Es vēlos dalīties ar sabiedrību ar vienkāršu un praktisku veidu, kā izmantot Mikrotik, lai aizsargātu savu tīklu un pakalpojumus, kas “lūr ārā” no ārējiem uzbrukumiem. Proti, tikai trīs noteikumi, lai Mikrotikā organizētu meduspodu.
Tātad, iedomāsimies, ka mums ir neliels birojs ar ārēju IP, aiz kura atrodas LAP serveris, lai darbinieki varētu strādāt attālināti. Pirmais noteikums, protams, ir mainīt ārējā interfeisa portu 3389 uz citu. Taču tas neturpināsies ilgi; pēc pāris dienām termināļa servera audita žurnāls sāks parādīt vairākas neveiksmīgas autorizācijas sekundē no nezināmiem klientiem.
Cita situācija, tev aiz Mikrotik ir paslēpta zvaigznīte, protams ne uz 5060 udp porta, un pēc pāris dienām sākas arī paroles meklēšana... jā, jā, es zinu, fail2ban ir mūsu viss, bet mums joprojām ir strādājiet pie tā... piemēram, es nesen to instalēju uz ubuntu 18.04 un biju pārsteigts, atklājot, ka fail2ban nesatur pašreizējos iestatījumus zvaigznītei no tā paša ubuntu izplatīšanas lodziņa... un meklēju googlē ātros iestatījumus jo gatavas “receptes” vairs neder, izlaidumu skaitļi ar gadiem aug, un raksti ar “ receptēm” vecajām versijām vairs neder, un jaunas gandrīz nerodas... Bet es novirzos...
Tātad, kas īsumā ir meduspods - tas ir meduspods, mūsu gadījumā jebkurš populārs ports uz ārējā IP, jebkurš pieprasījums uz šo portu no ārēja klienta nosūta src adresi uz melno sarakstu. Visi.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Pirmais ether22-wan ārējā interfeisa populāro TCP portu 3389, 8291, 4 noteikums nosūta “viesa” IP sarakstu “Honeypot Hacker” (ssh, rdp un winbox porti ir iepriekš atspējoti vai mainīti uz citiem). Otrais to pašu dara populārajā UDP 5060.
Trešais noteikums pirmsmaršrutēšanas posmā atmet paketes no “viesiem”, kuru srs-adrese ir iekļauta “Honeypot Hacker”.
Pēc divu nedēļu darba ar manu mājas Mikrotik, “Honeypot Hacker” sarakstā bija aptuveni pusotrs tūkstotis IP adrešu tiem, kam patīk “turēt pie tesmeņa” manus tīkla resursus (mājās ir mana telefona, pasts, nextcloud, rdp). Brutāla spēka uzbrukumi apstājās, nāca svētlaime.
Darbā ne viss izrādījās tik vienkārši, tur viņi turpina lauzt rdp serveri ar brutālā piespiedu parolēm.
Acīmredzot porta numuru skeneris noteica ilgi pirms meduspoda ieslēgšanas, un karantīnas laikā nav tik vienkārši pārkonfigurēt vairāk par 100 lietotājiem, no kuriem 20% ir vecāki par 65 gadiem. Gadījumā, ja ostu nevar mainīt, ir neliela darba recepte. Esmu redzējis kaut ko līdzīgu internetā, taču ir daži papildu papildinājumi un precizējumi:
Port Knocking konfigurēšanas noteikumi
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
4 minūšu laikā attālais klients drīkst veikt tikai 12 jaunus “pieprasījumus” LAP serverim. Viens pieteikšanās mēģinājums ir no 1 līdz 4 “pieprasījumiem”. Pēc 12. “pieprasījuma” - bloķēšana uz 15 minūtēm. Manā gadījumā uzbrucēji nepārstāja uzlauzt serveri, viņi pielāgojās taimeriem un tagad dara to ļoti lēni, šāds atlases ātrums samazina uzbrukuma efektivitāti līdz nullei. Uzņēmuma darbinieki praktiski nesajūt neērtības darbā no veiktajiem pasākumiem.
Vēl viens mazs triks
Šis noteikums ieslēdzas saskaņā ar grafiku pulksten 5:XNUMX un izslēdzas pulksten XNUMX:XNUMX, kad īsti cilvēki noteikti guļ, un automatizētie atlasītāji turpina būt nomodā.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Jau astotajā savienojumā uzbrucēja IP uz nedēļu tiek iekļauts melnajā sarakstā. Skaistums!
Papildus iepriekšminētajam es pievienošu saiti uz Wiki rakstu ar funkcionālu iestatījumu Mikrotik aizsardzībai no tīkla skeneriem.
Manās ierīcēs šis iestatījums darbojas kopā ar iepriekš aprakstītajiem medus poda noteikumiem, tos labi papildinot.
UPD: kā ieteikts komentāros, pakešu nomešanas noteikums ir pārvietots uz RAW, lai samazinātu maršrutētāja slodzi.
Avots: www.habr.com