من میخواهم روشی ساده و کاربردی در مورد نحوه استفاده از Mikrotik برای محافظت از شبکه خود و سرویسهایی که از پشت آن در برابر حملات خارجی "بیرون میآیند" را با جامعه به اشتراک بگذارم. یعنی فقط سه قانون برای سازماندهی هانی پات در میکروتیک.
بنابراین، بیایید تصور کنیم که یک دفتر کوچک داریم، با یک IP خارجی که پشت آن یک سرور RDP برای کار از راه دور کارمندان وجود دارد. البته اولین قانون این است که پورت 3389 را در رابط خارجی به پورت دیگری تغییر دهید. اما این مدت زیادی دوام نخواهد آورد؛ پس از چند روز، گزارش حسابرسی سرور ترمینال شروع به نشان دادن چندین مجوز ناموفق در هر ثانیه از مشتریان ناشناس خواهد کرد.
یه حالت دیگه ستاره پشت میکروتیک پنهان شده البته نه روی پورت 5060 udp و بعد از یکی دو روز جستجوی پسورد هم شروع میشه...بله بله میدونم fail2ban همه چیز ماست ولی باز هم باید روی آن کار کنید... به عنوان مثال، من اخیراً آن را روی اوبونتو 18.04 نصب کردم و با تعجب متوجه شدم که fail2ban دارای تنظیمات فعلی برای ستاره از همان جعبه همان توزیع اوبونتو نیست... و تنظیمات سریع گوگل را جستجو کنید. برای "دستور پخت" های آماده دیگر کار نمی کند، تعداد نسخه ها در طول سال ها در حال افزایش است، و مقاله هایی با "دستور پخت" برای نسخه های قدیمی دیگر کار نمی کنند، و موارد جدید تقریبا هرگز ظاهر نمی شوند... اما من پرت می شوم...
بنابراین، به طور خلاصه Honeypot چیست - این یک هانی پات است، در مورد ما، هر پورت محبوب در یک IP خارجی، هر درخواستی به این پورت از یک مشتری خارجی، آدرس src را به لیست سیاه ارسال می کند. همه.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
اولین قانون در مورد پورت های محبوب TCP 22، 3389، 8291 رابط خارجی ether4-wan، IP "مهمان" را به لیست "Honeypot Hacker" ارسال می کند (پورت های ssh، rdp و winbox از قبل غیرفعال شده یا به سایرین تغییر می کنند). مورد دوم همین کار را در UDP 5060 محبوب انجام می دهد.
قانون سوم در مرحله قبل از مسیریابی، بستهها را از «مهمانهایی» که آدرس srs آنها در «هکر Honeypot» گنجانده شده است، حذف میکند.
پس از دو هفته کار با میکروتیک خانگی من، لیست "Honeypot Hacker" شامل حدود یک و نیم هزار آدرس IP از کسانی است که دوست دارند منابع شبکه من را "در پستان نگه دارند" (در خانه تلفن، پست الکترونیکی من وجود دارد، nextcloud، rdp). حملات Brute-force متوقف شد، سعادت آمد.
در محل کار، همه چیز به این سادگی نبود، در آنجا آنها همچنان با گذرواژه های بی رحمانه به شکستن سرور rdp ادامه می دهند.
ظاهراً شماره پورت مدتها قبل از روشن شدن هانی پات توسط اسکنر تعیین شده است و در طول قرنطینه پیکربندی مجدد بیش از 100 کاربر که 20 درصد آنها بالای 65 سال هستند چندان آسان نیست. در مواردی که پورت را نمی توان تغییر داد، دستور العمل کوچکی وجود دارد. من چیزی مشابه را در اینترنت دیدهام، اما برخی افزودنهای اضافی و تنظیم دقیق وجود دارد:
قوانین پیکربندی Port Knocking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
در 4 دقیقه، مشتری راه دور مجاز است تنها 12 "درخواست" جدید به سرور RDP ارسال کند. یک تلاش برای ورود از 1 تا 4 "درخواست" است. در دوازدهمین "درخواست" - مسدود کردن به مدت 12 دقیقه. در مورد من، مهاجمان هک سرور را متوقف نکردند، آنها را با تایمرها تنظیم کردند و اکنون این کار را بسیار آهسته انجام می دهند، چنین سرعت انتخابی اثربخشی حمله را به صفر می رساند. کارمندان این شرکت عملاً از اقدامات انجام شده هیچ ناراحتی در محل کار را تجربه نمی کنند.
یک ترفند کوچک دیگر
این قانون طبق برنامه ساعت 5 بامداد روشن می شود و در ساعت XNUMX صبح خاموش می شود، زمانی که افراد واقعی قطعاً در خواب هستند و جمع کننده های خودکار همچنان بیدار هستند.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8
در حال حاضر در اتصال هشتم، IP مهاجم برای یک هفته در لیست سیاه قرار می گیرد. زیبایی!
خوب، علاوه بر موارد فوق، من پیوندی به یک مقاله ویکی با تنظیماتی برای محافظت از Mikrotik در برابر اسکنرهای شبکه اضافه خواهم کرد.
در دستگاههای من، این تنظیم با قوانین Honeypot که در بالا توضیح داده شد کار میکند و به خوبی آنها را تکمیل میکند.
UPD: همانطور که در نظرات پیشنهاد شده است، قانون رها کردن بسته به RAW منتقل شده است تا بار روی روتر کاهش یابد.
منبع: www.habr.com