Мен қауымдастықпен желіңізді және оның артындағы «шығатын» қызметтерді сыртқы шабуылдардан қорғау үшін Mikrotik-ті қалай пайдаланудың қарапайым және жұмыс әдісімен бөліскім келеді. Атап айтқанда, микротикте бал құмырасын ұйымдастырудың үш ережесі.
Сонымен, бізде сыртқы IP бар шағын кеңсе бар деп елестетіп көрейік, оның артында қызметкерлердің қашықтан жұмыс істеуі үшін RDP сервері бар. Бірінші ереже, әрине, сыртқы интерфейстегі 3389 портын басқасына өзгерту. Бірақ бұл ұзаққа созылмайды; бірнеше күннен кейін терминал серверінің аудит журналы белгісіз клиенттерден секундына бірнеше сәтсіз рұқсаттарды көрсете бастайды.
Тағы бір жағдай, сізде микротиктің артында жұлдызша жасырылған, әрине 5060 udp портында емес, және бір-екі күннен кейін парольді іздеу де басталады... иә, иә, білемін, fail2ban біздің бәріміз, бірақ бәрібір онымен жұмыс істеу... мысалы, мен оны жақында ubuntu 18.04 нұсқасына орнаттым және fail2ban қорапта бірдей ubuntu дистрибутивінің сол жолағындағы жұлдызшаның ағымдағы параметрлері жоқ екенін және жылдам параметрлерді іздеуге таң қалдым. дайын «рецепттер» енді жұмыс істемейді, шығарылымдар саны жыл санап өсіп келеді, ал ескі нұсқаларға арналған «рецепттері» бар мақалалар енді жұмыс істемейді, ал жаңалары ешқашан пайда болмайды ... Бірақ мен шегінемін...
Сонымен, қысқаша айтқанда бал құмырасы дегеніміз не - бұл бал құмырасы, біздің жағдайда сыртқы IP-дегі кез келген танымал порт, сыртқы клиенттің осы портқа кез келген сұрауы src мекенжайын қара тізімге жібереді. Барлық.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Ether22-wan сыртқы интерфейсінің 3389, 8291, 4 танымал TCP порттарындағы бірінші ереже «қонақ» IP мекенжайын «Honeypot Hacker» тізіміне жібереді (ssh, rdp және winbox порттары алдын ала өшірілген немесе басқаларға өзгертілген). Екіншісі танымал UDP 5060-да солай жасайды.
Маршруттау алдындағы кезеңдегі үшінші ереже srs-мекен-жайы «Honeypot Hacker» ішіне енгізілген «қонақтардан» пакеттерді түсіреді.
Менің үйдегі Микротикпен екі апта жұмыс істегеннен кейін, «Honeypot Hacker» тізіміне менің желілік ресурстарымды (үйде менің жеке телефоным, поштам, поштам бар) «ұстап тұрғанды» ұнататындардың бір жарым мыңға жуық IP мекенжайлары болды. nextcloud, rp).
Жұмыста бәрі оңай болған жоқ, олар құпия сөздерді дөрекі түрде мәжбүрлеу арқылы rdp серверін бұзуды жалғастыруда.
Шамасы, порт нөмірін сканер бал құмырасы қосылмас бұрын анықтаған және карантин кезінде 100-ден астам пайдаланушыны қайта конфигурациялау оңай емес, олардың 20% -ы 65 жастан асқан. Портты өзгерту мүмкін болмаған жағдайда, шағын жұмыс рецепті бар. Мен Интернетте ұқсас нәрсені көрдім, бірақ кейбір қосымша толықтырулар мен дәл реттеулер бар:
Портты соғуды конфигурациялау ережелері
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
4 минут ішінде қашықтағы клиентке RDP серверіне тек 12 жаңа «сұраныс» жасауға рұқсат етіледі. Бір кіру әрекеті 1-ден 4-ке дейін «сұраныстарды» құрайды. 12-ші «сұраныс» бойынша - 15 минутқа блоктау. Менің жағдайда, шабуылдаушылар серверді бұзуды тоқтатпады, олар таймерлерге бейімделді және қазір оны өте баяу жасайды, таңдаудың мұндай жылдамдығы шабуылдың тиімділігін нөлге дейін төмендетеді. Қабылданған шаралардан компания қызметкерлері іс жүзінде жұмыста қолайсыздықты сезінбейді.
Тағы бір кішкентай трюк
Бұл ереже кестеге сәйкес таңғы сағат 5-де қосылады және таңғы сағат XNUMX-те өшеді, бұл нақты адамдар ұйықтап жатқанда, ал автоматтандырылған терушілер ояу болуды жалғастырады.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage88-ші қосылымда шабуылдаушының IP мекенжайы бір апта бойы қара тізімге енгізілген. Сұлулық!
Жоғарыда айтылғандарға қосымша, мен микротикті желілік сканерлерден қорғауға арналған жұмыс баптауы бар Wiki мақаласына сілтеме қосамын.
Менің құрылғыларымда бұл параметр жоғарыда сипатталған бал ережелерімен бірге жұмыс істейді және оларды жақсы толықтырады.
UPD: Түсініктемелерде ұсынылғандай, маршрутизатордағы жүктемені азайту үшін пакетті тастау ережесі RAW форматына ауыстырылды.
Ақпарат көзі: www.habr.com