Szeretnék megosztani a közösséggel egy egyszerű és működő módszert arra vonatkozóan, hogyan lehet a Mikrotik használatával megvédeni hálózatát és a mögül „kikandikáló” szolgáltatásokat a külső támadásoktól. Mégpedig csak három szabály a mézesedény megszervezéséhez a Mikrotikon.
Tehát képzeljük el, hogy van egy kis irodánk, külső IP-vel, amely mögött egy RDP-szerver található, ahol az alkalmazottak távolról dolgozhatnak. Az első szabály természetesen az, hogy a külső interfész 3389-es portját egy másikra kell cserélni. De ez nem tart sokáig; néhány nap múlva a terminálkiszolgáló auditnaplója másodpercenként több sikertelen engedélyezést kezd megjeleníteni ismeretlen ügyfelektől.
Egy másik helyzet, a Mikrotik mögött csillag van elrejtve, persze nem az 5060-as udp porton, és pár nap múlva elindul a jelszókeresés is... igen, igen, tudom, a fail2ban a mindenünk, de akkor is dolgozom rajta... például nemrégiben telepítettem az ubuntu 18.04-re, és meglepődve tapasztaltam, hogy a fail2ban nem tartalmazza a csillaggal kapcsolatos aktuális beállításokat ugyanannak az ubuntu disztribúciónak a dobozából... és a gugli gyorsbeállításokat mert a kész „receptek” már nem működnek, a megjelenések száma az évek múlásával nő, és a régi verziókra vonatkozó „recepteket” tartalmazó cikkek már nem működnek, újak pedig szinte soha nem jelennek meg... De elkalandozom...
Tehát, mi a honeypot dióhéjban - ez egy honeypot, esetünkben bármely népszerű port egy külső IP-n, bármely külső kliens erre a portra irányuló kérése elküldi az src-címet a feketelistára. Minden.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Az ether22-wan külső interfész népszerű 3389-es, 8291-es, 4-es TCP-portjaira vonatkozó első szabály elküldi a „vendég” IP-címet a „Honeypot Hacker” listának (az ssh, rdp és winbox portjai előre le vannak tiltva, vagy másra váltanak). A második ugyanezt teszi a népszerű UDP 5060-on.
A harmadik szabály az útválasztás előtti szakaszban eldobja a csomagokat azoktól a „vendégektől”, akiknek az srs-címe szerepel a „Honeypot Hacker”-ben.
Két hétnyi munka után az otthoni Mikrotikkal, a „Honeypot Hacker” listán körülbelül másfél ezer IP-cím szerepelt azoknak, akik szeretik „a tőgynél fogni” a hálózati erőforrásaimat (otthon van saját telefon, posta, nextcloud, rdp). A brute-force támadások abbamaradtak, a boldogság jött.
A munkahelyen nem minden bizonyult olyan egyszerűnek, ott továbbra is brute forcing jelszavakkal törik az rdp szervert.
A portszámot nyilván jóval a honeypot bekapcsolása előtt határozta meg a szkenner, a karantén alatt pedig nem olyan egyszerű 100-nál több felhasználót újrakonfigurálni, ezek 20%-a 65 év feletti. Abban az esetben, ha a port nem módosítható, van egy kis működő recept. Láttam valami hasonlót az interneten, de van néhány további kiegészítés és finomhangolás:
A Port Knocking beállításának szabályai
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
4 percen belül a távoli kliens csak 12 új „kérést” küldhet az RDP szervernek. Egy bejelentkezési kísérlet 1-től 4-ig terjed. A 12. „kérésnél” - 15 perces blokkolás. Az én esetemben a támadók nem hagyták abba a szerver feltörését, alkalmazkodtak az időzítőkhöz, és most nagyon lassan teszik ezt, ilyen sebességű kiválasztás nullára csökkenti a támadás hatékonyságát. A cég alkalmazottai gyakorlatilag semmilyen kellemetlenséget nem tapasztalnak a munkahelyükön a megtett intézkedések miatt.
Még egy kis trükk
Ez a szabály ütemezetten bekapcsol hajnali 5 órakor, és kikapcsol XNUMX órakor, amikor a valódi emberek biztosan alszanak, és az automatizált komissiók továbbra is ébren vannak.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8
Már a 8. kapcsolatnál a támadó IP-je egy hétre feketelistára kerül. Szépség!
Nos, a fentieken kívül adok egy linket egy Wiki cikkhez, amely egy működő beállítással rendelkezik a Mikrotik hálózati szkennerektől való védelmére.
Az én készülékeimen ez a beállítás a fent leírt honeypot szabályokkal együtt működik, jól kiegészítve azokat.
UPD: Ahogy a megjegyzésekben javasoltuk, a csomagledobási szabályt áthelyezték a RAW-ra, hogy csökkentsék az útválasztó terhelését.
Forrás: will.com