Сакам да споделам со заедницата едноставен и работен начин како да го користите Mikrotik за да ја заштитите вашата мрежа и услугите што „ѕиркаат“ зад неа од надворешни напади. Имено, само три правила за да се организира ханипот на Микротик.
Значи, да замислиме дека имаме мала канцеларија, со надворешна IP адреса зад која има RDP сервер за вработените да работат од далечина. Првото правило е, се разбира, да се смени портата 3389 на надворешниот интерфејс во друга. Но, ова нема да трае долго; по неколку дена, дневникот за ревизија на терминалниот сервер ќе почне да прикажува неколку неуспешни овластувања во секунда од непознати клиенти.
Друга ситуација, имаш скриена ѕвездичка зад Mikrotik, се разбира не на 5060 udp портот, а после неколку дена почнува и пребарувањето на лозинката... да, да, знам, fail2ban ни е се, но сепак мораме работете на тоа... на пример, неодамна го инсталирав на ubuntu 18.04 и бев изненаден кога открив дека out of the box fail2ban не содржи тековни поставки за ѕвездичка од истото поле од истата дистрибуција на ubuntu... и гуглање брзи поставки за готови „рецепти“ веќе не функционираат, бројките за изданија растат со текот на годините, а написите со „рецепти“ за стари верзии веќе не функционираат, а нови речиси никогаш не се појавуваат... Но, се оддалечувам...
Значи, што е honeypot накратко - тоа е honeypot, во нашиот случај, секоја популарна порта на надворешна IP адреса, секое барање до оваа порта од надворешен клиент ја испраќа адресата src на црната листа. Сите.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Првото правило за популарните TCP порти 22, 3389, 8291 на надворешниот интерфејс ether4-wan ја испраќа IP-а „гостин“ до списокот „Honeypot Hacker“ (портите за ssh, rdp и winbox се однапред оневозможени или променети на други). Вториот го прави истото на популарниот UDP 5060.
Третото правило во фазата пред рутирање ги исфрла пакетите од „гости“ чија srs-адреса е вклучена во „Honeypot Hacker“.
По две недели работа со мојот домашен Mikrotik, списокот „Honeypot Hacker“ вклучуваше околу една и пол илјади IP адреси на оние кои сакаат да ги „држат до вимето“ моите мрежни ресурси (дома има моја сопствена телефонија, пошта, Nextcloud, rdp).Нападите со брутална сила престанаа, дојде блаженството.
На работа, не се покажа сè толку едноставно, таму продолжуваат да го кршат серверот rdp со брутално принудување лозинки.
Очигледно, бројот на портата го одредувал скенерот долго пред да се вклучи honeypot, а за време на карантин не е така лесно да се реконфигурираат повеќе од 100 корисници, од кои 20% се постари од 65 години. Во случај кога пристаништето не може да се смени, постои мал работен рецепт. Сум видел нешто слично на Интернет, но има некои дополнителни додатоци и фино подесување:
Правила за конфигурирање на Port Knocking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
За 4 минути, на далечинскиот клиент му е дозволено да направи само 12 нови „барања“ до серверот RDP. Еден обид за најава е од 1 до 4 „барања“. На 12-то „барање“ - блокирање 15 минути. Во мојот случај, напаѓачите не престанаа да го хакираат серверот, се прилагодија на тајмерите и сега го прават тоа многу бавно, таквата брзина на селекција ја намалува ефективноста на нападот на нула. Вработените во компанијата практично не доживуваат непријатности на работа од преземените мерки.
Уште еден мал трик
Ова правило се вклучува според распоредот во 5 часот по полноќ и се исклучува во XNUMX часот по полноќ, кога вистинските луѓе дефинитивно спијат, а автоматизираните избирачи продолжуваат да бидат будни.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Веќе на 8-та врска, IP адресата на напаѓачот е на црна листа една недела. Убавина!
Па, покрај горенаведеното, ќе додадам врска до статија на Вики со работна поставеност за заштита на Mikrotik од мрежни скенери.
На моите уреди, оваа поставка работи заедно со правилата на honeypot опишани погоре, добро надополнувајќи ги.
UPD: Како што е предложено во коментарите, правилото за паѓање пакети е преместено во RAW за да се намали оптоварувањето на рутерот.
Извор: www.habr.com