আক্রমণ থেকে আপনার Mikrotik রক্ষা করার একটি সহজ উপায়

আমি সম্প্রদায়ের সাথে আপনার নেটওয়ার্ক এবং পরিষেবাগুলিকে বাইরের আক্রমণ থেকে "উঁকি দেওয়া" সুরক্ষার জন্য কীভাবে Mikrotik ব্যবহার করতে হয় তার একটি সহজ এবং কার্যকরী উপায় ভাগ করতে চাই৷ যথা, Mikrotik একটি মধুপাত্র সংগঠিত করার জন্য মাত্র তিনটি নিয়ম.

সুতরাং, আসুন কল্পনা করি যে আমাদের একটি ছোট অফিস আছে, একটি বাহ্যিক আইপি সহ যার পিছনে কর্মচারীদের দূরবর্তীভাবে কাজ করার জন্য একটি RDP সার্ভার রয়েছে। প্রথম নিয়মটি অবশ্যই, বহিরাগত ইন্টারফেসে পোর্ট 3389 পরিবর্তন করে অন্য একটিতে। কিন্তু এটি দীর্ঘস্থায়ী হবে না; কয়েকদিন পরে, টার্মিনাল সার্ভার অডিট লগ অজানা ক্লায়েন্টদের কাছ থেকে প্রতি সেকেন্ডে বেশ কয়েকটি ব্যর্থ অনুমোদন দেখাতে শুরু করবে।

আরেকটি পরিস্থিতি, আপনি Mikrotik এর পিছনে লুকানো তারকাচিহ্ন রয়েছে, অবশ্যই udp পোর্ট 5060 এ নয়, এবং কয়েকদিন পর পাসওয়ার্ড অনুসন্ধানও শুরু হবে... হ্যাঁ, হ্যাঁ, আমি জানি, fail2ban আমাদের সবকিছু, কিন্তু আমাদের এখনও কাজ করতে হবে এটিতে...উদাহরণস্বরূপ, আমি সম্প্রতি এটি উবুন্টু 18.04 এ ইনস্টল করেছি এবং আউট অফ দ্য বক্স fail2ban-এ একই উবুন্টু ডিস্ট্রিবিউশনের একই বক্স থেকে তারকাচিহ্নের জন্য বর্তমান সেটিংস নেই...এবং দ্রুত সেটিংস গুগলিং করা রেডিমেড "রেসিপি" আর কাজ করে না, বছরের পর বছর ধরে রিলিজের সংখ্যা বাড়ছে, এবং পুরানো সংস্করণগুলির জন্য "রেসিপি" সহ নিবন্ধগুলি আর কাজ করে না, এবং নতুনগুলি প্রায় কখনও দেখা যায় না... কিন্তু আমি বিচ্ছিন্ন...

সুতরাং, সংক্ষেপে একটি মধুপাত্র কি - এটি একটি মধুর পট, আমাদের ক্ষেত্রে, একটি বাহ্যিক আইপি-তে যেকোনো জনপ্রিয় পোর্ট, একটি বহিরাগত ক্লায়েন্টের কাছ থেকে এই পোর্টে যে কোনো অনুরোধ src ঠিকানাটিকে কালো তালিকায় পাঠায়। সব

/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker" 
    address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox" 
    connection-state=new dst-port=22,3389,8291 in-interface=
    ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker" 
    address-list-timeout=30d0h0m chain=input comment=
    "block honeypot asterisk" connection-state=new dst-port=5060 
    in-interface=ether4-wan protocol=udp 
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
    "Honeypot Hacker"

ইথার22-ওয়ান বাহ্যিক ইন্টারফেসের জনপ্রিয় TCP পোর্ট 3389, 8291, 4-এর প্রথম নিয়মটি "অতিথি" আইপিকে "হানিপট হ্যাকার" তালিকায় পাঠায় (ssh, rdp এবং winbox-এর জন্য পোর্টগুলি আগে থেকেই অক্ষম করা হয় বা অন্যদের জন্য পরিবর্তন করা হয়)। দ্বিতীয়টি জনপ্রিয় UDP 5060-এ একই কাজ করে।

প্রি-রাউটিং পর্যায়ে তৃতীয় নিয়মটি "অতিথিদের" থেকে প্যাকেট ড্রপ করে যার এসআরএস-ঠিকানা "হানিপট হ্যাকার"-এ অন্তর্ভুক্ত।

