Haluan jakaa yhteisön kanssa yksinkertaisen ja toimivan tavan Mikrotikin avulla suojata verkkoasi ja sen takaa "ulospiskuttavia" palveluita ulkoisilta hyökkäyksiltä. Nimittäin vain kolme sääntöä hunajapotin järjestämiseen Mikrotikissa.
Kuvitellaan siis, että meillä on pieni toimisto ulkoisella IP-osoitteella, jonka takana on RDP-palvelin työntekijöiden etätyöskentelyä varten. Ensimmäinen sääntö on tietysti vaihtaa ulkoisen liitännän portti 3389 toiseen. Mutta tämä ei kestä kauan; muutaman päivän kuluttua päätepalvelimen tarkastusloki alkaa näyttää useita epäonnistuneita valtuutuksia sekunnissa tuntemattomilta asiakkailta.
Toinen tilanne, sinulla on tähti piilossa Mikrotikin takana, ei tietenkään 5060 udp-portissa, ja parin päivän kuluttua alkaa myös salasanahaku... kyllä, kyllä, tiedän, fail2ban on kaikki kaikessamme, mutta silti meidän täytyy työskennellä sen parissa... esimerkiksi asensin sen äskettäin ubuntuun 18.04 ja olin yllättynyt huomatessani, että valmiina fail2ban ei sisällä nykyisiä asetuksia tähdelle samasta ubuntu-jakelun samasta laatikosta... ja googlaa pika-asetuksia sillä valmiit "reseptit" eivät enää toimi, julkaisujen määrät kasvavat vuosien varrella, eivätkä artikkelit, joissa on "reseptejä" vanhoille versioille, eivät enää toimi, eikä uusia ilmesty melkein koskaan... Mutta poikkean...
Joten mikä on hunajapotti pähkinänkuoressa - se on hunajapotti, meidän tapauksessamme mikä tahansa suosittu portti ulkoisessa IP-osoitteessa, kaikki ulkoisen asiakkaan tähän porttiin tekemät pyynnöt lähettää src-osoitteen mustalle listalle. Kaikki.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Ensimmäinen ether22-wan-ulkoisen liitännän suosittujen TCP-porttien 3389, 8291, 4 sääntö lähettää "vieras"-IP:n "Honeypot Hacker" -luetteloon (ssh-, rdp- ja winbox-portit poistetaan käytöstä etukäteen tai vaihdetaan muihin). Toinen tekee saman suositussa UDP 5060:ssa.
Kolmas sääntö esireititysvaiheessa pudottaa paketit "vierailta", joiden srs-osoite sisältyy "Honeypot Hacker" -sovellukseen.
Kahden viikon työskentelyn jälkeen kotimikrotikin kanssa "Honeypot Hacker" -listalla oli noin puolitoista tuhatta IP-osoitetta niiltä, jotka haluavat "pidellä utareista" verkkoresurssejani (kotona on oma puhelin, posti, nextcloud, rdp). Raakavoimaiset hyökkäykset pysähtyivät, autuus tuli.
Työssä kaikki ei osoittautunut niin yksinkertaiseksi, siellä he jatkavat rdp-palvelimen rikkomista raa'alla pakottamalla salasanoja.
Ilmeisesti skanneri määritti portin numeron jo kauan ennen hunajapotin käynnistämistä, eikä karanteenin aikana ole niin helppoa konfiguroida uudelleen yli 100 käyttäjää, joista 20 % on yli 65-vuotiaita. Siinä tapauksessa, että porttia ei voi muuttaa, on olemassa pieni toimiva resepti. Olen nähnyt jotain vastaavaa Internetissä, mutta siihen liittyy joitain lisäyksiä ja hienosäätöjä:
Säännöt Port Knockingin määrittämiseksi
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
Neljässä minuutissa etäasiakas voi tehdä vain 4 uutta "pyyntöä" RDP-palvelimelle. Yksi kirjautumisyritys on 12-1 "pyyntöä". 4. "pyynnössä" - esto 12 minuutiksi. Minun tapauksessani hyökkääjät eivät lopettaneet palvelimen hakkerointia, he sopeutuivat ajastimiin ja tekevät sen nyt hyvin hitaasti, tällainen valintanopeus laskee hyökkäyksen tehokkuuden nollaan. Yrityksen työntekijät eivät koe toteutetuista toimenpiteistä käytännössä mitään haittaa työssään.
Toinen pieni temppu
Tämä sääntö käynnistyy aikataulun mukaan klo 5 ja sammuu klo XNUMX, kun todelliset ihmiset ovat varmasti unessa ja automaattiset poimijat ovat edelleen hereillä.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Jo 8. yhteyden yhteydessä hyökkääjän IP-osoite on mustalla listalla viikoksi. Kauneus!
No, yllä olevan lisäksi lisään linkin Wiki-artikkeliin, jossa on toimiva kokoonpano Mikrotikin suojaamiseksi verkkoskannereilta.
Laitteillani tämä asetus toimii yhdessä yllä kuvattujen honeypot-sääntöjen kanssa ja täydentää niitä hyvin.
UPD: Kuten kommenteissa ehdotettiin, pakettien pudotussääntö on siirretty RAW-muotoon reitittimen kuormituksen vähentämiseksi.
Lähde: will.com