Ես ուզում եմ համայնքի հետ կիսվել պարզ և աշխատանքային եղանակով, թե ինչպես կարելի է օգտագործել Mikrotik-ը՝ պաշտպանելու ձեր ցանցը և նրա հետևից «դուրս եկող» ծառայությունները արտաքին հարձակումներից: Մասնավորապես, Mikrotik-ում honeypot կազմակերպելու ընդամենը երեք կանոն.
Այսպիսով, եկեք պատկերացնենք, որ մենք ունենք փոքր գրասենյակ, արտաքին IP-ով, որի հետևում կա RDP սերվեր, որպեսզի աշխատակիցները կարողանան հեռակա աշխատել: Առաջին կանոնը, իհարկե, արտաքին ինտերֆեյսի 3389 նավահանգիստը մեկ այլով փոխելն է: Բայց սա երկար չի տևի, մի քանի օր հետո տերմինալային սերվերի աուդիտի գրանցամատյանը կսկսի ցուցադրել վայրկյանում մի քանի ձախողված թույլտվություններ անհայտ հաճախորդներից:
Մեկ այլ իրավիճակ, Mikrotik-ի հետևում աստղանիշ ունես թաքնված, իհարկե ոչ 5060 udp պորտի վրա, ու մի երկու օր հետո սկսվում է նաև գաղտնաբառի որոնումը... այո, այո, գիտեմ, fail2ban-ը մեր ամեն ինչ է, բայց դեռ պետք է. աշխատիր դրա վրա... օրինակ, ես վերջերս տեղադրեցի այն ubuntu 18.04-ում և զարմացա, երբ հայտնաբերեցի, որ out of the box fail2ban-ը չի պարունակում աստղանիշի ընթացիկ կարգավորումներ նույն ubuntu բաշխման նույն տուփից... և արագ կարգավորումներ գուգգլելով: պատրաստի «բաղադրատոմսերի» համար այլևս չի աշխատում, թողարկումների թիվը տարիների ընթացքում աճում է, իսկ հին տարբերակների «բաղադրատոմսերով» հոդվածներն այլևս չեն աշխատում, իսկ նորերը գրեթե երբեք չեն հայտնվում... Բայց ես շեղվում եմ...
Այսպիսով, ինչ է honeypot-ը մի խոսքով. դա honeypot է, մեր դեպքում ցանկացած հայտնի պորտ արտաքին IP-ի վրա, ցանկացած հարցում դեպի այս նավահանգիստը արտաքին հաճախորդից ուղարկում է src հասցեն սև ցուցակ: Բոլորը.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Ether22-wan արտաքին ինտերֆեյսի հանրահայտ TCP պորտերի 3389, 8291, 4 առաջին կանոնը «հյուր» IP-ն ուղարկում է «Honeypot Hacker» ցուցակին (ssh-ի, rdp-ի և winbox-ի նավահանգիստները նախապես անջատված են կամ փոխվել են մյուսների համար): Երկրորդը նույնն է անում հանրաճանաչ UDP 5060-ի վրա:
Երրորդ կանոնը նախնական երթուղավորման փուլում թողնում է փաթեթներ «հյուրերից», որոնց srs-հասցեն ներառված է «Honeypot Hacker»-ում:
Իմ տան Mikrotik-ի հետ երկու շաբաթ աշխատելուց հետո «Honeypot Hacker»-ի ցանկը ներառում էր մոտ մեկուկես հազար IP հասցեներ, ովքեր սիրում են «կուրծքից պահել» իմ ցանցային ռեսուրսները (տանը կա իմ սեփական հեռախոսակապը, փոստը, nextcloud, rdp): Կոպիտ ուժային հարձակումները դադարեցին, երանությունը եկավ:
Աշխատավայրում ամեն ինչ այնքան էլ պարզ չստացվեց, այնտեղ նրանք շարունակում են կոտրել rdp սերվերը կոպիտ գաղտնաբառերի միջոցով։
Ըստ երևույթին, պորտի համարը սկաների կողմից որոշվել է honeypot-ը միացնելուց շատ առաջ, և կարանտինի ժամանակ այնքան էլ հեշտ չէ վերակազմավորել 100-ից ավելի օգտվողների, որոնցից 20%-ը 65 տարեկանից բարձր է։ Այն դեպքում, երբ նավահանգիստը հնարավոր չէ փոխել, կա փոքր աշխատանքային բաղադրատոմս։ Ես նման բան եմ տեսել ինտերնետում, բայց կան լրացուցիչ հավելումներ և ճշգրտումներ.
Port Knocking-ը կարգավորելու կանոններ
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
4 րոպեի ընթացքում հեռավոր հաճախորդին թույլատրվում է կատարել միայն 12 նոր «հարցեր» RDP սերվերին: Մուտքի մեկ փորձը 1-ից 4 «խնդրանք» է: 12-րդ «խնդրանքով»՝ արգելափակում 15 րոպեով: Իմ դեպքում հարձակվողները չդադարեցին կոտրել սերվերը, հարմարվեցին ժամանակաչափերին ու հիմա դա անում են շատ դանդաղ, ընտրության նման արագությունը զրոյի է հասցնում հարձակման արդյունավետությունը։ Ընկերության աշխատակիցները ձեռնարկված միջոցառումներից գործնականում ոչ մի անհարմարություն չեն զգում աշխատավայրում:
Եվս մեկ փոքրիկ հնարք
Այս կանոնը միանում է ըստ գրաֆիկի ժամը 5-ին և անջատվում է ժամը XNUMX-ին, երբ իրական մարդիկ հաստատ քնած են, իսկ ավտոմատ ընտրողները շարունակում են արթուն մնալ:
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Արդեն 8-րդ կապի դեպքում հարձակվողի IP-ն մեկ շաբաթ սև ցուցակում է: Գեղեցկություն։
Դե, բացի վերը նշվածից, ես կավելացնեմ հղում Wiki-ի հոդվածին, որն ունի աշխատանքային կարգավորում՝ Mikrotik-ը ցանցային սկաներներից պաշտպանելու համար:
Իմ սարքերում այս պարամետրը աշխատում է վերը նկարագրված honeypot կանոնների հետ միասին՝ դրանք լավ լրացնելով:
UPD. Ինչպես առաջարկվում է մեկնաբանություններում, փաթեթների անկման կանոնը տեղափոխվել է RAW՝ երթուղիչի բեռը նվազեցնելու համար:
Source: www.habr.com