🥇તમારા મિક્રોટિકને હુમલાઓથી બચાવવાની સરળ રીત

હું તમારા નેટવર્કને સુરક્ષિત રાખવા માટે Mikrotik નો ઉપયોગ કેવી રીતે કરવો તેની સરળ અને કાર્યકારી રીત સમુદાય સાથે શેર કરવા માંગુ છું અને તેની પાછળની સેવાઓને બાહ્ય હુમલાઓથી "પીપિંગ આઉટ" કરી રહી છે. એટલે કે, મિક્રોટિક પર હનીપોટ ગોઠવવા માટેના ફક્ત ત્રણ નિયમો.

તેથી, ચાલો કલ્પના કરીએ કે અમારી પાસે એક નાનકડી ઓફિસ છે, જેમાં એક બાહ્ય IP છે જેની પાછળ કર્મચારીઓ માટે રિમોટલી કામ કરવા માટે RDP સર્વર છે. પ્રથમ નિયમ, અલબત્ત, બાહ્ય ઇન્ટરફેસ પર પોર્ટ 3389 ને બીજામાં બદલવાનો છે. પરંતુ આ લાંબો સમય ચાલશે નહીં; થોડા દિવસો પછી, ટર્મિનલ સર્વર ઓડિટ લોગ અજાણ્યા ક્લાયન્ટ્સ તરફથી પ્રતિ સેકન્ડે ઘણી નિષ્ફળ અધિકૃતતાઓ બતાવવાનું શરૂ કરશે.

બીજી પરિસ્થિતિ, તમારી પાસે Mikrotik પાછળ ફૂદડી છુપાયેલ છે, અલબત્ત 5060 udp પોર્ટ પર નથી, અને થોડા દિવસો પછી પાસવર્ડ શોધ પણ શરૂ થાય છે... હા, હા, હું જાણું છું, fail2ban એ આપણું બધું છે, પરંતુ આપણે હજી પણ તેના પર કામ કરો... ઉદાહરણ તરીકે, મેં તાજેતરમાં તેને ઉબુન્ટુ 18.04 પર ઇન્સ્ટોલ કર્યું છે અને તે જાણીને આશ્ચર્ય થયું કે આઉટ ઓફ ધ બોક્સ fail2ban એ જ ઉબુન્ટુ ડિસ્ટ્રિબ્યુશનના સમાન બોક્સમાંથી ફૂદડી માટે વર્તમાન સેટિંગ્સ ધરાવતું નથી... અને ઝડપી સેટિંગ્સ ગૂગલિંગ તૈયાર "રેસિપી" માટે હવે કામ કરતું નથી, વર્ષોથી રીલીઝની સંખ્યા વધી રહી છે, અને જૂના વર્ઝન માટે "રેસિપી" સાથેના લેખો હવે કામ કરતા નથી, અને નવા લગભગ ક્યારેય દેખાતા નથી... પણ હું વિષયાંતર કરું છું...

તેથી, ટૂંકમાં હનીપોટ શું છે - તે હનીપોટ છે, અમારા કિસ્સામાં, બાહ્ય IP પર કોઈપણ લોકપ્રિય પોર્ટ, બાહ્ય ક્લાયન્ટ તરફથી આ પોર્ટની કોઈપણ વિનંતી બ્લેકલિસ્ટમાં src સરનામું મોકલે છે. બધા.

/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker" 
    address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox" 
    connection-state=new dst-port=22,3389,8291 in-interface=
    ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker" 
    address-list-timeout=30d0h0m chain=input comment=
    "block honeypot asterisk" connection-state=new dst-port=5060 
    in-interface=ether4-wan protocol=udp 
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
    "Honeypot Hacker"

ઇથર22-વાન બાહ્ય ઇન્ટરફેસના લોકપ્રિય TCP પોર્ટ્સ 3389, 8291, 4 પરનો પ્રથમ નિયમ "અતિથિ" IP ને "હનીપોટ હેકર" સૂચિમાં મોકલે છે (ssh, rdp અને winbox માટેના પોર્ટ્સ અગાઉથી અક્ષમ છે અથવા અન્યમાં બદલાયેલા છે). બીજું લોકપ્રિય UDP 5060 પર તે જ કરે છે.

પ્રી-રાઉટીંગ સ્ટેજ પર ત્રીજો નિયમ "અતિથિઓ" ના પેકેટો છોડે છે જેનું srs-સરનામું "હનીપોટ હેકર" માં સમાવવામાં આવેલ છે.

