cleanup: 2 -> 1.
Ноя 9 23:06:49
ndm
Core::Scgi::Auth: authentication failed for user test.
Ноя 9 23:06:49
ndm
Core::Scgi::Auth: authentication failed for user test.
Ноя 9 23:07:00
ndm
Core::Syslog: last message repeated 15 times.
Ноя 9 23:07:04
ndm
Core::Scgi::AuthPool: cleanup: 3 -> 2.
Ноя 9 23:07:06
ndm
Core::Scgi::Auth: authentication failed for user test.
Ноя 9 23:07:06
ndm
Core::Scgi::Auth: authentication failed for user test.
Ноя 9 23:07:06
ndm
Core::Scgi::Auth: authentication failed for user test.
Ноя 9 23:07:06
ndm
Core::Scgi::Auth: authentication failed for user test.
Ноя 9 23:07:22
ndm
Core::Syslog: last message repeated 3 times.

 

Edited by r13
  • Thanks 1
Link to comment
Share on other sites

  • 0
В 09.11.2018 в 21:30, Кинетиковод сказал:

На самом деле вы можете перебирать пароли до посинения, а потом ввести верный и авторизоваться.

Аналогичная история!

Nov 15 00:22:49 ndm: Core::Syslog: the system log has been cleared.
Nov 15 00:22:51 ndm: Http::SslServer: "SSL proxy xx.xx.xx.xx: 25177": ALPN protocol: HTTP/1.1.
[E] Nov 15 00:22:51 ndm: Core::Scgi::Auth: authentication failed for user guest.
[E] Nov 15 00:22:53 ndm: Core::Scgi::Auth: authentication failed for user guest.
[E] Nov 15 00:22:54 ndm: Core::Scgi::Auth: authentication failed for user guest.
[E] Nov 15 00:22:56 ndm: Core::Scgi::Auth: authentication failed for user guest.
[E] Nov 15 00:22:58 ndm: Core::Scgi::Auth: authentication failed for user guest.
[E] Nov 15 00:22:59 ndm: Core::Scgi::Auth: authentication failed for user guest.
[E] Nov 15 00:23:01 ndm: Core::Scgi::Auth: authentication failed for user guest.
[E] Nov 15 00:23:03 ndm: Core::Scgi::Auth: authentication failed for user guest.
[E] Nov 15 00:23:05 ndm: Core::Scgi::Auth: authentication failed for user guest.
[E] Nov 15 00:23:06 ndm: Core::Scgi::Auth: authentication failed for user guest.
Nov 15 00:23:12 ndm: Core::Scgi::Auth: opened session ZJOVKMEJOHNYZIGN for user admin.
 

В 10.11.2018 в 02:12, r13 сказал:

У меня тоже что-то не хотит, подключаюсь напрямую по https

PS проверял на 2.13.C.0.0-3

Keenetic Giga с версией ПО 2.13.C.0.0-4 также не банит адрес атакующего, хотя в настройках задано "ip http lockout-policy 5 15 3". Подключаюсь из интернета по доменному имени (https), заданному в KeenDNS.

Саппорт, будет ли решение проблемы для актуального релиза (не беты)?

 

Edited by Vik2018
Link to comment
Share on other sites

  • 0

Тоже считаю, что защищать http, но не защищать https, который keenetic os даёт из коробки (за что огромное спасибо, это большая работа) это весьма странно.

  • Upvote 1
Link to comment
Share on other sites

  • 0
Только что, ankar84 сказал:

Тоже считаю, что защищать http, но не защищать https, который keenetic os даёт из коробки (за что огромное спасибо, это большая работа) это весьма странно.

Непонятно почему с точки зрения авторизатора http атакующего можно банить, а https нет. Попытки подключения авторизатор отслеживает у обоих. Или он у https дятла не видит адреса? Надо это дело исправлять.

Link to comment
Share on other sites

  • 0
1 час назад, enpa сказал:

'ip http lockout-policy' - функционал поддерживает HTTP протокол, а не HTTPS. Не путайте пожалуйста.

Верно, @enpa, и в документации сказано, что для HTTP (TCP/80) и Telnet (TCP/23). Только непонятно, почему официальная техподдержка в таком случае утверждает "в Keenetic OS 2.14 beta, как и 2.13 проблем с безопасностью системы нет"! Ведь по умолчанию, при обращении к интернет-центру по http, он автоматически редиректит на https, а далее можно "перебирать пароли до посинения".

1 час назад, Кинетиковод сказал:

Весь интернет перешел на https, а он и не защищается. Как мило. 

 

1 час назад, ankar84 сказал:

Тоже считаю, что защищать http, но не защищать https, который keenetic os даёт из коробки (за что огромное спасибо, это большая работа) это весьма странно. 

Может быть уважаемые разработчики всё же обратят внимание на это досадное недоразумение...

Link to comment
Share on other sites

  • 0
1 час назад, enpa сказал:

Уточнение. 

@r13 @Кинетиковод @Vik2018 'ip http lockout-policy' - функционал поддерживает HTTP протокол, а не HTTPS. Не путайте пожалуйста.

Для HTTP протокола защита срабатывает, как положено. 

 

 

не не не Девид Блейн, еще в 2.11 было

 

  • Thanks 2
Link to comment
Share on other sites

  • 0
Цитата

Версия 2.11.A.6.0-0:

  • включен автоматический редирект на доменах с SSL-сертификатом, с возможностью отключения:
  • добавлена защита от перебора паролей HTTPS

@enpa, прокомментируйте ситуацию, если Вы имеете отношение к разработке.

@ndm, @Le ecureuil, @eralde просьба также подключиться к дискуссии.

Edited by Vik2018
Link to comment
Share on other sites

  • 0
4 минуты назад, r13 сказал:

не не не Девид Блейн, еще в 2.11 было

Действительно, начиная с версии 2.11.A.6.0-0 где явно указано, что защита от перебора https есть.

Link to comment
Share on other sites

  • 0

Все вам уже сказали в этой теме.

В 2.11.A.6 была добавлена защита https для старой морды (читай digest / basic авторизации).

При работе с новым Web используется form-based авторизация. Вот для нее для http была сделана защита, для https - не успели. Да и это не настолько критично - боты не умеют нашу form-based auth, и при запросе "GET /" всегда отдается "200 OK", потому пока они ее научатся определять и пытаться подбирать пароль - мы доделаем и https.

В задачах есть, будет сделано.

  • Thanks 4
  • Upvote 3
Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...