أريد أن أشارك المجتمع طريقة بسيطة وعملية حول كيفية استخدام Mikrotik لحماية شبكتك والخدمات التي "تتسلل" من خلفها من الهجمات الخارجية. وهي ثلاث قواعد فقط لتنظيم مصيدة الجذب على Mikrotik.
لذا، لنتخيل أن لدينا مكتبًا صغيرًا، به عنوان IP خارجي يوجد خلفه خادم RDP ليتمكن الموظفون من العمل عن بُعد. القاعدة الأولى هي بالطبع تغيير المنفذ 3389 على الواجهة الخارجية إلى منفذ آخر. لكن هذا لن يستمر طويلاً؛ فبعد بضعة أيام، سيبدأ سجل تدقيق الخادم الطرفي في إظهار عدة تفويضات فاشلة في الثانية من عملاء غير معروفين.
موقف آخر، لديك علامة النجمة مخفية خلف Mikrotik، بالطبع ليس على منفذ 5060 UDP، وبعد يومين يبدأ البحث أيضًا عن كلمة المرور... نعم، نعم، أعلم أن Fail2ban هو كل شيء لدينا، ولكن لا يزال يتعين علينا القيام بذلك العمل عليه... على سبيل المثال، قمت مؤخرًا بتثبيته على نظام التشغيل ubuntu 18.04 وفوجئت باكتشاف أن Fail2ban الجاهز لا يحتوي على الإعدادات الحالية للعلامة النجمية من نفس المربع من نفس توزيع Ubuntu... والبحث في Google عن الإعدادات السريعة لأن "الوصفات" الجاهزة لم تعد تعمل، وأعداد الإصدارات تتزايد على مر السنين، والمقالات التي تحتوي على "وصفات" للإصدارات القديمة لم تعد تعمل، ولم تظهر مقالات جديدة أبدًا تقريبًا... لكنني أستطرد...
إذن، ما هو مصيدة الجذب باختصار - إنها مصيدة جذب، في حالتنا، أي منفذ شائع على عنوان IP خارجي، وأي طلب لهذا المنفذ من عميل خارجي يرسل عنوان src إلى القائمة السوداء. الجميع.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
ترسل القاعدة الأولى الخاصة بمنافذ TCP الشائعة 22 و3389 و8291 للواجهة الخارجية ether4-wan عنوان IP "الضيف" إلى قائمة "Honeypot Hacker" (يتم تعطيل منافذ ssh وrdp وwinbox مسبقًا أو تغييرها إلى منافذ أخرى). والثاني يفعل الشيء نفسه على UDP 5060 الشهير.
القاعدة الثالثة في مرحلة ما قبل التوجيه تقوم بإسقاط الحزم من "الضيوف" الذين تم تضمين عنوان srs الخاص بهم في "Honeypot Hacker".
بعد أسبوعين من العمل مع منزلي Mikrotik، تضمنت قائمة "Honeypot Hacker" حوالي ألف ونصف عنوان IP لأولئك الذين يحبون "الاحتفاظ بالضرع" بموارد شبكتي (في المنزل يوجد هاتفي الخاص، والبريد، nextcloud, rdp). توقفت هجمات القوة الغاشمة، وجاء النعيم.
في العمل، لم يكن كل شيء بهذه البساطة، حيث يستمرون في كسر خادم RDP عن طريق كلمات المرور الغاشمة.
على ما يبدو، تم تحديد رقم المنفذ بواسطة الماسح الضوئي قبل فترة طويلة من تشغيل مصيدة الجذب، وأثناء الحجر الصحي، ليس من السهل إعادة تكوين أكثر من 100 مستخدم، منهم 20٪ يزيد عمرهم عن 65 عامًا. في حالة عدم إمكانية تغيير المنفذ، هناك وصفة عمل صغيرة. لقد رأيت شيئًا مشابهًا على الإنترنت، ولكن هناك بعض الإضافات الإضافية والضبط الدقيق:
قواعد تكوين Port Knocking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
خلال 4 دقائق، يُسمح للعميل البعيد بتقديم 12 "طلبًا" جديدًا فقط إلى خادم RDP. محاولة تسجيل الدخول الواحدة تكون من 1 إلى 4 "طلبات". في "الطلب" الثاني عشر - الحظر لمدة 12 دقيقة. في حالتي، لم يتوقف المهاجمون عن اختراق الخادم، فقد قاموا بتعديل الموقتات ويفعلون ذلك الآن ببطء شديد، ومثل هذه السرعة في الاختيار تقلل من فعالية الهجوم إلى الصفر. لا يواجه موظفو الشركة أي إزعاج تقريبًا في العمل من التدابير المتخذة.
حيلة صغيرة أخرى
يتم تشغيل هذه القاعدة وفقًا لجدول زمني في الساعة 5 صباحًا ويتم إيقاف تشغيلها في الساعة XNUMX صباحًا، عندما يكون الأشخاص الحقيقيون نائمين بالتأكيد، ويظل المنتقي الآلي مستيقظًا.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8بالفعل عند الاتصال الثامن، يتم إدراج عنوان IP الخاص بالمهاجم في القائمة السوداء لمدة أسبوع. جمال!
حسنًا، بالإضافة إلى ما سبق، سأضيف رابطًا إلى مقالة Wiki مع إعداد عملي لحماية Mikrotik من الماسحات الضوئية للشبكة.
على أجهزتي، يعمل هذا الإعداد مع قواعد مصائد الجذب الموضحة أعلاه، ويكملها بشكل جيد.
محدث: كما هو مقترح في التعليقات، تم نقل قاعدة إسقاط الحزمة إلى RAW لتقليل الحمل على جهاز التوجيه.
المصدر: www.habr.com