Rwyf am rannu gyda'r gymuned ffordd syml a gweithiol o sut i ddefnyddio Mikrotik i amddiffyn eich rhwydwaith a'r gwasanaethau sy'n “sbecian” o'r tu ôl iddo rhag ymosodiadau allanol. Sef, dim ond tair rheol i drefnu pot mêl ar Mikrotik.
Felly, gadewch i ni ddychmygu bod gennym swyddfa fach, gydag IP allanol y tu ôl i weinydd RDP i weithwyr weithio o bell. Y rheol gyntaf, wrth gwrs, yw newid porthladd 3389 ar y rhyngwyneb allanol i un arall. Ond ni fydd hyn yn para'n hir; ar ôl ychydig ddyddiau, bydd log archwilio'r gweinydd terfynell yn dechrau dangos sawl awdurdodiad methu yr eiliad gan gleientiaid anhysbys.
Sefyllfa arall, mae gennych seren wedi'i chuddio y tu ôl i Mikrotik, wrth gwrs nid ar y porthladd udp 5060, ac ar ôl ychydig o ddyddiau mae'r chwiliad cyfrinair hefyd yn dechrau ... ie, ie, rwy'n gwybod, fail2ban yw ein popeth, ond mae'n rhaid i ni barhau i fod. gweithio arno ... er enghraifft, fe'i gosodais yn ddiweddar ar ubuntu 18.04 a chefais fy synnu i ddarganfod nad yw fail2ban allan o'r blwch yn cynnwys gosodiadau cyfredol ar gyfer seren o'r un blwch o'r un dosbarthiad ubuntu ... a gosodiadau cyflym googling oherwydd nid yw “ryseitiau” parod yn gweithio mwyach, mae'r niferoedd ar gyfer datganiadau yn cynyddu dros y blynyddoedd, ac nid yw erthyglau gyda “ryseitiau” ar gyfer hen fersiynau yn gweithio mwyach, a rhai newydd bron byth yn ymddangos... Ond dwi'n crwydro...
Felly, beth yw pot mêl yn gryno - mae'n pot mêl, yn ein hachos ni, unrhyw borthladd poblogaidd ar IP allanol, mae unrhyw gais i'r porthladd hwn gan gleient allanol yn anfon y cyfeiriad src i'r rhestr ddu. I gyd.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Mae'r rheol gyntaf ar borthladdoedd TCP poblogaidd 22, 3389, 8291 o'r rhyngwyneb allanol ether4-wan yn anfon yr IP “gwestai” i'r rhestr “Honeypot Hacker” (mae porthladdoedd ar gyfer ssh, rdp ac winbox yn anabl ymlaen llaw neu'n cael eu newid i eraill). Mae'r ail un yn gwneud yr un peth ar y CDU 5060 poblogaidd.
Mae'r drydedd reol yn y cam rhag-lwybro yn gollwng pecynnau oddi wrth “westeion” y mae eu cyfeiriad srs wedi'i gynnwys yn y “Honeypot Hacker”.
Ar ôl pythefnos o weithio gyda fy nghartref Mikrotik, roedd y rhestr “Honeypot Hacker” yn cynnwys tua mil a hanner o gyfeiriadau IP y rhai sy'n hoffi “ddal wrth y gadair” fy adnoddau rhwydwaith (gartref mae fy ffôn fy hun, post, nextcloud, rdp) Ymosodiadau Brute-force stopio, daeth gwynfyd.
Yn y gwaith, nid oedd popeth mor syml, ac yno maent yn parhau i dorri'r gweinydd rdp trwy gyfrineiriau sy'n gorfodi 'n ysgrublaidd.
Yn ôl pob tebyg, pennwyd rhif y porthladd gan y sganiwr ymhell cyn i'r pot mêl gael ei droi ymlaen, ac yn ystod cwarantîn nid yw mor hawdd ad-drefnu mwy na 100 o ddefnyddwyr, y mae 20% ohonynt dros 65 oed. Yn yr achos pan na ellir newid y porthladd, mae rysáit gweithio bach. Rwyf wedi gweld rhywbeth tebyg ar y Rhyngrwyd, ond mae rhywfaint o adio a mireinio ychwanegol ynghlwm wrth hyn:
Rheolau ar gyfer ffurfweddu Port Knocking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
Mewn 4 munud, dim ond 12 “cais” newydd y caniateir i'r cleient o bell eu gwneud i'r gweinydd RDP. Un ymgais mewngofnodi yw rhwng 1 a 4 “cais”. Ar y 12fed “cais” - blocio am 15 munud. Yn fy achos i, ni roddodd yr ymosodwyr y gorau i hacio'r gweinydd, maent yn addasu i'r amseryddion ac yn awr yn ei wneud yn araf iawn, mae cyflymder dethol o'r fath yn lleihau effeithiolrwydd yr ymosodiad i sero. Nid yw gweithwyr y cwmni'n profi fawr ddim anghyfleustra yn y gwaith o ganlyniad i'r mesurau a gymerwyd.
Tric bach arall
Mae'r rheol hon yn troi ymlaen yn unol ag amserlen am 5 am ac yn diffodd am XNUMX am, pan fydd pobl go iawn yn bendant yn cysgu, ac mae codwyr awtomataidd yn parhau i fod yn effro.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8
Eisoes ar yr 8fed cysylltiad, mae IP yr ymosodwr ar y rhestr ddu am wythnos. Harddwch!
Wel, yn ogystal â'r uchod, byddaf yn ychwanegu dolen at erthygl Wiki gyda gosodiad gweithredol ar gyfer amddiffyn Mikrotik rhag sganwyr rhwydwaith.
Ar fy nyfeisiau, mae'r gosodiad hwn yn cydweithio â'r rheolau pot mêl a ddisgrifir uchod, gan eu hategu'n dda.
UPD: Fel yr awgrymwyd yn y sylwadau, mae'r rheol gollwng pecynnau wedi'i symud i RAW i leihau'r llwyth ar y llwybrydd.
Ffynhonnell: hab.com