Ek wil 'n eenvoudige en werkende manier met die gemeenskap deel van hoe om Mikrotik te gebruik om jou netwerk en die dienste wat agter dit "uitloer" te beskerm teen eksterne aanvalle te beskerm. Naamlik net drie reëls om 'n heuningpot op Mikrotik te organiseer.
So, laat ons ons voorstel dat ons 'n klein kantoor het, met 'n eksterne IP waaragter daar 'n RDP-bediener is vir werknemers om op afstand te werk. Die eerste reël is natuurlik om poort 3389 op die eksterne koppelvlak na 'n ander een te verander. Maar dit sal nie lank duur nie; na 'n paar dae sal die terminale bediener-ouditlog verskeie mislukte magtigings per sekonde van onbekende kliënte begin wys.
Nog 'n situasie, jy het 'n sterretjie weggesteek agter Mikrotik, natuurlik nie op die 5060 udp poort nie, en na 'n paar dae begin die wagwoordsoektog ook... ja, ja, ek weet, fail2ban is ons alles, maar ons moet steeds werk daaraan ... byvoorbeeld, ek het dit onlangs op ubuntu 18.04 geïnstalleer en was verbaas om te ontdek dat fail2ban nie huidige instellings vir sterretjies van dieselfde boks van dieselfde ubuntu-verspreiding uit die boks bevat nie ... en vinnige instellings google vir klaargemaakte “resepte” werk nie meer nie, die getalle vir vrystellings groei oor die jare, en artikels met “resepte” vir ou weergawes werk nie meer nie, en nuwes verskyn amper nooit... Maar ek wyk af...
So, wat is 'n heuningpot in 'n neutedop - dit is 'n heuningpot, in ons geval, enige gewilde poort op 'n eksterne IP, enige versoek na hierdie poort van 'n eksterne kliënt stuur die src-adres na die swartlys. Almal.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Die eerste reël op gewilde TCP-poorte 22, 3389, 8291 van die ether4-wan eksterne koppelvlak stuur die "gas" IP na die "Honeypot Hacker" lys (poorte vir ssh, rdp en winbox word vooraf gedeaktiveer of na ander verander). Die tweede een doen dieselfde op die gewilde UDP 5060.
Die derde reël by die voorroete-stadium laat pakkies van "gaste" af wie se srs-adres by die "Honeypot Hacker" ingesluit is.
Na twee weke se werk met my huis Mikrotik, het die "Honeypot Hacker"-lys ongeveer een en 'n half duisend IP-adresse ingesluit van diegene wat daarvan hou om "die uier vas te hou" van my netwerkbronne (by die huis, my eie telefonie, pos, nextcloud , rdp). Brute-krag aanvalle het gestop, saligheid het gekom.
By die werk het alles nie so eenvoudig geblyk te wees nie, daar gaan hulle voort om die rdp-bediener te breek deur brute-forseer wagwoorde.
Blykbaar is die poortnommer deur die skandeerder bepaal lank voordat die heuningpot aangeskakel is, en tydens kwarantyn is dit nie so maklik om meer as 100 gebruikers te herkonfigureer nie, waarvan 20% ouer as 65 jaar is. In die geval wanneer die port nie verander kan word nie, is daar 'n klein werkende resep. Ek het iets soortgelyks op die internet gesien, maar daar is 'n paar bykomende toevoegings en fynstellings betrokke:
Reëls vir die opstel van Port Knocking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
Binne 4 minute word die afgeleë kliënt toegelaat om slegs 12 nuwe "versoeke" aan die RDP-bediener te rig. Een aanmeldpoging is van 1 tot 4 "versoeke". By die 12de "versoek" - blokkeer vir 15 minute. In my geval het die aanvallers nie opgehou om die bediener te hack nie, hulle het by die timers aangepas en doen dit nou baie stadig, so 'n spoed van seleksie verminder die doeltreffendheid van die aanval tot nul. Die maatskappy se werknemers ervaar feitlik geen ongerief by die werk van die maatreëls wat getref is nie.
Nog 'n klein truuk
Hierdie reël skakel volgens 'n skedule om 5:XNUMX aan en skakel om XNUMX:XNUMX af, wanneer regte mense beslis slaap, en outomatiese kiesers bly wakker.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Reeds op die 8ste verbinding is die aanvaller se IP vir 'n week lank op die swartlys. Skoonheid!
Wel, bykomend tot bogenoemde, sal ek 'n skakel na 'n Wiki-artikel byvoeg met 'n werkende opstelling om Mikrotik teen netwerkskandeerders te beskerm.
Op my toestelle werk hierdie instelling saam met die heuningpot-reëls wat hierbo beskryf word, en vul dit goed aan.
UPD: Soos voorgestel in die opmerkings, is die pakketaflaaireël na RAW geskuif om die las op die router te verminder.
Bron: will.com