Noriu pasidalinti su bendruomene paprastu ir veikiančiu būdu, kaip naudoti „Mikrotik“, kad apsaugotumėte savo tinklą ir iš jo „išlendančias“ paslaugas nuo išorinių atakų. Būtent, tik trys taisyklės, kaip organizuoti medaus puodą Mikrotik.
Taigi, įsivaizduokime, kad turime nedidelį biurą su išoriniu IP, už kurio yra KPP serveris, skirtas darbuotojams dirbti nuotoliniu būdu. Pirmoji taisyklė, žinoma, yra pakeisti išorinės sąsajos 3389 prievadą į kitą. Tačiau tai truks neilgai; po kelių dienų terminalo serverio audito žurnale bus rodomos kelios nepavykusios autorizacijos per sekundę iš nežinomų klientų.
Kita situacija, pas tave už Mikrotik pasislėpusi žvaigždutė, žinoma ne udp prievade 5060, o po poros dienų irgi prasideda slaptažodžių paieška... taip, taip, žinau, fail2ban yra viskas, bet vis tiek turime dirbti pavyzdžiui, neseniai įdiegiau jį į ubuntu 18.04 ir nustebau sužinojęs, kad fail2ban nėra dabartinių žvaigždute nustatymų iš to paties ubuntu platinimo dėžutės... ir ieškojau greitųjų nustatymų paruošti „receptai“ nebeveikia, metams bėgant spaudai vis daugėja, o straipsniai su „ receptais“ senoms versijoms nebeveikia, o naujų beveik neatsiranda... Bet nukrypstu...
Taigi, kas yra medaus puodas trumpai - tai medaus puodas, mūsų atveju bet koks populiarus išorinio IP prievadas, bet kokia išorinio kliento užklausa į šį prievadą siunčia src adresą į juodąjį sąrašą. Visi.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Pirmoji taisyklė dėl populiarių ether22-wan išorinės sąsajos TCP prievadų 3389, 8291, 4 siunčia „svečio“ IP į „Honeypot Hacker“ sąrašą (ssh, rdp ir winbox prievadai iš anksto išjungiami arba keičiami į kitus). Antrasis tą patį daro populiariajame UDP 5060.
Trečioji taisyklė išankstinio maršruto parinkimo etape atmeta paketus iš „svečių“, kurių srs-adresas yra įtrauktas į „Honeypot Hacker“.
Po dviejų savaičių darbo su mano namų Mikrotik, „Honeypot Hacker“ sąraše buvo apie pusantro tūkstančio IP adresų tų, kurie mėgsta „laikyti už tešmens“ mano tinklo resursus (namuose yra mano telefonas, paštas, nextcloud, rdp). Brutalios jėgos atakos sustojo, atėjo palaima.
Darbe ne viskas pasirodė taip paprasta, ten jie ir toliau laužo rdp serverį brutaliais slaptažodžiais.
Matyt, prievado numerį skaitytuvas nustatė dar gerokai prieš įjungiant medaus puodą, o karantino metu ne taip paprasta perkonfigūruoti daugiau nei 100 vartotojų, iš kurių 20% yra vyresni nei 65 metų. Tuo atveju, kai uosto negalima pakeisti, yra nedidelis darbinis receptas. Internete mačiau kažką panašaus, tačiau yra keletas papildomų papildymų ir patikslinimų:
Port Knocking konfigūravimo taisyklės
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
Per 4 minutes nuotoliniam klientui leidžiama pateikti tik 12 naujų „užklausų“ KPP serveriui. Vienas prisijungimo bandymas yra nuo 1 iki 4 „užklausų“. Esant 12 „užklausai“ - blokavimas 15 minučių. Mano atveju užpuolikai nenustojo įsilaužti į serverį, prisiderino prie laikmačių ir dabar tai daro labai lėtai, toks atrankos greitis sumažina atakos efektyvumą iki nulio. Įmonės darbuotojai dėl taikomų priemonių praktiškai nepatiria nepatogumų darbe.
Dar vienas mažas triukas
Ši taisyklė įsijungia pagal grafiką 5 val., o išsijungia XNUMX val., kai tikri žmonės tikrai miega, o automatiniai rinktuvai ir toliau budi.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Jau 8 prisijungus, užpuoliko IP savaitei yra įtrauktas į juodąjį sąrašą. Grožis!
Na, be to, kas išdėstyta aukščiau, pridėsiu nuorodą į Wiki straipsnį su veikiančia sąranka, skirta apsaugoti Mikrotik nuo tinklo skaitytuvų.
Mano įrenginiuose šis nustatymas veikia kartu su aukščiau aprašytomis medaus puodo taisyklėmis, puikiai jas papildydamas.
UPD: kaip siūloma komentaruose, paketų išmetimo taisyklė buvo perkelta į RAW, kad būtų sumažinta maršrutizatoriaus apkrova.
Šaltinis: www.habr.com