ProHoster > Π‘Π»ΠΎΠ³ > АдминистрированиС > Π›Π΅Π³ΠΊΠΈΠΉ способ Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒ свой Mikrotik ΠΎΡ‚ Π°Ρ‚Π°ΠΊ

Π›Π΅Π³ΠΊΠΈΠΉ способ Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒ свой Mikrotik ΠΎΡ‚ Π°Ρ‚Π°ΠΊ

Π₯ΠΎΡ‡Ρƒ ΠΏΠΎΠ΄Π΅Π»ΠΈΡ‚ΡŒΡΡ с сообщСством простым ΠΈ Ρ€Π°Π±ΠΎΡ‡ΠΈΠΌ способом, ΠΊΠ°ΠΊ ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ Mikrotik Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒ свою ΡΠ΅Ρ‚ΡŒ ΠΈ Β«Π²Ρ‹Π³Π»ΡΠ΄Ρ‹Π²Π°ΡŽΡ‰ΠΈΠ΅Β» ΠΈΠ·-Π·Π° Π½Π΅Π³ΠΎ сСрвисы ΠΎΡ‚ Π²Π½Π΅ΡˆΠ½ΠΈΡ… Π°Ρ‚Π°ΠΊ. А ΠΈΠΌΠ΅Π½Π½ΠΎ всСго трСмя ΠΏΡ€Π°Π²ΠΈΠ»Π°ΠΌΠΈ ΠΎΡ€Π³Π°Π½ΠΈΠ·ΠΎΠ²Π°Ρ‚ΡŒ Π½Π° ΠœΠΈΠΊΡ€ΠΎΡ‚ΠΈΠΊΠ΅ honeypot.

Π˜Ρ‚Π°ΠΊ, прСдставим, Ρ‡Ρ‚ΠΎ Ρƒ нас нСбольшой офис, внСшний IP Π·Π° ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌ стоит RDP сСрвСр, для Ρ€Π°Π±ΠΎΡ‚Ρ‹ сотрудников ΠΏΠΎ ΡƒΠ΄Π°Π»Π΅Π½ΠΊΠ΅. ΠŸΠ΅Ρ€Π²ΠΎΠ΅ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ это ΠΊΠΎΠ½Π΅Ρ‡Π½ΠΎ ΡΠΌΠ΅Π½ΠΈΡ‚ΡŒ ΠΏΠΎΡ€Ρ‚ 3389 Π½Π° внСшнСм интСрфСйсС Π½Π° Π΄Ρ€ΡƒΠ³ΠΎΠΉ. Но это Π½Π΅Π½Π°Π΄ΠΎΠ»Π³ΠΎ, спустя ΠΏΠ°Ρ€Ρƒ Π΄Π½Π΅ΠΉ ΠΆΡƒΡ€Π½Π°Π» Π°ΡƒΠ΄ΠΈΡ‚Π° Ρ‚Π΅Ρ€ΠΌΠΈΠ½Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ сСрвСра Π½Π°Ρ‡Π½Π΅Ρ‚ ΠΏΠΎΠΊΠ°Π·Ρ‹Π²Π°Ρ‚ΡŒ ΠΏΠΎ нСсколько Π½Π΅ΡƒΠ΄Π°Ρ‡Π½Ρ‹Ρ… Π°Π²Ρ‚ΠΎΡ€ΠΈΠ·Π°Ρ†ΠΈΠΉ Π² сСкунду ΠΎΡ‚ нСизвСстных ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ².

