Želim podijeliti sa zajednicom jednostavan i funkcionalan način kako koristiti Mikrotik za zaštitu vaše mreže i usluga koje „viruju“ iza nje od vanjskih napada. Naime, samo tri pravila za organiziranje meda na Mikrotiku.
Dakle, zamislimo da imamo malu kancelariju, sa eksternom IP-om iza kojeg se nalazi RDP server za rad zaposlenih na daljinu. Prvo pravilo je, naravno, da se port 3389 na eksternom interfejsu promeni u drugi. Ali ovo neće dugo trajati; nakon nekoliko dana, dnevnik revizije terminalskog servera će početi da prikazuje nekoliko neuspjelih autorizacija u sekundi od nepoznatih klijenata.
Druga situacija, iza Mikrotika imate sakrivenu zvjezdicu, naravno ne na 5060 udp portu, a nakon par dana počinje i traženje lozinke... da, da, znam, fail2ban nam je sve, ali ipak moramo poradite na tome... na primjer, nedavno sam ga instalirao na ubuntu 18.04 i bio sam iznenađen kada sam otkrio da fal2ban ne sadrži trenutne postavke za asterisk iz iste kutije iste ubuntu distribucije... i brze postavke u guglanju jer gotovi "recepti" više ne rade, broj izdanja raste godinama, a članci sa "receptima" za stare verzije više ne rade, a novi se skoro nikad ne pojavljuju... Ali skrećem pažnju...
Dakle, šta je honeypot ukratko - to je honeypot, u našem slučaju, bilo koji popularan port na eksternom IP-u, svaki zahtjev prema ovom portu od vanjskog klijenta šalje src adresu na crnu listu. Sve.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Prvo pravilo o popularnim TCP portovima 22, 3389, 8291 ether4-wan eksternog interfejsa šalje IP „gostu“ na „Honeypot Hacker“ listu (portovi za ssh, rdp i winbox su unapred onemogućeni ili promenjeni u druge). Drugi radi isto na popularnom UDP 5060.
Treće pravilo u fazi pre rutiranja ispušta pakete od „gostiju“ čija je srs-adresa uključena u „Honeypot Hacker“.
Nakon dvije sedmice rada sa mojim kućnim Mikrotikom, lista “Honeypot Hacker” uključila je oko hiljadu i po IP adresa onih koji vole da “drže za vime” moje mrežne resurse (kod kuće je moja telefonija, pošta, nextcloud, rdp).Napadi grube sile su prestali, blaženstvo je došlo.
Na poslu nije sve bilo tako jednostavno, tamo nastavljaju da razbijaju rdp server brutalnim nametanjem lozinki.
Očigledno, broj porta je skener odredio mnogo prije nego što je honeypot uključen, a tokom karantina nije tako lako rekonfigurirati više od 100 korisnika, od kojih je 20% starije od 65 godina. U slučaju kada se port ne može promijeniti, postoji mali radni recept. Vidio sam nešto slično na internetu, ali tu su neki dodatni dodaci i fino podešavanje:
Pravila za konfiguraciju Port Knocking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
Za 4 minuta, udaljenom klijentu je dozvoljeno da napravi samo 12 novih “zahtjeva” prema RDP serveru. Jedan pokušaj prijave je od 1 do 4 “zahtjeva”. Na 12. "zahtjev" - blokiranje 15 minuta. U mom slučaju napadači nisu prestali da hakuju server, prilagodili su se tajmerima i sada to rade vrlo sporo, takva brzina selekcije svodi efikasnost napada na nulu. Zaposleni u kompaniji praktično nemaju neugodnosti na poslu zbog preduzetih mjera.
Još jedan mali trik
Ovo pravilo se uključuje prema rasporedu u 5 ujutro i gasi se u XNUMX ujutro, kada stvarni ljudi definitivno spavaju, a automatizirani berači i dalje budni.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Već pri 8. konekciji, IP napadača je na crnoj listi sedmicu dana. Ljepota!
Pa, osim gore navedenog, dodaću link na Wiki članak s radnom postavkom za zaštitu Mikrotika od mrežnih skenera.
Na mojim uređajima ova postavka funkcionira zajedno s gore opisanim pravilima honeypota i dobro ih nadopunjuje.
UPD: Kao što je predloženo u komentarima, pravilo ispuštanja paketa je premješteno u RAW kako bi se smanjilo opterećenje rutera.
izvor: www.habr.com