আমার হোম মিক্রোটিকের সাথে দুই সপ্তাহ কাজ করার পরে, "হানিপট হ্যাকার" তালিকায় তাদের প্রায় দেড় হাজার আইপি ঠিকানা অন্তর্ভুক্ত করা হয়েছে যারা আমার নেটওয়ার্ক সংস্থানগুলি "হোল্ড করে রাখতে" পছন্দ করেন (বাড়িতে আমার নিজস্ব টেলিফোনি, মেল, নেক্সটক্লাউড, আরডিপি) ব্রুট-ফোর্স আক্রমণ থামল, আনন্দ এল

কর্মক্ষেত্রে, সবকিছু এত সহজ হয়ে ওঠেনি, সেখানে তারা পাশবিক পাসওয়ার্ড দিয়ে আরডিপি সার্ভার ভাঙতে থাকে।

স্পষ্টতই, হানিপট চালু হওয়ার অনেক আগে স্ক্যানার দ্বারা পোর্ট নম্বর নির্ধারণ করা হয়েছিল, এবং কোয়ারেন্টাইনের সময় 100 জনের বেশি ব্যবহারকারীকে পুনরায় কনফিগার করা এত সহজ নয়, যার মধ্যে 20% 65 বছরের বেশি বয়সী। ক্ষেত্রে যখন পোর্ট পরিবর্তন করা যাবে না, একটি ছোট কাজ রেসিপি আছে. আমি ইন্টারনেটে অনুরূপ কিছু দেখেছি, তবে কিছু অতিরিক্ত সংযোজন এবং সূক্ষ্ম টিউনিং জড়িত রয়েছে:

পোর্ট নকিং কনফিগার করার নিয়ম

 /ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist 
    address-list-timeout=15m chain=forward comment=rdp_to_blacklist 
    connection-state=new dst-port=3389 protocol=tcp src-address-list=
    rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5 
    address-list-timeout=4m chain=forward connection-state=new dst-port=
    3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4 
    address-list-timeout=4m chain=forward connection-state=new dst-port=
    3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp 
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist

4 মিনিটের মধ্যে, দূরবর্তী ক্লায়েন্টকে RDP সার্ভারে শুধুমাত্র 12টি নতুন "অনুরোধ" করার অনুমতি দেওয়া হয়। একটি লগইন প্রচেষ্টা হল 1 থেকে 4টি "অনুরোধ"। 12 তম "অনুরোধে" - 15 মিনিটের জন্য ব্লক করা। আমার ক্ষেত্রে, আক্রমণকারীরা সার্ভার হ্যাক করা বন্ধ করেনি, তারা টাইমারগুলির সাথে সামঞ্জস্য করেছে এবং এখন এটি খুব ধীরে ধীরে করে, নির্বাচনের এই ধরনের গতি আক্রমণের কার্যকারিতা শূন্যে হ্রাস করে। কোম্পানির কর্মীরা গৃহীত ব্যবস্থা থেকে কার্যত কোন অসুবিধার সম্মুখীন হয় না।

আরেকটি ছোট কৌশল
এই নিয়ম একটি সময়সূচী অনুযায়ী সকাল 5 টায় চালু হয় এবং XNUMX টায় বন্ধ হয়ে যায়, যখন প্রকৃত লোকেরা অবশ্যই ঘুমিয়ে থাকে এবং স্বয়ংক্রিয় বাছাইকারীরা জেগে থাকে।

/ip firewall filter 
add action=add-src-to-address-list address-list=rdp_blacklist 
    address-list-timeout=1w0d0h0m chain=forward comment=
    "night_rdp_blacklist" connection-state=new disabled=
    yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8

ইতিমধ্যে 8 তম সংযোগে, আক্রমণকারীর আইপি এক সপ্তাহের জন্য কালো তালিকাভুক্ত করা হয়েছে। সৌন্দর্য !

ঠিক আছে, উপরের ছাড়াও, আমি নেটওয়ার্ক স্ক্যানার থেকে Mikrotik রক্ষা করার জন্য একটি কার্যকরী সেটআপ সহ একটি উইকি নিবন্ধে একটি লিঙ্ক যুক্ত করব। wiki.mikrotik.com/wiki/Drop_port_scanners

আমার ডিভাইসগুলিতে, এই সেটিংটি উপরে বর্ণিত মধুর পাত্রের নিয়মগুলির সাথে একসাথে কাজ করে, তাদের ভালভাবে পরিপূরক করে৷

UPD: মন্তব্যে প্রস্তাবিত হিসাবে, রাউটারের লোড কমাতে প্যাকেট ড্রপ নিয়মটি RAW-তে সরানো হয়েছে।

উত্স: www.habr.com