Другая ситуация, Ρƒ Вас Π·Π° Mikrotik спрятан asterisk, СстСствСнно Π½Π΅ Π½Π° 5060 udp ΠΏΠΎΡ€Ρ‚Ρƒ, ΠΈ Ρ‡Π΅Ρ€Π΅Π· ΠΏΠ°Ρ€Ρƒ Π΄Π½Π΅ΠΉ Ρ‚Π°ΠΊΠΆΠ΅ начинаСтся ΠΏΠ΅Ρ€Π΅Π±ΠΎΡ€ паролСй… Π΄Π° Π΄Π°, знаю, fail2ban нашС Π²cΡ‘, Π½ΠΎ Π½Π°Π΄ Π½ΠΈΠΌ Π΅Ρ‰Π΅ ΠΏΠΎΠΏΡ‹Ρ…Ρ‚Π΅Ρ‚ΡŒ придСтся… Π²ΠΎΡ‚ я Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€ Π½Π΅Π΄Π°Π²Π½ΠΎ поднял Π΅Π³ΠΎ Π½Π° ubuntu 18.04 ΠΈ с ΡƒΠ΄ΠΈΠ²Π»Π΅Π½ΠΈΠ΅ΠΌ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ», Ρ‡Ρ‚ΠΎ ΠΈΠ· ΠΊΠΎΡ€ΠΎΠ±ΠΊΠΈ fail2ban Π½Π΅ содСрТит Π°ΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½Ρ‹Ρ… настроСк для asterisk ΠΈΠ· Ρ‚ΠΎΠΉ-ΠΆΠ΅ ΠΊΠΎΡ€ΠΎΠ±ΠΊΠΈ Ρ‚ΠΎΠ³ΠΎ-ΠΆΠ΅ ubuntu дистрибутива… Π° Π³ΡƒΠ³Π»ΠΈΡ‚ΡŒ быстрыС настройки Π³ΠΎΡ‚ΠΎΠ²Ρ‹Ρ… Β«Ρ€Π΅Ρ†Π΅ΠΏΡ‚ΠΎΠ²Β» ΡƒΠΆΠ΅ Π½Π΅ получаСтся, Ρ†ΠΈΡ„Ρ€Ρ‹ Ρƒ Ρ€Π΅Π»ΠΈΠ·ΠΎΠ² с Π³ΠΎΠ΄Π°ΠΌΠΈ растут, Π° ΡΡ‚Π°Ρ‚ΡŒΠΈ с Β«Ρ€Π΅Ρ†Π΅ΠΏΡ‚Π°ΠΌΠΈΒ» для старых вСрсий ΡƒΠΆΠ΅ Π½Π΅ Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‚, Π° Π½ΠΎΠ²Ρ‹Ρ… ΠΏΠΎΡ‡Ρ‚ΠΈ Π½Π΅ появляСтся… Но Ρ‡Ρ‚ΠΎ-Ρ‚ΠΎ я отвлСкся…

Π˜Ρ‚Π°ΠΊ, Ρ‡Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ honeypot Π² Π΄Π²ΡƒΡ… словах β€” это ΠΏΡ€ΠΈΠΌΠ°Π½ΠΊΠ°, Π² нашСм случаС ΠΊΠ°ΠΊΠΎΠΉ-Π»ΠΈΠ±ΠΎ популярный ΠΏΠΎΡ€Ρ‚ Π½Π° внСшнСм IP, любой запрос Π½Π° этот ΠΏΠΎΡ€Ρ‚ ΠΎΡ‚ внСшнСго ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° отправляСт src адрСс Π² Ρ‡Π΅Ρ€Π½Ρ‹ΠΉ список. ВсС.

/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker" 
    address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox" 
    connection-state=new dst-port=22,3389,8291 in-interface=
    ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker" 
    address-list-timeout=30d0h0m chain=input comment=
    "block honeypot asterisk" connection-state=new dst-port=5060 
    in-interface=ether4-wan protocol=udp 
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
    "Honeypot Hacker"

ΠŸΠ΅Ρ€Π²ΠΎΠ΅ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ Π½Π° популярных TCP ΠΏΠΎΡ€Ρ‚Π°Ρ… 22, 3389, 8291 внСшнСго интСрфСйса ether4-wan отправляСт IP «гостя» Π² список Β«Honeypot HackerΒ» (ΠΏΠΎΡ€Ρ‚Ρ‹ для ssh, rdp ΠΈ winbox Π·Π°Π±Π»Π°Π³ΠΎΠ²Ρ€Π΅ΠΌΠ΅Π½Π½ΠΎ ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Π΅Π½Ρ‹ ΠΈΠ»ΠΈ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½Ρ‹ Π½Π° Π΄Ρ€ΡƒΠ³ΠΈΠ΅). Π’Ρ‚ΠΎΡ€ΠΎΠ΅ Π΄Π΅Π»Π°Π΅Ρ‚ Ρ‚ΠΎ-ΠΆΠ΅ самоС Π½Π° популярном UDP 5060.

Π’Ρ€Π΅Ρ‚ΡŒΠ΅ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ Π½Π° стадии ΠΏΡ€Π΅Ρ€ΠΎΡƒΡ‚ΠΈΠ½Π³Π° Π΄Ρ€ΠΎΠΏΠ°Π΅Ρ‚ ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹ «гостСй» Ρ‡Π΅ΠΉ srs-address ΠΏΠΎΠΏΠ°Π» Π² Β«Honeypot HackerΒ».