મારા હોમ મિક્રોટિક સાથે કામ કર્યાના બે અઠવાડિયા પછી, "હનીપોટ હેકર" સૂચિમાં એવા લોકોના લગભગ દોઢ હજાર આઈપી એડ્રેસનો સમાવેશ થાય છે જેઓ મારા નેટવર્ક સંસાધનોને "આંચળથી પકડી રાખવા" પસંદ કરે છે (ઘરે મારી પોતાની ટેલિફોની, મેઇલ, નેક્સ્ટક્લાઉડ, આરડીપી).

કામ પર, બધું એટલું સરળ ન હતું, ત્યાં તેઓ બ્રુટ-ફોર્સિંગ પાસવર્ડ્સ દ્વારા આરડીપી સર્વરને તોડવાનું ચાલુ રાખે છે.

દેખીતી રીતે, હનીપોટ ચાલુ થયાના ઘણા સમય પહેલા સ્કેનર દ્વારા પોર્ટ નંબર નક્કી કરવામાં આવ્યો હતો, અને સંસર્ગનિષેધ દરમિયાન 100 થી વધુ વપરાશકર્તાઓને ફરીથી ગોઠવવાનું એટલું સરળ નથી, જેમાંથી 20% 65 વર્ષથી વધુ વયના છે. એવા કિસ્સામાં જ્યારે બંદર બદલી શકાતું નથી, ત્યાં એક નાની કાર્યકારી રેસીપી છે. મેં ઈન્ટરનેટ પર કંઈક આવું જ જોયું છે, પરંતુ તેમાં કેટલાક વધારાના ઉમેરો અને ફાઈન ટ્યુનિંગ સામેલ છે:

પોર્ટ નોકિંગને ગોઠવવાના નિયમો

 /ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist 
    address-list-timeout=15m chain=forward comment=rdp_to_blacklist 
    connection-state=new dst-port=3389 protocol=tcp src-address-list=
    rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5 
    address-list-timeout=4m chain=forward connection-state=new dst-port=
    3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4 
    address-list-timeout=4m chain=forward connection-state=new dst-port=
    3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp 
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist

4 મિનિટમાં, રિમોટ ક્લાયન્ટને RDP સર્વર પર ફક્ત 12 નવી "વિનંતીઓ" કરવાની મંજૂરી છે. એક લૉગિન પ્રયાસ 1 થી 4 "વિનંતી" નો છે. 12મી "વિનંતી" પર - 15 મિનિટ માટે અવરોધિત કરવું. મારા કિસ્સામાં, હુમલાખોરોએ સર્વરને હેક કરવાનું બંધ કર્યું ન હતું, તેઓ ટાઈમરમાં સમાયોજિત કરે છે અને હવે તે ખૂબ જ ધીમેથી કરે છે, પસંદગીની આવી ઝડપ હુમલાની અસરકારકતાને શૂન્ય સુધી ઘટાડે છે. લેવામાં આવેલા પગલાંથી કંપનીના કર્મચારીઓ વર્ચ્યુઅલ રીતે કામ પર કોઈ અસુવિધા અનુભવતા નથી.

બીજી નાની યુક્તિ
આ નિયમ શેડ્યૂલ મુજબ સવારે 5 વાગ્યે ચાલુ થાય છે અને સવારે XNUMX વાગ્યે બંધ થાય છે, જ્યારે વાસ્તવિક લોકો ચોક્કસપણે ઊંઘે છે અને સ્વચાલિત પીકર્સ જાગતા હોય છે.

/ip firewall filter 
add action=add-src-to-address-list address-list=rdp_blacklist 
    address-list-timeout=1w0d0h0m chain=forward comment=
    "night_rdp_blacklist" connection-state=new disabled=
    yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8

પહેલેથી જ 8મી કનેક્શન પર, હુમલાખોરનો IP એક અઠવાડિયા માટે બ્લેકલિસ્ટેડ છે. સુંદરતા!

ઠીક છે, ઉપરોક્ત ઉપરાંત, હું નેટવર્ક સ્કેનર્સથી મિક્રોટિકને સુરક્ષિત કરવા માટે કાર્યકારી સેટઅપ સાથે વિકી લેખમાં એક લિંક ઉમેરીશ. wiki.mikrotik.com/wiki/Drop_port_scanners

મારા ઉપકરણો પર, આ સેટિંગ ઉપર વર્ણવેલ હનીપોટ નિયમો સાથે મળીને કામ કરે છે, તેમને સારી રીતે પૂરક બનાવે છે.

UPD: ટિપ્પણીઓમાં સૂચવ્યા મુજબ, રાઉટર પરનો ભાર ઘટાડવા માટે પેકેટ ડ્રોપ નિયમ RAW માં ખસેડવામાં આવ્યો છે.

સોર્સ: www.habr.com

તમારા મિક્રોટિકને હુમલાઓથી બચાવવાની એક સરળ રીત

એક ટિપ્પણી ઉમેરો જવાબ રદ