Mikrotik ኔትዎርክዎን እና አገልግሎቶቹን ከጀርባው ከውጫዊ ጥቃቶች ለመጠበቅ ሚክሮቲክን እንዴት መጠቀም እንደሚችሉ ቀላል እና የሚሰራበትን መንገድ ከማህበረሰቡ ጋር ማካፈል እፈልጋለሁ። ይኸውም በሚክሮቲክ ላይ የማር ማሰሮ ለማደራጀት ሶስት ህጎች ብቻ።
ስለዚህ፣ ትንሽ ቢሮ እንዳለን እናስብ፣ ከኋላው የ RDP አገልጋይ ሰራተኞቹ በርቀት እንዲሰሩ ከውጭ አይፒ ጋር። የመጀመሪያው ህግ እርግጥ ነው, ወደብ 3389 በውጫዊ በይነገጽ ላይ ወደ ሌላ መቀየር ነው. ግን ይህ ረጅም ጊዜ አይቆይም ፣ ከጥቂት ቀናት በኋላ ፣ የተርሚናል አገልጋይ ኦዲት ምዝግብ ማስታወሻ ከማይታወቁ ደንበኞች በሰከንድ ብዙ ያልተሳኩ ፈቃዶችን ማሳየት ይጀምራል።
ሌላ ሁኔታ ፣ እርስዎ ከሚክሮቲክ በስተጀርባ የተደበቀ ምልክት አለዎት ፣ በእርግጥ በ 5060 udp ወደብ ላይ አይደለም ፣ እና ከጥቂት ቀናት በኋላ የይለፍ ቃል ፍለጋም ይጀምራል ... አዎ ፣ አዎ ፣ አውቃለሁ ፣ fail2ban የእኛ ነገር ነው ፣ ግን አሁንም ማድረግ አለብን ። ስራው... ለምሳሌ በቅርቡ በ ubuntu 18.04 ላይ ጫንኩት እና ከሳጥኑ ውስጥ fail2ban ከተመሳሳይ የኡቡንቱ ስርጭት ሳጥን ውስጥ የአሁኑን የአስሪስክ ቅንጅቶችን እንደሌለው ሳውቅ ተገረምኩ… ለተዘጋጁ “የምግብ አዘገጃጀቶች” ከአሁን በኋላ አይሠራም ፣ የሚለቀቁት ቁጥሮች ለዓመታት እያደገ ነው ፣ እና ለአሮጌ ስሪቶች “የምግብ አዘገጃጀቶች” ያላቸው መጣጥፎች ከአሁን በኋላ አይሰሩም ፣ እና አዲሶቹ በጭራሽ በጭራሽ አይታዩም… ግን እኔ ራሴን አዝኛለሁ…
ስለዚህ, በአጭሩ የማር ማሰሮው ምንድን ነው - እሱ የማር ማሰሮ ነው ፣ በእኛ ሁኔታ ፣ በውጫዊ አይፒ ላይ ያለ ማንኛውም ታዋቂ ወደብ ፣ ከውጭ ደንበኛ ወደዚህ ወደብ የሚቀርብ ማንኛውም ጥያቄ የ src አድራሻውን ወደ ጥቁር መዝገብ ይልካል። ሁሉም።
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
በታዋቂው የ TCP ወደቦች 22, 3389, 8291 የኤተር4-ዋን ውጫዊ በይነገጽ ላይ ያለው የመጀመሪያው ህግ "እንግዳ" አይፒን ወደ "Honeypot Hacker" ዝርዝር ይልካል (ለ ssh, rdp እና winbox ወደቦች አስቀድመው ተሰናክለዋል ወይም ወደ ሌሎች ተለውጠዋል). ሁለተኛው በታዋቂው UDP 5060 ላይም እንዲሁ ያደርጋል።
በቅድመ-ማዘዋወር ደረጃ ላይ ያለው ሦስተኛው ህግ የ srs-አድራሻቸው በ "Honeypot Hacker" ውስጥ የተካተተውን "እንግዶች" እሽጎች ይጥላል.
