Fomba mora hiarovana ny Mikrotik anao amin'ny fanafihana

Te-hizara amin'ny vondrom-piarahamonina ny fomba tsotra sy miasa amin'ny fampiasana Mikrotik mba hiarovana ny tambajotranao sy ny serivisy "mijery" avy ao ambadik'izany amin'ny fanafihana ivelany. Izany hoe, fitsipika telo ihany no hikarakarana tantely amin'ny Mikrotik.

Noho izany, andeha hojerentsika fa manana birao kely isika, miaraka amin'ny IP ivelany izay misy mpizara RDP ho an'ny mpiasa miasa lavitra. Ny fitsipika voalohany dia mazava ho azy fa hanova ny port 3389 amin'ny interface ivelany ho an'ny iray hafa. Saingy tsy haharitra ela izany; rehefa afaka andro vitsivitsy, dia hanomboka hampiseho fanomezan-dàlana tsy nahomby isan-tsegondra avy amin'ny mpanjifa tsy fantatra ny diarin'ny mpizara terminal.

Toe-javatra iray hafa, manana asterisk miafina ao ambadiky ny Mikrotik ianao, mazava ho azy fa tsy amin'ny port 5060 udp, ary afaka andro vitsivitsy dia manomboka koa ny fikarohana ny tenimiafina ... eny, eny, fantatro fa fail2ban no zava-drehetra, fa mbola tsy maintsy miasa amin'io ... ohatra, vao haingana aho no nametraka an'io tao amin'ny ubuntu 18.04 ary gaga aho nahita fa ivelan'ny boaty fail2ban dia tsy misy fikandrana ankehitriny ho an'ny asterisk avy amin'ny boaty mitovy amin'ny fizarana Ubuntu mitovy ... satria tsy mandeha intsony ny "recipe" efa vita, mitombo ny isan'ny famoahana nandritra ny taona maro, ary tsy mandeha intsony ny lahatsoratra misy "recette" ho an'ny dikan-teny taloha, ary saika tsy mipoitra mihitsy ny vaovao ... Fa manilika aho...

Noho izany, inona no atao hoe honeypot amin'ny teny fohy - izany dia honeypot, amin'ny tranga misy antsika, izay seranan-tsambo malaza amin'ny IP ivelany, ny fangatahana rehetra amin'ity seranana ity avy amin'ny mpanjifa ivelany dia mandefa ny adiresy src amin'ny lisitra mainty. Rehetra.

/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker" 
    address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox" 
    connection-state=new dst-port=22,3389,8291 in-interface=
    ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker" 
    address-list-timeout=30d0h0m chain=input comment=
    "block honeypot asterisk" connection-state=new dst-port=5060 
    in-interface=ether4-wan protocol=udp 
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
    "Honeypot Hacker"

Ny fitsipika voalohany amin'ny seranana TCP malaza 22, 3389, 8291 amin'ny interface ivelany ether4-wan dia mandefa ny IP "vahiny" amin'ny lisitry ny "Honeypot Hacker" (seranan-tsambo ho an'ny ssh, rdp ary winbox dia kilemaina mialoha na novaina ho an'ny hafa). Ny faharoa dia manao toy izany koa amin'ny UDP 5060 malaza.

Ny fitsipika fahatelo eo amin'ny dingana mialoha ny lalana dia mametraka fonosana avy amin'ny "vahiny" izay misy adiresy srs ao amin'ny "Honeypot Hacker".

Taorian'ny tapa-bolana niasako tamin'ny Mikrotik an-tranoko, ny lisitry ny "Honeypot Hacker" dia nahitana adiresy IP iray sy sasany teo ho eo ho an'ireo izay tia "mihazona ny udder" ny loharanon-tseraserako (ao an-trano dia misy ny telefaoniko, mailaka, nextcloud, rdp). Nijanona ny fanafihana mahery vaika, tonga ny fahasambarana.

Any am-piasana, tsy ny zava-drehetra no tena tsotra, any izy ireo dia manohy manapaka ny mpizara rdp amin'ny alàlan'ny tenimiafina manery.

Raha ny fahitana azy, ny laharan'ny seranan-tsambo dia nofaritan'ny scanner ela be talohan'ny nisian'ny honeypot, ary mandritra ny confinement dia tsy mora ny manamboatra mpampiasa mihoatra ny 100, izay 20% amin'ireo dia mihoatra ny 65 taona. Raha toa ka tsy azo ovaina ny seranana, dia misy fomba fiasa kely miasa. Nahita zavatra mitovitovy amin'izany aho tao amin'ny Internet, saingy misy fanampim-panazavana fanampiny sy fanitsiana tsara:

Fitsipika momba ny fanamboarana ny Port Knocking

 /ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist 
    address-list-timeout=15m chain=forward comment=rdp_to_blacklist 
    connection-state=new dst-port=3389 protocol=tcp src-address-list=
    rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5 
    address-list-timeout=4m chain=forward connection-state=new dst-port=
    3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4 
    address-list-timeout=4m chain=forward connection-state=new dst-port=
    3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp 
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist

Ao anatin'ny 4 minitra, ny mpanjifa lavitra dia mahazo manao "fangatahana" vaovao 12 amin'ny RDP ihany. mpizaraNy andrana fidirana iray dia misy "fangatahana" 1 ka hatramin'ny 4. Amin'ny "fangatahana" faha-12, dia misy fihibohana mandritra ny 15 minitra. Raha ny amiko, nanohy nijirika ny mpizara ireo mpanafika; nizatra tamin'ny famantaranandro izy ireo ary ankehitriny dia manao izany miadana be. Io hafainganam-pandeha mahery vaika io dia mampihena ny fahombiazan'ny fanafihana ho aotra. Tsy niaina fanelingelenana ny asany mihitsy ny mpiasan'ny orinasa noho ireo fepetra ireo.

Tetika kely hafa
Ity fitsipika ity dia mandeha araka ny fandaharam-potoana amin'ny 5 ora maraina ary maty amin'ny XNUMX ora maraina, rehefa tena matory ny olona tena izy, ary mbola mifoha ihany ireo mpanangona mandeha ho azy.

/ip firewall filter 
add action=add-src-to-address-list address-list=rdp_blacklist 
    address-list-timeout=1w0d0h0m chain=forward comment=
    "night_rdp_blacklist" connection-state=new disabled=
    yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8

Efa eo amin'ny fifandraisana faha-8, ny IP an'ny mpanafika dia lisitra mainty mandritra ny herinandro. Beauty!

Eny ary, ho fanampin'ny voalaza etsy ambony, dia hampiditra rohy mankany amin'ny lahatsoratra Wiki miaraka amin'ny setup miasa aho mba hiarovana ny Mikrotik amin'ny scanner tambajotra. wiki.mikrotik.com/wiki/Drop_port_scanners

Amin'ny fitaovako, ity fandrindrana ity dia miara-miasa amin'ireo fitsipika momba ny honeypot voalaza etsy ambony, mameno azy ireo tsara.

UPD: Araka ny soso-kevitra ao amin'ny fanehoan-kevitra dia nafindra tany amin'ny RAW ny fitsipiky ny packet mba hampihenana ny enta-mavesatra eo amin'ny router.

Source: www.habr.com