Quero compartir coa comunidade un xeito sinxelo e práctico de como usar Mikrotik para protexer a túa rede e os servizos que se asomaron por detrás de ataques externos. É dicir, só tres regras para organizar un honeypot en Mikrotik.
Entón, imaxinemos que temos unha pequena oficina, cunha IP externa detrás da cal hai un servidor RDP para que os empregados traballen de forma remota. A primeira regra é, por suposto, cambiar o porto 3389 da interface externa por outro. Pero isto non durará moito; despois dun par de días, o rexistro de auditoría do servidor de terminal comezará a mostrar varias autorizacións fallidas por segundo de clientes descoñecidos.
Outra situación, tes un asterisco escondido detrás de Mikrotik, claro que non no porto 5060 udp, e despois dun par de días tamén comeza a busca de contrasinal... si, si, sei, fail2ban é o noso todo, pero aínda temos que facelo. traballa nel... por exemplo, instalei recentemente en ubuntu 18.04 e quedei sorprendido ao descubrir que fail2ban non contén a configuración actual para asterisco da mesma caixa da mesma distribución de ubuntu... e a configuración rápida de Google. para as "receitas" xa non funcionan, o número de lanzamentos vai crecendo co paso dos anos e os artigos con "receitas" para versións antigas xa non funcionan e case nunca aparecen outras novas... Pero divago...
Entón, o que é un honeypot en poucas palabras: é un honeypot, no noso caso, calquera porto popular nunha IP externa, calquera solicitude a este porto desde un cliente externo envía o enderezo src á lista negra. Todos.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
A primeira regra dos portos TCP populares 22, 3389, 8291 da interface externa ether4-wan envía a IP "invitado" á lista "Honeypot Hacker" (os portos para ssh, rdp e winbox están desactivados de antemán ou cámbianse a outros). O segundo fai o mesmo no popular UDP 5060.
A terceira regra na fase previa ao enrutamento elimina os paquetes dos "invitados" cuxo enderezo srs está incluído no "Hacker Honeypot".
Despois de dúas semanas traballando coa miña casa Mikrotik, a lista de "Honeypot Hacker" incluía preto de mil e medio de enderezos IP dos que lles gusta "coller polo ubre" os meus recursos da rede (na casa hai a miña propia telefonía, correo, nextcloud, rdp). Os ataques de forza bruta detivéronse, chegou a felicidade.
No traballo, non todo resultou tan sinxelo, alí seguen rompendo o servidor rdp coa forza bruta de contrasinais.
Ao parecer, o escáner determinou o número de porto moito antes de que se acendese o honeypot, e durante a corentena non é tan fácil reconfigurar máis de 100 usuarios, dos cales o 20% son maiores de 65 anos. No caso de que non se poida cambiar o porto, hai unha pequena receita de traballo. Vin algo semellante en Internet, pero hai algunha adición adicional e axustes precisos:
Regras para configurar Port Knocking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
En 4 minutos, o cliente remoto pode facer só 12 novas "solicitudes" ao servidor RDP. Un intento de inicio de sesión é de 1 a 4 "solicitudes". Na 12ª "solicitude": bloqueo durante 15 minutos. No meu caso, os atacantes non deixaron de piratear o servidor, axustáronse aos temporizadores e agora fano moi lentamente, tal velocidade de selección reduce a efectividade do ataque a cero. Os empregados da empresa practicamente non experimentan molestias no traballo polas medidas adoptadas.
Outro pequeno truco
Esta regra actívase segundo un horario á 5 a.m. e desactívase ás XNUMX a.m., cando as persoas reais están definitivamente durmidas e os recolectores automáticos seguen espertos.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Xa na 8ª conexión, a IP do atacante está na lista negra durante unha semana. Beleza!
Ben, ademais do anterior, engadirei unha ligazón a un artigo da Wiki cunha configuración de traballo para protexer Mikrotik dos escáneres de rede.
Nos meus dispositivos, esta configuración funciona xunto coas regras de honeypot descritas anteriormente, complementándoas ben.
UPD: como se suxire nos comentarios, a regra de caída de paquetes moveuse a RAW para reducir a carga do enrutador.
Fonte: www.habr.com