ከቤቴ ሚክሮቲክ ጋር ለሁለት ሳምንታት ከሰራሁ በኋላ፣ የ“Honeypot Hacker” ዝርዝር የእኔን አውታረ መረብ ሀብቶች “በጡት ለመያዝ” ለሚፈልጉ አንድ ሺህ ተኩል ያህል የአይፒ አድራሻዎችን አካትቷል (በቤት ውስጥ የራሴ ስልክ ፣ ደብዳቤ ፣ nextcloud, rdp) የጭካኔ ጥቃቶች ቆሙ፣ ደስታ መጣ።
በስራ ላይ ፣ ሁሉም ነገር በጣም ቀላል ሆኖ አልተገኘም ፣ እዚያም የይለፍ ቃሎችን በማስገደድ የ rdp አገልጋይ መስበሩን ይቀጥላሉ ።
በግልጽ ለማየት እንደሚቻለው የወደብ ቁጥሩ የማር ማሰሮው ከመጀመሩ ከረጅም ጊዜ በፊት በስካነር ተወስኗል ፣ እና በኳራንቲን ጊዜ ከ 100 በላይ ተጠቃሚዎችን እንደገና ማዋቀር ቀላል አይደለም ፣ ከእነዚህ ውስጥ 20% የሚሆኑት ከ 65 ዓመት በላይ ናቸው። ወደብ መቀየር በማይቻልበት ሁኔታ, ትንሽ የሚሰራ የምግብ አዘገጃጀት መመሪያ አለ. በበይነመረቡ ላይ ተመሳሳይ ነገር አይቻለሁ፣ ነገር ግን አንዳንድ ተጨማሪ መደመር እና ጥሩ ማስተካከያ አለ፡-
ፖርት ኖኪንግን የማዋቀር ህጎች
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
በ 4 ደቂቃዎች ውስጥ የርቀት ደንበኛው ለ RDP አገልጋይ 12 አዲስ "ጥያቄዎችን" ብቻ እንዲያቀርብ ይፈቀድለታል. አንድ የመግባት ሙከራ ከ 1 እስከ 4 "ጥያቄዎች" ነው. በ 12 ኛው "ጥያቄ" - ለ 15 ደቂቃዎች ማገድ. በእኔ ሁኔታ, አጥቂዎቹ የአገልጋዩን ጠለፋ አላቆሙም, በሰዓት ቆጣሪዎች ላይ ተስተካክለዋል እና አሁን በጣም በዝግታ ያደርጉታል, እንዲህ ያለው የምርጫ ፍጥነት የጥቃቱን ውጤታማነት ወደ ዜሮ ይቀንሳል. የኩባንያው ሰራተኞች በሚወሰዱት እርምጃዎች በስራ ላይ ምንም አይነት ምቾት አይሰማቸውም.
ሌላ ትንሽ ብልሃት።
ይህ ህግ ከጠዋቱ 5 ሰአት ባለው መርሃ ግብር መሰረት ይበራል እና በ XNUMX ሰአት ይጠፋል፣ እውነተኛ ሰዎች በእርግጠኝነት ሲተኙ እና አውቶማቲክ መራጮች መነቃቃታቸውን ይቀጥላሉ።
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8
ቀድሞውኑ በ 8 ኛው ግንኙነት ላይ, የአጥቂው አይፒ ለአንድ ሳምንት በጥቁር መዝገብ ውስጥ ገብቷል. ውበት!
ደህና ፣ ከላይ ካለው በተጨማሪ ፣ ሚክሮቲክን ከአውታረ መረብ ስካነሮች ለመጠበቅ በሚሰራ ዝግጅት ወደ ዊኪ መጣጥፍ አገናኝ እጨምራለሁ ።
በመሳሪያዎቼ ላይ ይህ ቅንብር ከላይ ከተገለጹት የማር ማሰሮ ህጎች ጋር አብሮ ይሰራል፣ ይህም በደንብ ያሟላል።
UPD: በአስተያየቶቹ ላይ እንደተጠቆመው በራውተር ላይ ያለውን ጭነት ለመቀነስ የፓኬት መጣል ደንቡ ወደ RAW ተወስዷል።
ምንጭ: hab.com