Şəbəkənizi və onun arxasından “gözləyən” xidmətləri xarici hücumlardan qorumaq üçün Mikrotikdən necə istifadə etməyin sadə və işlək üsulunu cəmiyyətlə bölüşmək istəyirəm. Məhz, Mikrotik-də bir bal qabı təşkil etmək üçün yalnız üç qayda.
Beləliklə, təsəvvür edək ki, kiçik bir ofisimiz var, xarici IP-nin arxasında işçilərin uzaqdan işləməsi üçün bir RDP server var. Birinci qayda, əlbəttə ki, xarici interfeysdəki 3389 portunu başqa birinə dəyişdirməkdir. Lakin bu uzun sürməyəcək; bir neçə gündən sonra terminal serverinin audit jurnalı naməlum müştərilərdən saniyədə bir neçə uğursuz icazəni göstərməyə başlayacaq.
Başqa bir vəziyyət, Mikrotikin arxasında ulduz gizlədilib, əlbəttə ki, 5060 udp portunda deyil və bir neçə gündən sonra parol axtarışı da başlayır... bəli, bəli, bilirəm, fail2ban bizim hər şeyimizdir, amma yenə də məcburuq. onun üzərində işlədim... məsələn, mən onu bu yaxınlarda ubuntu 18.04-də quraşdırdım və aşkar edəndə təəccübləndim ki, fail2ban qutusundan kənarda eyni ubuntu paylanmasının eyni qutusundan ulduz işarəsi üçün cari parametrləri ehtiva etmir... və sürətli parametrləri googling hazır "reseptlər" üçün artıq işləmir, buraxılışların sayı illər keçdikcə artır və köhnə versiyalar üçün "reseptlər" olan məqalələr artıq işləmir və yeniləri demək olar ki, heç görünmür ... Amma mən kənara çəkilirəm...
Beləliklə, bir sözlə bal qabı nədir - bu, bal qabıdır, bizim vəziyyətimizdə xarici IP-də hər hansı məşhur port, xarici müştəridən bu porta edilən hər hansı bir sorğu src ünvanını qara siyahıya göndərir. Hamısı.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Ether22-wan xarici interfeysinin 3389, 8291, 4 nömrəli məşhur TCP portlarında ilk qayda "qonaq" IP-ni "Honeypot Hacker" siyahısına göndərir (ssh, rdp və winbox üçün portlar əvvəlcədən söndürülür və ya başqalarına dəyişdirilir). İkincisi məşhur UDP 5060-da eyni şeyi edir.
İlkin marşrutlaşdırma mərhələsindəki üçüncü qayda, srs-ünvanı “Honeypot Hacker”ə daxil edilmiş “qonaqlardan” paketləri buraxır.
Evim Mikrotik ilə iki həftə işlədikdən sonra "Honeypot Hacker" siyahısına şəbəkə resurslarımı (evdə öz telefonum, poçt, nextcloud, rdp).Böyük güc hücumları dayandı, xoşbəxtlik gəldi.
İşdə hər şey o qədər də sadə olmadı, orada rdp serverini kobud zorlama parolları ilə qırmağa davam edirlər.
Göründüyü kimi, port nömrəsi skaner tərəfindən bal qabı işə salınmazdan çox əvvəl müəyyən edilib və karantin zamanı 100-dən çox istifadəçini yenidən konfiqurasiya etmək o qədər də asan deyil, onların 20%-i 65 yaşdan yuxarıdır. Limanı dəyişdirmək mümkün olmadıqda, kiçik bir iş resepti var. İnternetdə oxşar bir şey görmüşəm, lakin bəzi əlavə əlavələr və dəqiq tənzimləmələr var:
Port Knocking konfiqurasiya qaydaları
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
4 dəqiqə ərzində uzaq müştəriyə RDP serverinə yalnız 12 yeni “sorğu” göndərməyə icazə verilir. Bir giriş cəhdi 1-dən 4-ə qədər “sorğu”dur. 12-ci "tələb"də - 15 dəqiqə bloklama. Mənim vəziyyətimdə təcavüzkarlar serveri sındırmağı dayandırmadılar, onlar taymerlərə uyğunlaşdılar və indi bunu çox yavaş edirlər, belə bir seçim sürəti hücumun effektivliyini sıfıra endirir. Şirkətin əməkdaşları görülən tədbirlərdən praktiki olaraq işdə heç bir narahatlıq yaşamırlar.
Başqa bir kiçik hiylə
Bu qayda qrafikə uyğun olaraq səhər saat 5-də açılır və XNUMX-də sönür, bu zaman real insanlar mütləq yuxudadır və avtomatlaşdırılmış seçicilər oyaq olmağa davam edir.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Artıq 8-ci əlaqədə təcavüzkarın İP-si bir həftə qara siyahıya salınıb. Gözəllik!
Yaxşı, yuxarıda göstərilənlərə əlavə olaraq, Mikrotiki şəbəkə skanerlərindən qorumaq üçün işləyən quraşdırma ilə Wiki məqaləsinə bir keçid əlavə edəcəyəm.
Mənim cihazlarımda bu parametr yuxarıda təsvir edilmiş bal qabı qaydaları ilə birlikdə işləyir və onları yaxşı tamamlayır.
UPD: Şərhlərdə təklif olunduğu kimi, marşrutlaşdırıcının yükünü azaltmaq üçün paketi buraxma qaydası RAW formatına köçürüldü.
Mənbə: www.habr.com