ProHoster > وبلاگ > اداره > یک راه آسان برای محافظت از Mikrotik خود در برابر حملات

یک راه آسان برای محافظت از Mikrotik خود در برابر حملات

من می‌خواهم روشی ساده و کاربردی در مورد نحوه استفاده از Mikrotik برای محافظت از شبکه خود و سرویس‌هایی که از پشت آن در برابر حملات خارجی "بیرون می‌آیند" را با جامعه به اشتراک بگذارم. یعنی فقط سه قانون برای سازماندهی هانی پات در میکروتیک.

بنابراین، بیایید تصور کنیم که یک دفتر کوچک داریم، با یک IP خارجی که پشت آن یک سرور RDP برای کار از راه دور کارمندان وجود دارد. البته اولین قانون این است که پورت 3389 را در رابط خارجی به پورت دیگری تغییر دهید. اما این مدت زیادی دوام نخواهد آورد؛ پس از چند روز، گزارش حسابرسی سرور ترمینال شروع به نشان دادن چندین مجوز ناموفق در هر ثانیه از مشتریان ناشناس خواهد کرد.

یه حالت دیگه ستاره پشت میکروتیک پنهان شده البته نه روی پورت 5060 udp و بعد از یکی دو روز جستجوی پسورد هم شروع میشه...بله بله میدونم fail2ban همه چیز ماست ولی باز هم باید روی آن کار کنید... به عنوان مثال، من اخیراً آن را روی اوبونتو 18.04 نصب کردم و با تعجب متوجه شدم که fail2ban دارای تنظیمات فعلی برای ستاره از همان جعبه همان توزیع اوبونتو نیست... و تنظیمات سریع گوگل را جستجو کنید. برای "دستور پخت" های آماده دیگر کار نمی کند، تعداد نسخه ها در طول سال ها در حال افزایش است، و مقاله هایی با "دستور پخت" برای نسخه های قدیمی دیگر کار نمی کنند، و موارد جدید تقریبا هرگز ظاهر نمی شوند... اما من پرت می شوم...

بنابراین، به طور خلاصه Honeypot چیست - این یک هانی پات است، در مورد ما، هر پورت محبوب در یک IP خارجی، هر درخواستی به این پورت از یک مشتری خارجی، آدرس src را به لیست سیاه ارسال می کند. همه.

/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker" 
    address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox" 
    connection-state=new dst-port=22,3389,8291 in-interface=
    ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker" 
    address-list-timeout=30d0h0m chain=input comment=
    "block honeypot asterisk" connection-state=new dst-port=5060 
    in-interface=ether4-wan protocol=udp 
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
    "Honeypot Hacker"

اولین قانون در مورد پورت های محبوب TCP 22، 3389، 8291 رابط خارجی ether4-wan، IP "مهمان" را به لیست "Honeypot Hacker" ارسال می کند (پورت های ssh، rdp و winbox از قبل غیرفعال شده یا به سایرین تغییر می کنند). مورد دوم همین کار را در UDP 5060 محبوب انجام می دهد.

قانون سوم در مرحله قبل از مسیریابی، بسته‌ها را از «مهمان‌هایی» که آدرس srs آنها در «هکر Honeypot» گنجانده شده است، حذف می‌کند.

پس از دو هفته کار با میکروتیک خانگی من، لیست "Honeypot Hacker" شامل حدود یک و نیم هزار آدرس IP از کسانی است که دوست دارند منابع شبکه من را "در پستان نگه دارند" (در خانه تلفن، پست الکترونیکی من وجود دارد، nextcloud، rdp). حملات Brute-force متوقف شد، سعادت آمد.

در محل کار، همه چیز به این سادگی نبود، در آنجا آنها همچنان با گذرواژه های بی رحمانه به شکستن سرور rdp ادامه می دهند.

ظاهراً شماره پورت مدتها قبل از روشن شدن هانی پات توسط اسکنر تعیین شده است و در طول قرنطینه پیکربندی مجدد بیش از 100 کاربر که 20 درصد آنها بالای 65 سال هستند چندان آسان نیست. در مواردی که پورت را نمی توان تغییر داد، دستور العمل کوچکی وجود دارد. من چیزی مشابه را در اینترنت دیده‌ام، اما برخی افزودن‌های اضافی و تنظیم دقیق وجود دارد:

قوانین پیکربندی Port Knocking

 /ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist 
    address-list-timeout=15m chain=forward comment=rdp_to_blacklist 
    connection-state=new dst-port=3389 protocol=tcp src-address-list=
    rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5 
    address-list-timeout=4m chain=forward connection-state=new dst-port=
    3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4 
    address-list-timeout=4m chain=forward connection-state=new dst-port=
    3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp 
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist

در 4 دقیقه، مشتری راه دور مجاز است تنها 12 "درخواست" جدید به سرور RDP ارسال کند. یک تلاش برای ورود از 1 تا 4 "درخواست" است. در دوازدهمین "درخواست" - مسدود کردن به مدت 12 دقیقه. در مورد من، مهاجمان هک سرور را متوقف نکردند، آنها را با تایمرها تنظیم کردند و اکنون این کار را بسیار آهسته انجام می دهند، چنین سرعت انتخابی اثربخشی حمله را به صفر می رساند. کارمندان این شرکت عملاً از اقدامات انجام شده هیچ ناراحتی در محل کار را تجربه نمی کنند.

یک ترفند کوچک دیگر
این قانون طبق برنامه ساعت 5 بامداد روشن می شود و در ساعت XNUMX صبح خاموش می شود، زمانی که افراد واقعی قطعاً در خواب هستند و جمع کننده های خودکار همچنان بیدار هستند.

/ip firewall filter 
add action=add-src-to-address-list address-list=rdp_blacklist 
    address-list-timeout=1w0d0h0m chain=forward comment=
    "night_rdp_blacklist" connection-state=new disabled=
    yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8

در حال حاضر در اتصال هشتم، IP مهاجم برای یک هفته در لیست سیاه قرار می گیرد. زیبایی!

خوب، علاوه بر موارد فوق، من پیوندی به یک مقاله ویکی با تنظیماتی برای محافظت از Mikrotik در برابر اسکنرهای شبکه اضافه خواهم کرد. wiki.mikrotik.com/wiki/Drop_port_scanners

در دستگاه‌های من، این تنظیم با قوانین Honeypot که در بالا توضیح داده شد کار می‌کند و به خوبی آنها را تکمیل می‌کند.

UPD: همانطور که در نظرات پیشنهاد شده است، قانون رها کردن بسته به RAW منتقل شده است تا بار روی روتر کاهش یابد.

منبع: www.habr.com

اضافه کردن نظر