Бпустя Π΄Π²Π΅ Π½Π΅Π΄Π΅Π»ΠΈ Ρ€Π°Π±ΠΎΡ‚Ρ‹ ΠΌΠΎΠ΅Π³ΠΎ домашнСго Mikrotik список Β«Honeypot HackerΒ» Π²ΠΊΠ»ΡŽΡ‡ΠΈΠ» Π² сСбя ΠΎΠΊΠΎΠ»ΠΎ ΠΏΠΎΠ»ΡƒΡ‚ΠΎΡ€Π° тысяч IP адрСсов Π»ΡŽΠ±ΠΈΡ‚Π΅Π»Π΅ΠΉ Β«ΠΏΠΎΠ΄Π΅Ρ€ΠΆΠ°Ρ‚ΡŒ Π·Π° вымя» ΠΌΠΎΠΈ сСтСвыС рСсурсы (Π΄ΠΎΠΌΠ° своя тСлСфония, ΠΏΠΎΡ‡Ρ‚Π°, nextcloud, rdp) Brute-force Π°Ρ‚Π°ΠΊΠΈ ΠΏΡ€Π΅ΠΊΡ€Π°Ρ‚ΠΈΠ»ΠΈΡΡŒ, наступило блаТСнство.

На Ρ€Π°Π±ΠΎΡ‚Π΅ Π½Π΅ всС Ρ‚Π°ΠΊ просто оказалось, Ρ‚Π°ΠΌ rdp сСрвСр ΠΏΡ€ΠΎΠ΄ΠΎΠ»ΠΆΠ°ΡŽΡ‚ Π»ΠΎΠΌΠ°Ρ‚ΡŒ ΠΏΠ΅Ρ€Π΅Π±ΠΎΡ€ΠΎΠΌ ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ.

Будя ΠΏΠΎ всСму Π½ΠΎΠΌΠ΅Ρ€ ΠΏΠΎΡ€Ρ‚Π° ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΠΈΠ»ΠΈ сканСром Π·Π° Π΄ΠΎΠ»Π³ΠΎ Π΄ΠΎ Π²ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ honeypot, Π° Π²ΠΎ врСмя ΠΊΠ°Ρ€Π°Π½Ρ‚ΠΈΠ½Π° Π½Π΅ Ρ‚Π°ΠΊ-Ρ‚ΠΎ Π»Π΅Π³ΠΊΠΎ ΠΏΠ΅Ρ€Π΅Π½Π°ΡΡ‚Ρ€ΠΎΠΈΡ‚ΡŒ Π±ΠΎΠ»Π΅Π΅ 100 ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ, ΠΈΠ· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… 20% ΡΡ‚Π°Ρ€ΡˆΠ΅ 65 Π»Π΅Ρ‚. Π’ случаС ΠΊΠΎΠ³Π΄Π° ΠΏΠΎΡ€Ρ‚ ΠΌΠ΅Π½ΡΡ‚ΡŒ нСльзя, Π΅ΡΡ‚ΡŒ нСбольшой Ρ€Π°Π±ΠΎΡ‡ΠΈΠΉ Ρ€Π΅Ρ†Π΅ΠΏΡ‚. ПодобноС Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚Π΅ встрСчал, Π½ΠΎ Ρ‚ΡƒΡ‚ присутствуСт Π΄ΠΎΠΏΠΈΠ» ΠΈ тонкая настройка:

ΠŸΡ€Π°Π²ΠΈΠ»Π° для настройки Port Knocking

 /ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist 
    address-list-timeout=15m chain=forward comment=rdp_to_blacklist 
    connection-state=new dst-port=3389 protocol=tcp src-address-list=
    rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5 
    address-list-timeout=4m chain=forward connection-state=new dst-port=
    3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4 
    address-list-timeout=4m chain=forward connection-state=new dst-port=
    3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp 
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist

