Tahan jagada kogukonnaga lihtsat ja toimivat viisi, kuidas kasutada Mikrotikut oma võrgu ja selle tagant “piiluvate” teenuste kaitsmiseks väliste rünnakute eest. Nimelt kõigest kolm reeglit, kuidas Mikrotikus meepotti korraldada.
Kujutagem ette, et meil on väike kontor välise IP-ga, mille taga on RDP-server töötajate kaugtöö tegemiseks. Esimene reegel on loomulikult välise liidese pordi 3389 muutmine teise vastu. Kuid see ei kesta kaua; paari päeva pärast hakkab terminaliserveri auditilogi näitama mitut ebaõnnestunud autoriseerimist sekundis tundmatutelt klientidelt.
Teine olukord, teil on Mikrotiku taga tärn peidus, muidugi mitte 5060 udp pordil ja paari päeva pärast algab ka parooliotsing... jah, jah, ma tean, fail2ban on meie kõik, aga me peame ikkagi töötan sellega... näiteks installisin selle hiljuti ubuntu versioonile 18.04 ja avastasin üllatusega, et failis fail2ban ei sisalda praeguseid tärni sätteid sama ubuntu distributsiooni samast kastist... ja guugeldades kiirseadeid sest valmis "retseptid" enam ei tööta, väljaannete arv kasvab aastatega ja artiklid " retseptidega" vanade versioonide jaoks enam ei tööta ja uusi ei ilmu peaaegu kunagi... Aga ma kaldun kõrvale...
Niisiis, mis on meepott lühidalt - see on meepott, meie puhul iga populaarne välise IP-porti, iga välise kliendi päring sellele pordile saadab src-aadressi musta nimekirja. Kõik.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Ether22-wan välisliidese populaarsete TCP-portide 3389, 8291, 4 esimene reegel saadab "külalise" IP loendisse "Honeypot Hacker" (ssh, rdp ja winboxi pordid on eelnevalt keelatud või muudetud). Teine teeb sama populaarsel UDP 5060-l.
Kolmas reegel eelmarsruutimise etapis kukutab paketid külalistelt, kelle srs-aadress sisaldub Honeypoti häkkeris.
Pärast kahenädalast tööd oma koduse Mikrotikuga oli “Honeypot Hackeri” nimekirjas umbes poolteist tuhat IP-aadressi, kellele meeldib minu võrguressursse “udarast kinni hoida” (kodus on oma telefonitelefon, post, nextcloud, rdp). Jõhkra jõuga rünnakud peatusid, õndsus saabus.
Tööl ei osutunud kõik nii lihtsaks, seal jätkatakse rdp-serveri lõhkumist jõhkrate paroolide abil.
Ilmselt määras pordi number skanneriga juba ammu enne meepoti sisselülitamist ja karantiini ajal pole enam nii lihtne üle 100 kasutaja ümber seadistada, kellest 20% on üle 65 aasta vanad. Juhul, kui portsu muuta ei saa, on väike tööretsept. Olen näinud Internetis midagi sarnast, kuid sellega on seotud mõned täiendavad lisad ja peenhäälestused:
Port Knockingu konfigureerimise reeglid
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
4 minuti jooksul on kaugkliendil lubatud teha RDP serverile ainult 12 uut “päringut”. Üks sisselogimiskatse on 1 kuni 4 "päringut". 12. "päringu" korral - blokeerimine 15 minutiks. Minu puhul ei lõpetanud ründajad serveri häkkimist, nad kohanesid taimeritega ja teevad seda nüüd väga aeglaselt, selline valiku kiirus vähendab rünnaku efektiivsust nullini. Ettevõtte töötajad ei koge rakendatud meetmetest tööl praktiliselt mingeid ebamugavusi.
Veel üks väike trikk
See reegel lülitub ajakava järgi sisse kell 5 öösel ja välja lülitub kell XNUMX öösel, kui päris inimesed kindlasti magavad ja automatiseeritud korjajad on jätkuvalt ärkvel.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Juba 8. ühenduse korral on ründaja IP nädalaks mustas nimekirjas. Ilu!
Noh, lisaks ülaltoodule lisan lingi Wiki artiklile, kus on toimiv seadistus Mikrotiku kaitsmiseks võrguskannerite eest.
Minu seadmetes töötab see säte koos ülalkirjeldatud meepoti reeglitega, täiendades neid hästi.
UPD: nagu kommentaarides soovitati, on pakettide langetamise reegel viidud RAW-vormingusse, et vähendada ruuteri koormust.
Allikas: www.habr.com