Komunitatearekin partekatu nahi dut Mikrotik erabiltzeko modu erraz eta funtzionala zure sarea eta atzetik kanpoko erasoetatik babesteko zerbitzuak. Hots, hiru arau besterik ez Mikrotik-en honeypot bat antolatzeko.
Beraz, pentsa dezagun bulego txiki bat dugula, kanpoko IP batekin, eta horren atzean RDP zerbitzari bat dago langileek urrunetik lan egiteko. Lehen araua, noski, kanpoko interfazeko 3389 ataka beste batera aldatzea da. Baina honek ez du asko iraungo; egun pare bat igaro ondoren, terminal zerbitzariaren auditoretza-erregistroa bezero ezezagunen segundoko huts egin duten hainbat baimen erakusten hasiko da.
Beste egoera bat, izartxoa daukazu Mikrotik atzean ezkutatuta, noski ez 5060 udp atakan, eta egun pare baten buruan pasahitzaren bilaketa ere hasten da... bai, bai, badakit, fail2ban da gure dena, baina oraindik egin behar dugu. lan egin... adibidez, duela gutxi instalatu nuen ubuntu 18.04-n eta harrituta geratu nintzen fail2ban-ek kutxatik kanpo ez duela ubuntu banaketa bereko koadro bereko izartxoaren ezarpenak dauzkala... eta ezarpen azkarrak googling. prest egindako "errezetak" jada ez du funtzionatzen, kaleratzeen kopuruak hazten ari dira urteen poderioz, eta bertsio zaharrentzako "errezetak" dituzten artikuluek ez dute funtzionatzen, eta berriak ez dira ia inoiz agertzen... Baina alde egiten dut...
Beraz, zer den honeypot bat laburbilduz - honeypot bat da, gure kasuan, kanpoko IP bateko edozein ataka ezagunek, kanpoko bezero baten ataka honetarako edozein eskaerak src helbidea zerrenda beltzera bidaltzen du. Denak.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Ether22-wan kanpoko interfazearen 3389, 8291, 4 TCP portu ezagunen lehen arauak "gonbidatu" IP "Honeypot Hacker" zerrendara bidaltzen du (ssh, rdp eta winbox-en atakak aldez aurretik desgaituta daude edo beste batzuetara aldatzen dira). Bigarrenak gauza bera egiten du UDP 5060 ezagunean.
Bideratze aurreko faseko hirugarren arauak "Honeypot Hacker"-en srs helbidea duten "gonbidatuen" paketeak kentzen ditu.
Bi aste nire etxeko Mikrotik-ekin lan egin ondoren, "Honeypot Hacker" zerrendan nire sareko baliabideak "erpitik eustea" gustatzen zaienen mila eta erdi IP helbide biltzen zituen (etxean nire telefonoa, posta, nextcloud, rdp).Indar gordinaren erasoak gelditu ziren, zoriona etorri zen.
Lanean, dena ez zen hain sinplea izan, hor jarraitzen dute rdp zerbitzaria apurtzen pasahitzak bortxatuz.
Antza denez, eskanerrak zehazten zuen portuaren zenbakia honeypot piztu baino askoz lehenago, eta berrogeialdian ez da hain erraza 100 erabiltzaile baino gehiago birkonfiguratzea, horietatik %20ak 65 urtetik gorakoak. Portua aldatu ezin denean, lan errezeta txiki bat dago. Interneten antzeko zerbait ikusi dut, baina gehigarri eta doikuntza zehatz batzuk daude tartean:
Port-Knocking-a konfiguratzeko arauak
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
4 minututan, urruneko bezeroak RDP zerbitzariari 12 "eskaera" berri bakarrik egiteko baimena du. Saioa hasteko saiakera bat 1etik 4ra arteko "eskaera" da. 12. "eskaeran" - blokeatzea 15 minutuz. Nire kasuan, erasotzaileek ez zuten zerbitzaria pirateatzeari utzi, tenporizadoreetara egokitu ziren eta orain oso poliki egiten dute, aukeraketa abiadura horrek erasoaren eraginkortasuna zerora murrizten du. Enpresako langileek ez dute ia eragozpenik izaten hartutako neurriek lanean.
Beste trikimailu txiki bat
Arau hau ordutegi baten arabera aktibatzen da 5:XNUMXetan eta itzaltzen da XNUMX:XNUMXetan, benetako jendea behin betiko lotan dagoenean eta hautatzaile automatizatuek esna jarraitzen dutenean.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Dagoeneko 8. konexioan, erasotzailearen IPa astebetez dago zerrenda beltzean. Edertasuna!
Beno, aurrekoaz gain, Mikrotik sareko eskanerretatik babesteko konfigurazio funtzionala duen Wiki artikulu baterako esteka bat gehituko dut.
Nire gailuetan, ezarpen honek goian deskribatutako honeypot arauekin batera funtzionatzen du, ondo osatuz.
UPD: Iruzkinetan iradokitzen den moduan, paketeak erortzeko araua RAWra eraman da bideratzailearen karga murrizteko.
Iturria: www.habr.com