Π—Π° 4 ΠΌΠΈΠ½ΡƒΡ‚Ρ‹ ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠΌΡƒ ΠΊΠ»ΠΈΠ΅Π½Ρ‚Ρƒ Ρ€Π°Π·Ρ€Π΅ΡˆΠ°Π΅Ρ‚ΡΡ ΡΠ΄Π΅Π»Π°Ρ‚ΡŒ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ 12 Π½ΠΎΠ²Ρ‹Ρ… «запросов» ΠΊ RDP сСрвСру. Одна ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠ° Π²Ρ…ΠΎΠ΄Π° β€” это ΠΎΡ‚ 1 Π΄ΠΎ 4 «запросов». ΠŸΡ€ΠΈ 12-ΠΎΠΌ «запросС» β€” Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠ° Π½Π° 15 ΠΌΠΈΠ½ΡƒΡ‚. Π’ ΠΌΠΎΠ΅ΠΌ случаС Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ сСрвСр Π²Π·Π»Π°ΠΌΡ‹Π²Π°Ρ‚ΡŒ Π½Π΅ пСрСстали, ΠΏΠΎΠ΄ΡΡ‚Ρ€ΠΎΠΈΠ»ΠΈΡΡŒ ΠΏΠΎΠ΄ Ρ‚Π°ΠΉΠΌΠ΅Ρ€Ρ‹ ΠΈ Ρ‚Π΅ΠΏΠ΅Ρ€ΡŒ Π΄Π΅Π»Π°ΡŽΡ‚ это ΠΎΡ‡Π΅Π½ΡŒ ΠΌΠ΅Π΄Π»Π΅Π½Π½ΠΎ, такая ΡΠΊΠΎΡ€ΠΎΡΡ‚ΡŒ ΠΏΠΎΠ΄Π±ΠΎΡ€Π° сводит ΡΡ„Ρ„Π΅ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ Π°Ρ‚Π°ΠΊΠΈ ΠΊ Π½ΡƒΠ»ΡŽ. Π‘ΠΎΡ‚Ρ€ΡƒΠ΄Π½ΠΈΠΊΠΈ прСдприятия ΠΎΡ‚ принятых ΠΌΠ΅Ρ€ Π½ΠΈΠΊΠ°ΠΊΠΈΡ… нСудобств Π² Ρ€Π°Π±ΠΎΡ‚Π΅ практичСски Π½Π΅ ΠΈΡΠΏΡ‹Ρ‚Ρ‹Π²Π°ΡŽΡ‚.

Π•Ρ‰Π΅ ΠΎΠ΄Π½Π° малСнькая Ρ…ΠΈΡ‚Ρ€ΠΎΡΡ‚ΡŒ
Π­Ρ‚ΠΎ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ ΠΏΠΎ Ρ€Π°ΡΠΏΠΈΡΠ°Π½ΠΈΡŽ Π² час Π½ΠΎΡ‡ΠΈ ΠΈ Π²Ρ‹ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ Π² 5, ΠΊΠΎΠ³Π΄Π° ΠΆΠΈΠ²Ρ‹Π΅ люди Ρ‚ΠΎΡ‡Π½ΠΎ спят, Π° Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ ΠΏΠΎΠ΄Π±ΠΎΡ€Ρ‰ΠΈΠΊΠΈ ΠΏΡ€ΠΎΠ΄ΠΎΠ»ΠΆΠ°ΡŽΡ‚ Π±ΠΎΠ΄Ρ€ΡΡ‚Π²ΠΎΠ²Π°Ρ‚ΡŒ.

/ip firewall filter 
add action=add-src-to-address-list address-list=rdp_blacklist 
    address-list-timeout=1w0d0h0m chain=forward comment=
    "night_rdp_blacklist" connection-state=new disabled=
    yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8

Π£ΠΆΠ΅ Π½Π° 8ΠΎΠΌ ΠΏΠΎ счСту соСдинСнии IP Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ° отправляСтся Π² Ρ‡Π΅Ρ€Π½Ρ‹ΠΉ список Π½Π° нСдСлю. ΠšΡ€Π°ΡΠΎΡ‚Π°!

Ну ΠΈ Π² довСсок ΠΊ Π²Ρ‹ΡˆΠ΅ΡΠΊΠ°Π·Π°Π½Π½ΠΎΠΌΡƒ добавлю ссылку Π½Π° Wiki ΡΡ‚Π°Ρ‚ΡŒΡŽ, с Ρ€Π°Π±ΠΎΡ‡Π΅ΠΉ настройкой Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠœΠΈΠΊΡ€ΠΎΡ‚ΠΈΠΊΠ° ΠΎΡ‚ сСтСвых сканСров. wiki.mikrotik.com/wiki/Drop_port_scanners

На ΠΌΠΎΠΈΡ… устройствах эта настройка Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ вмСстС с Π²Ρ‹ΡˆΠ΅ΠΎΠΏΠΈΡΠ°Π½Π½Ρ‹ΠΌΠΈ honeypot ΠΏΡ€Π°Π²ΠΈΠ»Π°ΠΌΠΈ, Π½Π΅ΠΏΠ»ΠΎΡ…ΠΎ ΠΈΡ… дополняя.

UPD: Как подсказали Π² коммСнтариях, ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ Π΄Ρ€ΠΎΠΏΠ° ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² ΠΏΠ΅Ρ€Π΅ΠΌΠ΅Ρ‰Π΅Π½ΠΎ Π² RAW, для сниТСния Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ Π½Π° Ρ€ΠΎΡƒΡ‚Π΅Ρ€.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com