Мен коомчулук менен тармагыңызды жана анын артында турган кызматтарды тышкы чабуулдардан коргоо үчүн Микротикти кантип колдонуунун жөнөкөй жана жумушчу ыкмасын бөлүшкүм келет. Тактап айтканда, Microtik боюнча бал челек уюштуруу үчүн үч гана эреже.
Ошентип, бизде кичинекей кеңсебиз бар деп элестетип көрөлү, анын артында кызматкерлердин алыстан иштөөсү үчүн RDP сервери бар тышкы IP бар. Биринчи эреже, албетте, тышкы интерфейстеги 3389 портун башкасына өзгөртүү. Бирок бул көпкө созулбайт; бир нече күндөн кийин терминалдык сервердин аудит журналы белгисиз кардарлардан секундасына бир нече ишке ашпай калган уруксаттарды көрсөтө баштайт.
Дагы бир жагдай, сизде микротиктин артында жылдызча катылган, албетте 5060 udp портунда эмес, жана бир-эки күндөн кийин сырсөздү издөө да башталат... ооба, ооба, мен билем, fail2ban биздин бардыгыбыз, бирок биз дагы деле кылышыбыз керек. анын үстүндө иштедим... мисалы, мен аны жакында ubuntu 18.04ке орнотконумда таң калдым, кутудан чыккан fail2ban бир эле Ubuntu дистрибутивинин ошол эле кутучасынан жылдызча үчүн учурдагы жөндөөлөрдү камтыбайт... жана тез жөндөөлөрдү googling даяр "рецепттер" үчүн иштебей калды, релиздердин саны жыл санап өсүп жатат, ал эми эски версиялар үчүн "рецепттери" бар макалалар иштебей калды, жаңылары дээрлик эч качан пайда болбойт... Бирок мен чегиндим...
Ошентип, кыскача айтканда, бал чөйчөгү деген эмне - бул бал чөйчөгү, биздин учурда, тышкы IPдеги ар кандай популярдуу порт, бул портко тышкы кардардан каалаган суроо-талап src дарегин кара тизмеге жөнөтөт. Баары.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Ether22-wan тышкы интерфейсинин 3389, 8291, 4 популярдуу TCP портторундагы биринчи эреже "конок" IP дарегин "Honeypot Hacker" тизмесине жөнөтөт (ssh, rdp жана winbox үчүн порттор алдын ала өчүрүлгөн же башкаларга өзгөртүлгөн). Экинчиси популярдуу UDP 5060та да ушундай кылат.
Маршрутизацияга чейинки этаптагы үчүнчү эреже srs-дареги "Honeypot Hacker" камтылган "коноктордун" пакеттерин түшүрөт.
Менин үйүм Микротик менен эки жума иштегенден кийин, "Honeypot Hacker" тизмесине менин тармактык ресурстарымды (үйдө менин жеке телефонум, почтам, почтам бар, желин менен кармап турууну" жакшы көргөндөрдүн бир жарым миңге жакын IP даректери кирди. nextcloud, rdp).
Жумушта баары ушунчалык жөнөкөй болгон жок, алар rdp серверин катаал мажбурлоо менен сырсөздөрдү бузуп жатышат.
Сыягы, порттун номери сканер тарабынан бал чөйчөгү күйгүзүлгөнгө чейин эле аныкталган жана карантин учурунда 100дөн ашык колдонуучуну кайра конфигурациялоо оңой эмес, алардын 20% 65 жаштан жогору. Портту өзгөртүү мүмкүн болбогон учурда, кичинекей жумушчу рецепт бар. Мен Интернетте окшош нерсени көрдүм, бирок кээ бир кошумча кошумчалар жана жакшы жөндөөлөр бар:
Port Knocking конфигурациялоо эрежелери
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
4 мүнөттүн ичинде алыскы кардар RDP серверине 12 гана жаңы "суроо-талаптарды" жасоого уруксат берилет. Бир кирүү аракети 1ден 4кө чейин "суроолорду" түзөт. 12- "суроо" боюнча - 15 мүнөткө бөгөт коюу. Менин учурумда чабуулчулар серверди бузуп алууну токтотушкан жок, алар таймерлерге ыңгайлаштырылган жана азыр муну абдан жай жасашат, тандоонун мындай ылдамдыгы чабуулдун эффективдүүлүгүн нөлгө чейин төмөндөтөт. Ишкананын кызматкерлери көрүлгөн чаралардан иш жүзүндө дээрлик эч кандай ыңгайсыздыктарды сезишпейт.
Дагы бир кичинекей трюк
Бул эреже график боюнча саат 5де күйүп, таңкы саат XNUMXте өчөт, ал эми чыныгы адамдар сөзсүз уктап жатканда, автоматташтырылган жыйноочулар ойгоно беришет.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Азыртадан эле 8-байланышта, чабуулчунун IP бир жумага кара тизмеге киргизилген. Сулуулук!
Жогоруда айтылгандардан тышкары, мен микротикти тармак сканерлеринен коргоо үчүн иштеген орнотуулары бар Wiki макаласына шилтеме кошом.
Менин түзмөктөрүмдө бул жөндөө жогоруда сүрөттөлгөн бал челектин эрежелери менен бирге иштеп, аларды толуктап турат.
UPD: Комментарийлерде сунушталгандай, роутерге жүктү азайтуу үчүн пакетти түшүрүү эрежеси RAW форматына жылдырылды.
Source: www.habr.com