🥇Lihtne viis oma Mikrotiku rünnakute eest kaitsmiseks

Soovin kogukonnaga jagada lihtsat ja tõhusat viisi, kuidas Mikrotiku abil oma võrku ja selle pakutavaid teenuseid väliste rünnakute eest kaitsta. Täpsemalt, vaid kolme reegli abil saate Mikrotikul meepoti üles seada.

Kujutame ette väikest kontorit välise IP-aadressiga, mille taha on installitud kaugtööks RDP-server. Esimene reegel on muidugi välise liidese pordi 3389 vahetamine teise vastu. Kuid see ei kesta kaua; paari päeva pärast hakkab terminaliserveri auditilogi näitama mitu ebaõnnestunud autoriseerimist sekundis tundmatutelt klientidelt.

Teine olukord on see, et sul on Mikrotiku taha peidetud Asterisk, loomulikult mitte 5060 UDP pordil, ja paari päeva pärast algab ka paroolide murdmine... jah, jah, ma tean, fail2ban on meie kõik, aga me peame selle kallal veel töötama... näiteks ma hiljuti seadistasin selle... ubuntu 18.04 ja avastas üllatusega, et fail2ban ei sisalda koheselt sama paketi tärni praeguseid sätteid. ubuntu levitamine... ja valmis "retseptide" kiirseadete guugeldamine enam ei tööta, versioonide numbrid kasvavad aastatega ja artiklid vanemate versioonide "retseptidega" enam ei tööta ning uusi peaaegu kunagi ei ilmu... Aga ma olen hajameelne olnud...

Mis on siis lühidalt meepott? See on peibutis, meie puhul populaarne port välisel IP-aadressil. Iga välise kliendi päring sellele pordile saadab lähteaadressi musta nimekirja. See on kõik.

/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker" 
    address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox" 
    connection-state=new dst-port=22,3389,8291 in-interface=
    ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker" 
    address-list-timeout=30d0h0m chain=input comment=
    "block honeypot asterisk" connection-state=new dst-port=5060 
    in-interface=ether4-wan protocol=udp 
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
    "Honeypot Hacker"

Esimene reegel populaarsetel TCP portidel 22, 3389 ja 8291 ether4-wan välise liidese peal saadab "külalis" IP-aadressi "Honeypot Hacker" nimekirja (ssh, rdp ja winboxi pordid on eelnevalt keelatud või muudetud teisteks portideks). Teine teeb sama populaarsel UDP pordil 5060.

Kolmas reegel eelmarsruutimise etapis jätab ära "külaliste" paketid, kelle srs-aadress leiti "Honeypot Hackerist".

Pärast kahenädalast koduse Mikrotiku kasutamist oli "Honeypot Hackeri" nimekirjas umbes poolteist tuhat IP-aadressi neilt, kellele meeldib mu võrguressursse "udarast haarata" (mul on kodus oma telefonisüsteem, post, nextcloud ja RDP). Jõurünnakud peatusid ja õndsus saabus.

Tööl asjad nii lihtsad ei olnud; nad jätkasid RDP-serveri häkkimist parooli äraarvamise abil.

Ilmselt tuvastas skanner pordi numbri juba ammu enne meepoti aktiveerimist ja karantiini ajal pole lihtne ümber konfigureerida enam kui 100 kasutajat, kellest 20% on üle 65-aastased. Kui porti ei saa muuta, on olemas lihtne lahendus. Olen näinud midagi sarnast internetis, kuid see hõlmab mõningaid täiendavaid lahendusi ja peenhäälestust:

Port Knockingi seadistamise reeglid

 /ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist 
    address-list-timeout=15m chain=forward comment=rdp_to_blacklist 
    connection-state=new dst-port=3389 protocol=tcp src-address-list=
    rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5 
    address-list-timeout=4m chain=forward connection-state=new dst-port=
    3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4 
    address-list-timeout=4m chain=forward connection-state=new dst-port=
    3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp 
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist

4 minuti jooksul on kaugkliendil lubatud teha RDP-le ainult 12 uut "päringut". serverÜks sisselogimiskatse hõlmab 1 kuni 4 „päringut“. 12. „päringul“ toimub 15-minutiline lukustus. Minu puhul jätkasid ründajad serveri häkkimist; nad kohanesid taimeritega ja teevad seda nüüd väga aeglaselt. See toore jõu kiirus vähendab rünnaku efektiivsust nullini. Ettevõtte töötajad ei ole nende meetmete tõttu oma töös praktiliselt mingeid häireid kogenud.

Veel üks väike nipp
See reegel on ajastatud sisse lülituma kell 1 öösel ja välja lülituma kell 5 hommikul, kui päris inimesed kindlasti magavad, kuid automaatsed valijad jäävad ärkvele.

/ip firewall filter 
add action=add-src-to-address-list address-list=rdp_blacklist 
    address-list-timeout=1w0d0h0m chain=forward comment=
    "night_rdp_blacklist" connection-state=new disabled=
    yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8

Juba kaheksanda ühenduse järel on ründaja IP-aadress nädalaks musta nimekirjas. Ilus!

Ja lisaks eelnevale lisan lingi Vikipeedia artiklile, kus on toimiv seadistus Mikrotiku võrguskannerite vastase kaitse kohta. wiki.mikrotik.com/wiki/Drop_port_scanners

Minu seadmetes töötab see säte koos eespool kirjeldatud meepoti reeglitega, täiendades neid üsna hästi.

UUENDUS: Nagu kommentaarides soovitatud, on pakettide ärajätmise reegel ruuteri koormuse vähendamiseks viidud RAW-vormingusse.

Allikas: www.habr.com

Lihtne viis oma Mikrotiku kaitsmiseks rünnakute eest