Vull compartir amb la comunitat una manera senzilla i funcional d'utilitzar Mikrotik per protegir la vostra xarxa i els serveis que "s'observen" darrere d'atacs externs. És a dir, només tres regles per organitzar un pot de mel a Mikrotik.
Per tant, imaginem que tenim una petita oficina, amb una IP externa darrere de la qual hi ha un servidor RDP perquè els empleats treballin de forma remota. La primera regla és, per descomptat, canviar el port 3389 de la interfície externa per un altre. Però això no durarà gaire; després d'un parell de dies, el registre d'auditoria del servidor terminal començarà a mostrar diverses autoritzacions fallides per segon de clients desconeguts.
Una altra situació, tens un asterisc amagat darrere de Mikrotik, és clar que no al port 5060 udp, i al cap d'un parell de dies també comença la cerca de contrasenyes... sí, sí, ho sé, fail2ban és el nostre tot, però encara hem de fer-ho. treballeu-hi... per exemple, el vaig instal·lar recentment a ubuntu 18.04 i em va sorprendre descobrir que fail2ban no conté la configuració actual per a asterisc de la mateixa caixa de la mateixa distribució d'ubuntu... i la configuració ràpida de Google. les "receptes" ja no funcionen, el nombre de llançaments creixen amb els anys i els articles amb "receptes" per a versions antigues ja no funcionen, i gairebé mai no n'apareixen de nous... Però em digresso...
Per tant, què és un honeypot en poques paraules: és un honeypot, en el nostre cas, qualsevol port popular d'una IP externa, qualsevol sol·licitud a aquest port d'un client extern envia l'adreça src a la llista negra. Tots.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
La primera regla dels ports TCP populars 22, 3389, 8291 de la interfície externa ether4-wan envia l'IP "convidat" a la llista "Honeypot Hacker" (els ports per a ssh, rdp i winbox es desactiven per endavant o es canvien a altres). El segon fa el mateix al popular UDP 5060.
La tercera regla a l'etapa prèvia a l'enrutament deixa caure paquets dels "convidats" l'adreça srs dels quals s'inclou a "Honeypot Hacker".
Després de dues setmanes de treballar amb el meu Mikrotik de casa, la llista de "Honeypot Hacker" incloïa aproximadament un miler i mig d'adreces IP d'aquells que els agrada "tenir per la ubre" els meus recursos de xarxa (a casa hi ha la meva pròpia telefonia, correu, nextcloud, rdp) Els atacs de força bruta es van aturar, va arribar la felicitat.
A la feina, no tot va resultar tan senzill, allà continuen trencant el servidor rdp mitjançant contrasenyes de força bruta.
Pel que sembla, el número de port el va determinar l'escàner molt abans que s'encengués el pot de mel, i durant la quarantena no és tan fàcil reconfigurar més de 100 usuaris, dels quals el 20% tenen més de 65 anys. En el cas que no es pugui canviar el port, hi ha una petita recepta de treball. He vist alguna cosa semblant a Internet, però hi ha algunes addicions addicionals i ajustaments:
Regles per configurar Port Knocking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
En 4 minuts, el client remot només pot fer 12 noves "sol·licituds" al servidor RDP. Un intent d'inici de sessió és d'1 a 4 "sol·licituds". A la 12a "sol·licitud": bloqueig durant 15 minuts. En el meu cas, els atacants no van deixar de piratejar el servidor, es van ajustar als temporitzadors i ara ho fan molt lentament, aquesta velocitat de selecció redueix l'efectivitat de l'atac a zero. Els empleats de l'empresa pràcticament no experimenten molèsties a la feina per les mesures adoptades.
Un altre petit truc
Aquesta regla s'activa segons un horari a la 5 a.m. i s'apaga a les XNUMX a.m., quan la gent real està definitivament adormida i els seleccionadors automatitzats continuen desperts.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Ja a la 8a connexió, la IP de l'atacant està a la llista negra durant una setmana. Bellesa!
Bé, a més de l'anterior, afegiré un enllaç a un article de Wiki amb una configuració de treball per protegir Mikrotik dels escàners de xarxa.
Als meus dispositius, aquesta configuració funciona juntament amb les regles de l'honeypot descrites anteriorment, complementant-les bé.
UPD: tal com es suggereix als comentaris, la regla de caiguda de paquets s'ha mogut a RAW per reduir la càrrega de l'encaminador.
Font: www.habr.com