Ba mhaith liom bealach simplí agus oibre a roinnt leis an bpobal maidir le conas Mikrotik a úsáid chun do líonra a chosaint agus na seirbhísí a “speeping out” óna chúl ó ionsaithe seachtracha. Eadhon, níl ach trí rialacha chun pota meala a eagrú ar Mikrotik.
Mar sin, déanaimis a shamhlú go bhfuil oifig bheag againn, agus IP seachtrach taobh thiar de a bhfuil freastalaí RDP chun fostaithe a oibriú go cianda. Is é an chéad riail, ar ndóigh, port 3389 ar an gcomhéadan seachtrach a athrú go ceann eile. Ach ní mhairfidh sé seo i bhfad; tar éis cúpla lá, tosóidh logáil iniúchta an fhreastalaí teirminéil ag taispeáint roinnt údaruithe teipthe in aghaidh an tsoicind ó chliaint anaithnide.
Staid eile, tá réiltín agat i bhfolach taobh thiar de Mikrotik, ar ndóigh ní ar an gcalafort 5060 udp, agus tar éis cúpla lá tosaíonn an cuardach pasfhocail freisin... sea, tá, tá a fhios agam, is é fail2ban gach rud atá againn, ach ní mór dúinn fós obair air... mar shampla, chuir mé isteach é le déanaí ar ubuntu 18.04 agus bhí ionadh orm a fháil amach nach bhfuil socruithe reatha ann do fail2ban as an mbosca le haghaidh réiltín ón mbosca céanna den dáileadh ubuntu céanna... agus socruithe tapa googling ní oibríonn “oidis” réamhdhéanta a thuilleadh, tá líon na n-eisiúintí ag dul i méid thar na blianta, agus ní oibríonn ailt le “oidis” do sheanleaganacha a thuilleadh, agus ní fheictear cinn nua riamh... Ach táim ag imeacht...
Mar sin, cad is pota meala ann go hachomair - is pota meala é, inár gcás, aon phort tóir ar IP seachtrach, cuireann aon iarratas chuig an gcalafort seo ó chliant seachtrach an seoladh src chuig an liosta dubh. Gach.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Cuireann an chéad riail ar chalafoirt tóir TCP 22, 3389, 8291 den chomhéadan seachtrach ether4-wan an IP “aoi” chuig an liosta “Honeypot Hacker” (déantar calafoirt le haghaidh ssh, rdp agus winbox a dhíchumasú roimh ré nó a athrú go cinn eile). Déanann an dara ceann mar an gcéanna ar an UDP 5060 a bhfuil tóir air.
Titeann an tríú riail ag an gcéim réamhródaithe paicéid ó “aíonna” a bhfuil a seoladh srs san áireamh sa “Honeypot Hacker”.
Tar éis dhá sheachtain de bheith ag obair le mo bhaile Mikrotik, bhí thart ar mhíle go leith de sheoltaí IP ar an liosta “Honeypot Hacker” dóibh siúd ar mhaith leo mo chuid acmhainní líonra a “choinneáil ag an úth” (sa bhaile tá mo theileafónaíocht féin, post, nextcloud, rdp) Stop ionsaithe brute-force, tháinig áthas.
Ag an obair, ní raibh gach rud chomh simplí, ach leanann siad ar aghaidh ag briseadh an fhreastalaí rdp le pasfhocail brúidiúla.
De réir dealraimh, chinn an scanóir uimhir an chalafoirt i bhfad sular cuireadh an pota meala ar siúl, agus le linn coraintín níl sé chomh furasta níos mó ná 100 úsáideoir a athchumrú, a bhfuil 20% acu os cionn 65 bliain d'aois. Sa chás nach féidir an port a athrú, tá oideas beag oibre ann. Tá rud éigin cosúil leis feicthe agam ar an Idirlíon, ach tá breisiú breise agus mionchoigeartú i gceist:
Rialacha chun Cnagadh Calafoirt a chumrú
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
I gceann 4 nóiméad, níl cead ag an gcianchliant ach 12 “iarratas” nua a dhéanamh ar an bhfreastalaí RDP. Iarracht logáil isteach amháin is ea ó 1 go 4 “iarratas”. Ag an 12ú “iarratas” - blocáil ar feadh 15 nóiméad. I mo chás, níor chuir na hionsaitheoirí stop leis an bhfreastalaí a hackáil, rinne siad coigeartú ar na hamadóirí agus anois déanann siad é go han-mhall, laghdaíonn luas roghnaithe den sórt sin éifeachtacht an ionsaí go nialas. Is beag aon mhíchaoithiúlacht a bhíonn ag fostaithe na cuideachta mar gheall ar na bearta a glacadh.
Cleas beag eile
Tagann an riail seo ar aghaidh de réir sceidil ag 5 am agus múchtar é ag XNUMX am, nuair is cinnte go mbíonn daoine fíor ina gcodladh, agus go mbíonn roghnóirí uathoibrithe fós ina ndúiseacht.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Cheana féin ar an 8ú nasc, tá IP an ionsaitheora ar an liosta dubh ar feadh seachtaine. Áilleacht!
Bhuel, chomh maith leis an méid thuas, cuirfidh mé nasc chuig alt Vicí le socrú oibre chun Mikrotik a chosaint ó scanóirí líonra.
Ar mo chuid feistí, oibríonn an socrú seo in éineacht leis na rialacha meala a thuairiscítear thuas, agus iad ag comhlánú go maith.
UPD: Mar a mholtar sna tuairimí, aistríodh an riail titim paicéad go RAW chun an t-ualach ar an ródaire a laghdú.
Foinse: will.com