Jeg vil gerne dele med fællesskabet en enkel og fungerende måde at bruge Mikrotik til at beskytte dit netværk og de tjenester, der "kigger ud" bagved det mod eksterne angreb. Nemlig blot tre regler for at organisere en honeypot på Mikrotik.
Så lad os forestille os, at vi har et lille kontor med en ekstern IP, bag hvilken der er en RDP-server, som medarbejderne kan arbejde eksternt. Den første regel er selvfølgelig at ændre port 3389 på den eksterne grænseflade til en anden. Men dette vil ikke vare længe; efter et par dage vil terminalserverens revisionslog begynde at vise flere mislykkede autorisationer pr. sekund fra ukendte klienter.
En anden situation, du har en stjerne gemt bag Mikrotik, selvfølgelig ikke på 5060 udp porten, og efter et par dage begynder kodeordssøgningen også... ja, ja, jeg ved det, fail2ban er vores alt, men vi skal stadig arbejde på det... for eksempel installerede jeg det for nylig på ubuntu 18.04 og blev overrasket over at opdage, at fail2ban ikke indeholder aktuelle indstillinger for stjerne fra den samme boks i den samme ubuntu-distribution... og google hurtige indstillinger for færdiglavede “opskrifter” virker ikke længere, tallene for udgivelser vokser med årene, og artikler med “opskrifter” på gamle versioner virker ikke længere, og nye dukker næsten aldrig op... Men jeg afviger...
Så hvad er en honeypot i en nøddeskal - det er en honeypot, i vores tilfælde, enhver populær port på en ekstern IP, enhver anmodning til denne port fra en ekstern klient sender src-adressen til sortlisten. Alle.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Den første regel på populære TCP-porte 22, 3389, 8291 på den eksterne ether4-wan-grænseflade sender "gæst"-IP'en til "Honeypot Hacker"-listen (porte til ssh, rdp og winbox er deaktiveret på forhånd eller ændret til andre). Den anden gør det samme på den populære UDP 5060.
Den tredje regel på pre-routing-stadiet dropper pakker fra "gæster", hvis srs-adresse er inkluderet i "Honeypot Hacker".
Efter to ugers arbejde med mit hjem Mikrotik indeholdt "Honeypot Hacker"-listen omkring halvandet tusinde IP-adresser på dem, der kan lide at "holde ved yveret" mine netværksressourcer (hjemme er der min egen telefoni, mail, nextcloud, rdp.) Brute-force-angreb stoppede, lyksaligheden kom.
På arbejdet viste alt sig ikke at være så simpelt, der fortsætter de med at bryde rdp-serveren ved hjælp af brute-force-adgangskoder.
Portnummeret blev tilsyneladende bestemt af scanneren længe før honningpotten blev tændt, og under karantæne er det ikke så nemt at omkonfigurere mere end 100 brugere, hvoraf 20% er over 65 år. I det tilfælde, hvor porten ikke kan ændres, er der en lille arbejdsopskrift. Jeg har set noget lignende på internettet, men der er nogle yderligere tilføjelser og finjusteringer involveret:
Regler for konfiguration af Port Knocking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
På 4 minutter får fjernklienten kun 12 nye "anmodninger" til RDP-serveren. Et loginforsøg er fra 1 til 4 "anmodninger". Ved den 12. "anmodning" - blokering i 15 minutter. I mit tilfælde stoppede angriberne ikke med at hacke serveren, de tilpassede sig timerne og gør det nu meget langsomt, en sådan udvælgelseshastighed reducerer effektiviteten af angrebet til nul. Virksomhedens medarbejdere oplever stort set ingen gener på arbejdet af de foranstaltninger, der er truffet.
Endnu et lille trick
Denne regel tænder i henhold til en tidsplan kl. 5 og slukker kl. XNUMX, når rigtige mennesker definitivt sover, og automatiske plukkere fortsætter med at være vågne.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Allerede på den 8. forbindelse er angriberens IP sortlistet i en uge. Skønhed!
Nå, ud over ovenstående tilføjer jeg et link til en Wiki-artikel med en fungerende opsætning til at beskytte Mikrotik mod netværksscannere.
På mine enheder fungerer denne indstilling sammen med honeypot-reglerne beskrevet ovenfor og supplerer dem godt.
UPD: Som foreslået i kommentarerne er reglen om pakkeaflevering blevet flyttet til RAW for at reducere belastningen på routeren.
Kilde: www.habr.com