Ik wol in ienfâldige en wurkjende manier mei de mienskip diele oer hoe't jo Mikrotik brûke kinne om jo netwurk en de tsjinsten dy't der efter "peeping" út te beskermjen tsjin eksterne oanfallen te beskermjen. Nammentlik mar trije regels om in huningpot op Mikrotik te organisearjen.
Dat, lit ús yntinke dat wy in lyts kantoar hawwe, mei in eksterne IP wêrefter d'r in RDP-tsjinner is foar meiwurkers om op ôfstân te wurkjen. De earste regel is fansels om haven 3389 op 'e eksterne ynterface te feroarjen nei in oare. Mar dit sil net lang duorje; nei in pear dagen sil it terminalserverkontrôlelog begjinne ferskate mislearre autorisaasjes per sekonde te sjen fan ûnbekende kliïnten.
In oare situaasje, jo hawwe asterisk ferburgen efter Mikrotik, fansels net op 'e 5060 udp-poarte, en nei in pear dagen begjint it sykjen nei wachtwurd ek ... ja, ja, ik wit it, fail2ban is ús alles, mar wy moatte noch altyd wurkje der oan ... bygelyks, ik haw it koartlyn ynstalleare op ubuntu 18.04 en wie ferrast om te ûntdekken dat fail2ban gjin aktuele ynstellings foar asterisk befettet fan deselde doaze fan deselde ubuntu-distribúsje ... foar klearmakke "resepten" wurket net mear, de nûmers foar útjeften groeie yn 'e rin fan' e jierren, en artikels mei "resepten" foar âlde ferzjes wurkje net mear, en nije ferskine hast noait ... Mar ik dwaal ôf ...
Dus, wat is in huningpot yn in notedop - it is in honeypot, yn ús gefal, elke populêre poarte op in eksterne IP, elk fersyk nei dizze poarte fan in eksterne kliïnt stjoert it src-adres nei de swarte list. Alle.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
De earste regel op populêre TCP havens 22, 3389, 8291 fan de ether4-wan eksterne ynterface stjoert de "gast" IP nei de "Honeypot Hacker" list (poarten foar ssh, rdp en winbox binne útskeakele foarôf of feroare nei oaren). De twadde docht itselde op 'e populêre UDP 5060.
De tredde regel yn 'e pre-routing-poadium falt pakketten fan "gasten" waans srs-adres is opnommen yn 'e "Honeypot Hacker".
Nei twa wiken fan wurkjen mei myn thús Mikrotik, befette de list "Honeypot Hacker" sa'n oardeltûzen IP-adressen fan dyjingen dy't myn netwurkboarnen graach "hâlde by de uier" (thús is d'r myn eigen tillefoan, post, nextcloud, rdp). Brute-force oanfallen stoppe, blidens kaam.
Op it wurk blykte net alles sa ienfâldich te wêzen, dêr bliuwe se de rdp-tsjinner brekke troch brute-forcing wachtwurden.
Blykber waard it poartenûmer bepaald troch de scanner lang foardat de honeypot waard ynskeakele, en tidens karantine is it net sa maklik om mear as 100 brûkers te konfigurearjen, wêrfan 20% mear as 65 jier âld binne. Yn it gefal as de haven net feroare wurde kin, is d'r in lyts wurkrezept. Ik haw wat ferlykber sjoen op it ynternet, mar d'r is wat ekstra tafoeging en fine tuning belutsen:
Regels foar it konfigurearjen fan Port Knocking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
Yn 4 minuten kin de client op ôfstân allinich 12 nije "oanfragen" oan 'e RDP-tsjinner meitsje. Ien oanmeldpoging is fan 1 oant 4 "fersiken". Op de 12e "fersyk" - blokkearje foar 15 minuten. Yn myn gefal, de oanfallers net ophâlde hacking de tsjinner, se oanpast oan de timers en no dogge it hiel stadich, sa'n snelheid fan seleksje ferleget de effektiviteit fan de oanfal oan nul. Meiwurkers fan it bedriuw ûnderfine suver gjin oerlêst op it wurk fan de nommen maatregels.
In oare lytse trúk
Dizze regel wurdt neffens in skema om 5 oere ynskeakele en om XNUMX oere ôf, as echte minsken definityf sliepe, en automatyske pickers bliuwe wekker.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Al op 'e 8e ferbining is de IP fan' e oanfaller in wike op 'e swarte list. Skientme!
No, neist it boppesteande, sil ik in keppeling tafoegje oan in Wiki-artikel mei in wurkjende opset foar it beskermjen fan Mikrotik tsjin netwurkscanners.
Op myn apparaten wurket dizze ynstelling gear mei de hjirboppe beskreaune honeypot-regels, en komplementearje se goed.
UPD: Lykas suggerearre yn 'e opmerkings, is de pakket drop-regel ferpleatst nei RAW om de lading op' e router te ferminderjen.
Boarne: www.habr.com