Ech wëll mat der Gemeinschaft en einfachen a funktionnéierende Wee deelen wéi Dir Mikrotik benotzt fir Äert Netz ze schützen an d'Servicer vun hannert et aus externen Attacken ze schützen. Nämlech just dräi Regelen engem Hunnegpot op Mikrotik organiséieren.
Also, loosst eis virstellen datt mir e klenge Büro hunn, mat enger externer IP hannert deem et e RDP-Server ass fir d'Mataarbechter op afstand ze schaffen. Déi éischt Regel ass natierlech den Hafen 3389 op der externer Interface an en aneren z'änneren. Awer dëst wäert net laang daueren; no e puer Deeg fänkt den Terminal Server Audit Log e puer gescheitert Autorisatioune pro Sekonn vun onbekannte Clienten ze weisen.
Eng aner Situatioun, Dir hutt d'Asterisk hannert Mikrotik verstoppt, selbstverständlech net um 5060 udp Hafen, an no e puer Deeg fänkt d'Passwuert Sich och ... jo, jo, ech weess, fail2ban ass eis alles, awer mir mussen nach ëmmer schaffen drun ... zum Beispill, ech hunn et viru kuerzem op Ubuntu 18.04 installéiert a war iwwerrascht ze entdecken datt aus der Këscht fail2ban keng aktuell Astellunge fir Asterisk aus der selwechter Këscht vun der selwechter Ubuntu Verdeelung enthält ... a séier Astellunge googelen fir fäerdeg "Rezepter" funktionéiert net méi, d'Zuele fir Verëffentlechungen wuessen iwwer d'Jore, an Artikele mat "Rezepter" fir al Versioune funktionnéieren net méi, an neier kommen bal ni ... Mee ech digress ...
Also, wat ass en Honeypot an enger Nossschuel - et ass en Honeypot, an eisem Fall, all populär Hafen op enger externer IP, all Ufro un dësen Hafen vun engem externe Client schéckt d'Src Adress op d'Schwaarzlëscht. All.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Déi éischt Regel op populär TCP Häfen 22, 3389, 8291 vun der ether4-wan externen Interface schéckt de "Gaascht" IP op d'"Honeypot Hacker" Lëscht (Ports fir ssh, rdp an winbox sinn am Viraus behënnert oder op anerer geännert). Déi zweet mécht datselwecht op der populärer UDP 5060.
Déi drëtt Regel an der Pre-Routing Etapp fällt Pakete vu "Gäscht", deenen hir srs-Adress am "Honeypot Hacker" abegraff ass.
No zwou Woche vun der Aarbecht mat mengem Heem Mikrotik, huet d'Lëscht "Honeypot Hacker" ongeféier annerhallef dausend IP Adresse vun deenen, déi gären "vun der Eeër halen" meng Netzwierkressourcen enthalen (doheem gëtt et meng eegen Telefonie, Mail, nextcloud, rdp).Brute-Kraaft Attacke gestoppt, Gléck koum.
Op der Aarbecht ass net alles sou einfach erausgestallt, do briechen se weider den rdp-Server duerch brute-Forcing Passwierder.
Anscheinend gouf d'Portnummer vum Scanner bestëmmt laang ier den Honeypot ageschalt gouf, a wärend der Quarantän ass et net sou einfach méi wéi 100 Benotzer nei ze konfiguréieren, vun deenen 20% iwwer 65 Joer al sinn. Am Fall wou den Hafen net geännert ka ginn, gëtt et e klengt Aarbechtsrezept. Ech hunn eppes ähnlech um Internet gesinn, awer et ass e puer zousätzlech Zousatz a Feintuning involvéiert:
Regele fir Configuratioun Port Knocking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
A 4 Minutten ass de Remote Client erlaabt nëmmen 12 nei "Ufroen" op den RDP Server ze maachen. Ee Loginversuch ass vun 1 op 4 "Ufroen". Op der 12. "Ufro" - Spär fir 15 Minutten. A mengem Fall hunn d'Attacker net ophalen de Server ze hacken, si hunn d'Timer ugepasst an elo maachen et ganz lues, sou eng Selektiounsgeschwindegkeet reduzéiert d'Effektivitéit vum Attack op Null. D'Mataarbechter vun der Firma erliewen quasi keng Nodeel op der Aarbecht vun de Moossnamen.
En aneren klengen Trick
Dës Regel schalt no engem Zäitplang um 5 Auer op a schalt um XNUMX Auer aus, wann richteg Leit definitiv schlofen, an automatiséiert Picker si weider waakreg.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Schonn op der 8. Verbindung ass d'IP vum Ugräifer fir eng Woch op der schwaarzer Lëscht. Schéinheet!
Gutt, zousätzlech zu den uewe genannten, wäert ech e Link op e Wiki Artikel mat engem funktionnéierende Setup addéieren fir Mikrotik vu Netzwierkscanner ze schützen.
Op meng Apparater funktionnéiert dës Astellung zesumme mat den Honeypot Reegelen uewen beschriwwen, ergänzen se gutt.
UPD: Wéi an de Kommentare proposéiert, ass d'Packet Drop Regel op RAW geplënnert fir d'Laascht op de Router ze reduzéieren.
Source: will.com