🥇Mikrotik을 공격으로부터 보호하는 쉬운 방법

저는 Mikrotik을 사용하여 외부 공격으로부터 네트워크와 서비스를 뒤에서 "훔쳐보는" 보호하는 간단하고 효과적인 방법을 커뮤니티와 공유하고 싶습니다. 즉, Mikrotik에서 허니팟을 구성하는 데는 세 가지 규칙만 있으면 됩니다.

직원들이 원격으로 작업할 수 있는 RDP 서버가 있고 그 뒤에 외부 IP가 있는 소규모 사무실이 있다고 가정해 보겠습니다. 물론 첫 번째 규칙은 외부 인터페이스의 포트 3389를 다른 포트로 변경하는 것입니다. 그러나 이는 오래 가지 않으며 며칠 후에 터미널 서버 감사 로그에 알 수 없는 클라이언트로부터 초당 여러 건의 실패한 인증이 표시되기 시작합니다.

또 다른 상황은 Mikrotik 뒤에 별표가 숨겨져 있다는 것입니다. 물론 5060 udp 포트에는 없으며 며칠 후에 비밀번호 검색도 시작됩니다... 예, 예, 알아요. 작업하세요... 예를 들어, 최근 우분투 2에 설치했는데 기본적으로 동일한 우분투 배포판의 동일한 상자에서 별표에 대한 현재 설정이 포함되어 있지 않다는 사실에 놀랐습니다. 인터넷 검색 빠른 설정 이미 만들어진 "레시피"는 더 이상 작동하지 않고, 출시 횟수는 해가 갈수록 늘어나고 있으며, 이전 버전에 대한 "레시피"가 포함된 기사는 더 이상 작동하지 않으며, 새 버전은 거의 나타나지 않습니다... 하지만 저는 의견이 다릅니다...

간단히 말해서 허니팟이란 무엇입니까? 이것은 허니팟입니다. 우리의 경우 외부 IP의 인기 포트이며 외부 클라이언트에서 이 포트에 대한 모든 요청은 src 주소를 블랙리스트로 보냅니다. 모두.

/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker" 
    address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox" 
    connection-state=new dst-port=22,3389,8291 in-interface=
    ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker" 
    address-list-timeout=30d0h0m chain=input comment=
    "block honeypot asterisk" connection-state=new dst-port=5060 
    in-interface=ether4-wan protocol=udp 
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
    "Honeypot Hacker"

ether22-wan 외부 인터페이스의 인기 있는 TCP 포트 3389, 8291, 4에 대한 첫 번째 규칙은 "guest" IP를 "Honeypot Hacker" 목록으로 보냅니다(ssh, rdp 및 winbox용 포트는 미리 비활성화되거나 다른 포트로 변경됩니다). 두 번째는 널리 사용되는 UDP 5060에서 동일한 작업을 수행합니다.

사전 라우팅 단계의 세 번째 규칙은 "Honeypot Hacker"에 srs 주소가 포함된 "guests"의 패킷을 삭제합니다.

내 집 Mikrotik에서 XNUMX주 동안 작업한 후 "Honeypot Hacker" 목록에는 내 네트워크 리소스를 "유방에 보관"하는 것을 좋아하는 사람들의 약 XNUMX개 IP 주소가 포함되었습니다(집에는 내 전화, 메일, nextcloud, rdp) 무차별 공격이 중단되고 행복이 찾아왔습니다.

직장에서 모든 것이 그렇게 간단한 것은 아니었고 무차별 암호 대입으로 RDP 서버를 계속 깨뜨 렸습니다.

분명히 포트 번호는 허니팟이 켜지기 오래 전에 스캐너에 의해 결정되었으며 격리 중에는 100명 이상의 사용자를 재구성하는 것이 그리 쉽지 않으며 그 중 20%는 65세 이상입니다. 포트를 변경할 수 없는 경우 작은 작업 방법이 있습니다. 인터넷에서 비슷한 것을 본 적이 있지만 몇 가지 추가 사항과 미세 조정이 필요합니다.

포트 노킹 구성 규칙

 /ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist 
    address-list-timeout=15m chain=forward comment=rdp_to_blacklist 
    connection-state=new dst-port=3389 protocol=tcp src-address-list=
    rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5 
    address-list-timeout=4m chain=forward connection-state=new dst-port=
    3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4 
    address-list-timeout=4m chain=forward connection-state=new dst-port=
    3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp 
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist

4분 안에 원격 클라이언트는 RDP 서버에 12개의 새로운 "요청"만 할 수 있습니다. 한 번의 로그인 시도는 1~4개의 "요청"입니다. 12번째 "요청" 시 - 15분간 차단됩니다. 내 경우 공격자는 서버 해킹을 중단하지 않고 타이머를 조정하여 이제 매우 느리게 수행하므로 이러한 선택 속도로 인해 공격 효율성이 XNUMX으로 감소합니다. 회사 직원은 취해진 조치로 인해 직장에서 사실상 불편을 겪지 않습니다.

또 다른 작은 트릭
이 규칙은 일정에 따라 오전 5시에 켜지고 오전 XNUMX시에 꺼지며, 이때는 실제 사람들이 확실히 자고 있고 자동 선택기가 계속 깨어 있습니다.

/ip firewall filter 
add action=add-src-to-address-list address-list=rdp_blacklist 
    address-list-timeout=1w0d0h0m chain=forward comment=
    "night_rdp_blacklist" connection-state=new disabled=
    yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8

이미 8회 접속에서는 공격자의 IP가 일주일 동안 블랙리스트에 올라 있다. 아름다움!

위의 내용 외에도 네트워크 스캐너로부터 Mikrotik을 보호하기 위한 작업 설정이 포함된 Wiki 기사에 대한 링크를 추가하겠습니다. wiki.mikrotik.com/wiki/Drop_port_scanners

내 장치에서 이 설정은 위에 설명된 허니팟 규칙과 함께 작동하여 이를 잘 보완합니다.

UPD: 의견에서 제안한 대로 라우터의 부하를 줄이기 위해 패킷 삭제 규칙이 RAW로 이동되었습니다.

출처 : habr.com

Mikrotik을 공격으로부터 보호하는 쉬운 방법

코멘트를 추가 답장을 취소