Gusto nako nga ipaambit sa komunidad ang usa ka yano ug nagtrabaho nga paagi kung giunsa ang paggamit sa Mikrotik aron mapanalipdan ang imong network ug ang mga serbisyo nga "nagtan-aw" gikan sa luyo niini gikan sa mga pag-atake sa gawas. Nga mao, tulo lang ka mga lagda sa pag-organisar sa usa ka honeypot sa Mikrotik.
Busa, atong hunahunaon nga kita adunay usa ka gamay nga opisina, nga adunay usa ka eksternal nga IP sa luyo diin adunay usa ka RDP server alang sa mga empleyado nga magtrabaho sa layo. Ang una nga lagda mao, siyempre, ang pag-usab sa port 3389 sa eksternal nga interface ngadto sa lain. Apan dili kini magdugay; pagkahuman sa pila ka adlaw, ang log sa pag-audit sa terminal server magsugod sa pagpakita sa daghang mga pakyas nga pagtugot matag segundo gikan sa wala mailhi nga mga kliyente.
Laing sitwasyon, naa kay asterisk nga gitago sa likod sa Mikrotik, syempre dili sa 5060 udp port, ug pagkahuman sa pila ka adlaw nagsugod usab ang pagpangita sa password ... oo, oo, nahibal-an nako, fail2ban ang tanan, apan kinahanglan pa naton. buhata kini ... pananglitan, bag-o lang nako nga gi-install kini sa ubuntu 18.04 ug natingala nga nahibal-an nga gikan sa kahon ang fail2ban walaβy sulud nga mga setting karon alang sa asterisk gikan sa parehas nga kahon sa parehas nga pag-apod-apod sa ubuntu ... ug mga dali nga setting sa pag-googling kay ang mga andam nga "mga resipe" dili na molihok, ang mga numero alang sa pagpagawas nagkadaghan sa mga katuigan, ug ang mga artikulo nga adunay "mga resipe" alang sa daan nga mga bersyon dili na magamit, ug ang mga bag-o halos dili na makita... Apan ako naglikay...
Busa, unsa ang usa ka honeypot sa usa ka nutshell - kini usa ka honeypot, sa among kaso, bisan unsang popular nga pantalan sa usa ka eksternal nga IP, bisan unsang hangyo niini nga pantalan gikan sa usa ka eksternal nga kliyente nagpadala sa src address ngadto sa blacklist. Tanan.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Ang unang lagda sa popular nga TCP ports 22, 3389, 8291 sa ether4-wan external interface nagpadala sa "guest" IP ngadto sa "Honeypot Hacker" list (ports para sa ssh, rdp ug winbox gi-disable daan o giusab sa uban). Ang ikaduha mao usab ang gibuhat sa sikat nga UDP 5060.
Ang ikatulo nga lagda sa pre-routing stage naghulog sa mga pakete gikan sa "mga bisita" kansang srs-address gilakip sa "Honeypot Hacker".
Pagkahuman sa duha ka semana nga pagtrabaho kauban ang akong balay nga Mikrotik, ang lista sa "Honeypot Hacker" naglakip sa mga usa ug tunga nga libo nga mga IP address sa mga gusto nga "magkupot sa udder" sa akong mga kapanguhaan sa network (sa balay adunay akong kaugalingon nga telepono, mail, sunodcloud, rdp) Ang mga pag-atake sa brute force mihunong, ang kalipay miabut.
Sa trabaho, dili tanan nahimong yano ra, didto nagpadayon sila sa pagguba sa rdp server pinaagi sa mga brute-forcing password.
Dayag, ang numero sa pantalan gitino sa scanner dugay na sa wala pa ma-on ang honeypot, ug sa panahon sa quarantine dili kaayo sayon ββang pag-reconfigure sa labaw sa 100 ka tiggamit, diin 20% ang kapin sa 65 anyos. Sa kaso kung ang pantalan dili mabag-o, adunay usa ka gamay nga resipe sa pagtrabaho. Nakakita ko og susama sa Internet, apan adunay dugang nga pagdugang ug maayong pag-tune nga nalangkit:
Mga lagda alang sa pag-configure sa Port Knocking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
Sa 4 minuto, ang hilit nga kliyente gitugotan sa paghimo lamang sa 12 ka bag-ong "mga hangyo" sa RDP server. Ang usa ka pagsulay sa pag-login gikan sa 1 hangtod 4 nga "mga hangyo". Sa ika-12 nga "hangyo" - pag-block sa 15 minuto. Sa akong kaso, ang mga tig-atake wala mohunong sa pag-hack sa server, sila nag-adjust sa mga timer ug karon hinay kaayo, ang ingon nga katulin sa pagpili makapamenos sa pagka-epektibo sa pag-atake ngadto sa zero. Ang mga empleyado sa kompanya halos walaβy nasinati nga kahasol sa trabaho gikan sa mga lakang nga gihimo.
Laing gamay nga limbong
Kini nga lagda mo-on sumala sa usa ka eskedyul sa 5 a.m. ug mopalong sa XNUMX a.m., kung ang tinuod nga mga tawo siguradong nangatulog, ug ang mga automated picker nagpadayon sa pagmata.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Anaa na sa ika-8 nga koneksyon, ang IP sa tig-atake gi-blacklist sa usa ka semana. Katahom!
Aw, dugang pa sa ibabaw, magdugang ko og link sa usa ka Wiki nga artikulo nga adunay working setup alang sa pagpanalipod sa Mikrotik gikan sa mga network scanner.
Sa akong mga aparato, kini nga setting naglihok kauban ang mga lagda sa honeypot nga gihulagway sa ibabaw, nga nagsangkap pag-ayo niini.
UPD: Sama sa gisugyot sa mga komento, ang packet drop rule gibalhin sa RAW aron makunhuran ang load sa router.
Source: www.habr.com