Želim sa zajednicom podijeliti jednostavan i učinkovit način kako pomoću Mikrotika zaštititi svoju mrežu i servise koji “vire” iza nje od vanjskih napada. Naime, samo tri pravila za organizaciju honeypota na Mikrotiku.
Dakle, zamislimo da imamo mali ured, s vanjskim IP-om iza kojeg se nalazi RDP poslužitelj za rad zaposlenika na daljinu. Prvo pravilo je, naravno, promijeniti port 3389 na vanjskom sučelju na drugi. Ali to neće trajati dugo; nakon nekoliko dana, zapisnik revizije terminalskog poslužitelja počet će prikazivati nekoliko neuspjelih autorizacija u sekundi od nepoznatih klijenata.
Druga situacija, iza Mikrotika imate sakrivenu zvjezdicu, naravno ne na 5060 udp portu, a nakon par dana krene i pretraga lozinke... da, da, znam, fail2ban nam je sve, ali ipak moramo poradi na tome... na primjer, nedavno sam ga instalirao na ubuntu 18.04 i iznenadio sam se kad sam otkrio da izvan kutije fail2ban ne sadrži trenutne postavke za zvjezdicu iz iste kutije iste ubuntu distribucije... i guglanje brzih postavki za gotove “recepte” više ne radi, brojevi izdanja rastu s godinama, a članci s “receptima” za stare verzije više ne rade, a nove se gotovo uopće ne pojavljuju... Ali skrenuo sam s teme...
Dakle, što je honeypot ukratko - to je honeypot, u našem slučaju, bilo koji popularni port na vanjskom IP-u, svaki zahtjev na ovaj port od vanjskog klijenta šalje src adresu na crnu listu. Svi.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Prvo pravilo na popularnim TCP priključcima 22, 3389, 8291 vanjskog sučelja ether4-wan šalje "gostujući" IP na popis "Honeypot Hacker" (priključci za ssh, rdp i winbox su unaprijed onemogućeni ili promijenjeni na druge). Drugi radi isto na popularnom UDP 5060.
Treće pravilo u fazi prije usmjeravanja ispušta pakete od "gostiju" čija je srs-adresa uključena u "Honeypot Hacker".
Nakon dva tjedna rada s mojim kućnim Mikrotikom, lista “Honeypot Hacker” uključila je oko tisuću i pol IP adresa onih koji vole “držati za vime” moje mrežne resurse (kod kuće postoji vlastita telefonija, pošta, nextcloud, rdp).Napadi grubom silom su prestali, blaženstvo je došlo.
Na poslu se nije pokazalo da je sve tako jednostavno, tamo nastavljaju razbijati rdp poslužitelj grubim prisiljavanjem lozinki.
Očigledno je broj porta skener odredio mnogo prije nego što je honeypot uključen, a tijekom karantene nije tako lako rekonfigurirati više od 100 korisnika, od kojih je 20% starije od 65 godina. U slučaju kada se priključak ne može promijeniti, postoji mali radni recept. Vidio sam nešto slično na Internetu, ali uključeni su neki dodatni dodaci i fino podešavanje:
Pravila za konfiguriranje Port Knockinga
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
U 4 minute udaljenom klijentu dopušteno je uputiti samo 12 novih "zahtjeva" RDP poslužitelju. Jedan pokušaj prijave je od 1 do 4 “zahtjeva”. Na 12. "zahtjev" - blokiranje na 15 minuta. U mom slučaju, napadači nisu prestali hakirati server, prilagodili su se mjeračima vremena i sada to rade vrlo sporo, takva brzina odabira smanjuje učinkovitost napada na nulu. Zaposlenici tvrtke praktički nemaju nikakvih neugodnosti na poslu zbog poduzetih mjera.
Još jedan mali trik
Ovo se pravilo uključuje prema rasporedu u 5 ujutro i isključuje u XNUMX ujutro, kada stvarni ljudi definitivno spavaju, a automatizirani berači su i dalje budni.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Već na 8. konekciji, IP napadača je na crnoj listi tjedan dana. Ljepota!
Pa, uz gore navedeno, dodati ću poveznicu na Wiki članak s radnim postavkama za zaštitu Mikrotika od mrežnih skenera.
Na mojim uređajima ova postavka radi zajedno s gore opisanim pravilima honeypota, dobro ih nadopunjujući.
UPD: Kao što je predloženo u komentarima, pravilo ispuštanja paketa premješteno je u RAW kako bi se smanjilo opterećenje usmjerivača.
Izvor: www.habr.com