Mi volas dividi kun la komunumo simplan kaj funkciantan manieron kiel uzi Mikrotik por protekti vian reton kaj la servojn "rigardantajn" de malantaŭ ĝi kontraŭ eksteraj atakoj. Nome, nur tri reguloj por organizi mielpoton sur Mikrotik.
Do, ni imagu, ke ni havas malgrandan oficejon, kun ekstera IP malantaŭ kiu estas RDP-servilo por dungitoj labori malproksime. La unua regulo estas, kompreneble, ŝanĝi la havenon 3389 sur la ekstera interfaco al alia. Sed ĉi tio ne daŭros longe; post kelkaj tagoj, la auditoria protokolo de terminalservilo komencos montri plurajn malsukcesajn rajtigojn sekundo de nekonataj klientoj.
Alia situacio, vi havas asteriskon kaŝita malantaŭ Mikrotik, kompreneble ne sur udp-haveno 5060, kaj post kelkaj tagoj ankaŭ komenciĝas la pasvorta serĉo... jes, jes, mi scias, fail2ban estas nia ĉio, sed ni ankoraŭ devas labori sur ĝi... ekzemple, mi ĵus instalis ĝin sur ubuntu 18.04 kaj estis surprizita malkovri, ke el la skatolo fail2ban ne enhavas aktualajn agordojn por asterisko de la sama skatolo de la sama ubuntu-distribuo... kaj guglanta rapidajn agordojn por pretaj "receptoj" ne plu funkcias, la nombroj por eldonaĵoj kreskas dum la jaroj, kaj artikoloj kun "receptoj" por malnovaj versioj ne plu funkcias, kaj novaj preskaŭ neniam aperas... Sed mi eliras...
Do, kio estas mielpoto resume - ĝi estas mielpoto, en nia kazo, iu populara haveno sur ekstera IP, ajna peto al ĉi tiu haveno de ekstera kliento sendas la src-adreson al la nigra listo. Ĉiuj.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
La unua regulo pri popularaj TCP-havenoj 22, 3389, 8291 de la ether4-wan ekstera interfaco sendas la "gastan" IP al la listo "Honeypot Hacker" (havenoj por ssh, rdp kaj winbox estas malŝaltitaj anticipe aŭ ŝanĝitaj al aliaj). La dua faras la samon sur la populara UDP 5060.
La tria regulo ĉe la antaŭ-voja stadio faligas pakaĵetojn de "gastoj" kies srs-adreso estas inkluzivita en la "Honeypot Hacker".
Post du semajnoj da laborado kun mia hejma Mikrotik, la listo "Honeypot Hacker" inkludis ĉirkaŭ unu kaj duonon mil IP-adresojn de tiuj, kiuj ŝatas "teni je la madro" miajn retajn rimedojn (hejme estas mia propra telefonio, poŝto, nextcloud, rdp) Brutfortaj atakoj ĉesis, venis feliĉo.
Ĉe la laboro, ne ĉio montriĝis tiel simpla, tie ili daŭre rompas la rdp-servilon per krudfortaj pasvortoj.
Ŝajne, la havenombro estis determinita de la skanilo multe antaŭ ol la mielpoto estis ŝaltita, kaj dum kvaranteno ne estas tiel facile reagordi pli ol 100 uzantojn, el kiuj 20% havas pli ol 65 jarojn. En la kazo, kiam la haveno ne povas esti ŝanĝita, ekzistas malgranda funkcia recepto. Mi vidis ion similan en la Interreto, sed estas iu plia aldono kaj fajna agordo implikita:
Reguloj por agordi Port Knocking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
En 4 minutoj, la fora kliento rajtas fari nur 12 novajn "petojn" al la RDP-servilo. Unu ensalutprovo estas de 1 ĝis 4 "petoj". Je la 12-a "peto" - blokado dum 15 minutoj. En mia kazo, la atakantoj ne ĉesis haki la servilon, ili adaptiĝis al la temporiziloj kaj nun faras tion tre malrapide, tia rapido de elekto reduktas la efikecon de la atako al nulo. La dungitoj de la firmao spertas preskaŭ neniun ĝenon sur la laboro de la mezuroj prenitaj.
Alia malgranda ruzo
Ĉi tiu regulo ŝaltas laŭ horaro je la 5-a kaj malŝaltas je la XNUMX-a, kiam veraj homoj certe dormas, kaj aŭtomatigitaj elektistoj daŭre vekas.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8
Jam en la 8-a konekto, la IP de la atakanto estas nigra listo dum semajno. Beleco!
Nu, krom ĉi-supraj, mi aldonos ligilon al Vikio-artikolo kun funkcianta aranĝo por protekti Mikrotik kontraŭ retaj skaniloj.
En miaj aparatoj, ĉi tiu agordo funkcias kune kun la reguloj pri mielpoto priskribitaj supre, kompletigante ilin bone.
UPD: Kiel sugestite en la komentoj, la pakaĵeta regulo estis movita al RAW por redukti la ŝarĝon sur la enkursigilo.
fonto: www.habr.com