Ég vil deila með samfélaginu einfaldri og virka leið um hvernig á að nota Mikrotik til að vernda netið þitt og þjónustuna sem „gægist út“ fyrir aftan það fyrir utanaðkomandi árásum. Nefnilega bara þrjár reglur til að skipuleggja hunangspott á Mikrotik.
Svo, við skulum ímynda okkur að við séum með litla skrifstofu, með ytri IP á bak við sem er RDP netþjónn fyrir starfsmenn til að vinna í fjarvinnu. Fyrsta reglan er að sjálfsögðu að breyta port 3389 á ytra viðmótinu í annað. En þetta mun ekki endast lengi; eftir nokkra daga mun úttektarskrá flugstöðvarþjónsins byrja að sýna nokkrar misheppnaðar heimildir á sekúndu frá óþekktum viðskiptavinum.
Önnur staða er að þú ert með stjörnu falin á bak við Mikrotik, náttúrulega ekki á 5060 udp portinu, og eftir nokkra daga byrjar lykilorðið að sprunga líka... já, já, ég veit, fail2ban er allt hjá okkur, en við þurfum samt að vinna í því... til dæmis setti ég það upp nýlega á ubuntu 18.04 og varð hissa að uppgötva að tilbúna fail2ban inniheldur ekki núverandi stillingar fyrir stjörnu úr sama kassa af sama ubuntu dreifing... og að googla flýtistillingar fyrir tilbúnar „uppskriftir“ virkar ekki lengur, útgáfutölurnar aukast með árunum og greinar með „uppskriftum“ fyrir eldri útgáfur virka ekki lengur og nýjar birtast næstum aldrei... En ég er orðinn annars hugar...
Svo, hvað er honeypot í hnotskurn - það er huneypot, í okkar tilfelli, hvaða vinsæla tengi sem er á ytri IP, allar beiðnir til þessa tengis frá utanaðkomandi viðskiptavini senda src vistfangið á svarta listann. Allt.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Fyrsta reglan á vinsælum TCP tengi 22, 3389, 8291 í ether4-wan ytra viðmótinu sendir „gest“ IP á „Honeypot Hacker“ listann (höfn fyrir ssh, rdp og winbox eru óvirk fyrirfram eða breytt í aðra). Sá seinni gerir það sama á hinum vinsæla UDP 5060.
Þriðja reglan á forleiðarstigi sleppir pökkum frá „gestum“ sem srs-vistfang þeirra er innifalið í „Honeypot Hacker“.
Eftir tveggja vikna vinnu með Mikrotik heima hjá mér, innihélt „Honeypot Hacker“ listinn um eitt og hálft þúsund IP tölur þeirra sem vilja „halda um júgur“ netauðlindirnar mínar (heima er minn eigin sími, póstur, nextcloud, rdp.) Brute-force árásir hættu, sæla kom.
Í vinnunni reyndist ekki allt vera svo einfalt, þar halda þeir áfram að brjóta rdp þjóninn með því að þvinga lykilorð.
Svo virðist sem gáttarnúmerið hafi verið ákvarðað af skannanum löngu áður en kveikt var á hunangspottinum og í sóttkví er ekki svo auðvelt að endurstilla meira en 100 notendur, þar af 20% eldri en 65 ára. Ef ekki er hægt að breyta höfninni er lítil vinnandi uppskrift. Ég hef séð eitthvað svipað á netinu, en það er einhver viðbótarviðbót og fínstilling:
Reglur um að stilla Port Knocking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
Á 4 mínútum er fjartengdum viðskiptavini aðeins heimilt að senda inn 12 nýjar „beiðnir“ til RDP. netþjónnEin innskráningartilraun felur í sér 1 til 4 „beiðnir“. Við 12. „beiðnina“ verður 15 mínútna útilokun. Í mínu tilfelli héldu árásarmennirnir áfram að brjótast inn á netþjóninn; þeir aðlöguðust tímastillunum og gera það nú mjög hægt. Þessi hraði dregur úr virkni árásarinnar í núll. Starfsmenn fyrirtækisins hafa nánast ekki orðið fyrir neinum truflunum á vinnu sinni vegna þessara aðgerða.
Annað lítið bragð
Þessi regla kviknar samkvæmt áætlun klukkan 5:XNUMX og slokknar klukkan XNUMX að morgni, þegar raunverulegt fólk er örugglega sofandi og sjálfvirkir veljarar halda áfram að vera vakandi.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8
Þegar á 8. tengingu er IP-tala árásarmannsins á svörtum lista í viku. Fegurð!
Jæja, til viðbótar við ofangreint, mun ég bæta við tengli á Wiki grein með virka uppsetningu til að vernda Mikrotik fyrir netskanna.
Í tækjunum mínum virkar þessi stilling ásamt honeypot-reglunum sem lýst er hér að ofan og bætir þær vel við.
UPD: Eins og lagt er til í athugasemdunum hefur pakkafallsreglan verið færð yfir í RAW til að draga úr álagi á beini.
Heimild: www.habr.com
