Микротикийг ашиглан сүлжээгээ болон түүний цаанаас гарч буй үйлчилгээг гадны халдлагаас хамгаалах энгийн бөгөөд үр дүнтэй аргыг олон нийттэй хуваалцахыг хүсч байна. Тухайлбал, Микротик дээр зөгийн балны сав зохион байгуулах гурван дүрэм.
Тиймээс бид жижиг оффистой, гаднах IP хаягтай, ард нь ажилчдаа алсаас ажиллах боломжтой RDP сервертэй гэж төсөөлөөд үз дээ. Мэдээжийн хэрэг эхний дүрэм бол гадаад интерфейс дээрх 3389 портыг өөр портоор солих явдал юм. Гэхдээ энэ нь удаан үргэлжлэхгүй; хэдхэн хоногийн дараа терминал серверийн аудитын бүртгэлд үл мэдэгдэх үйлчлүүлэгчдээс секундэд хэд хэдэн бүтэлгүйтсэн зөвшөөрлүүд гарч эхэлнэ.
Өөр нэг нөхцөл байдал, та Mikrotik-ийн ард одоор нуусан байна, мэдээжийн хэрэг udp 5060 порт дээр биш, мөн хэд хоногийн дараа нууц үг хайлт эхэлдэг ... тиймээ, тийм ээ, би мэднэ, fail2ban бол бидний бүх зүйл, гэхдээ бид ажиллах ёстой хэвээр байна. үүн дээр... жишээ нь би үүнийг саяхан ubuntu 18.04 дээр суулгасан бөгөөд fail2ban нь ижил ubuntu түгээлтийн ижил хайрцгаас одоо байгаа одны тохиргоог агуулаагүйг олж мэдээд гайхсан. Бэлэн "жор" ажиллахаа больсон, хувилбаруудын тоо жил ирэх тусам нэмэгдэж, хуучин хувилбаруудын "жор"-той нийтлэлүүд ажиллахаа больж, шинэ нь бараг хэзээ ч гарч ирэхгүй ... Гэхдээ би ухаж байна ...
Товчхондоо зөгийн бал гэж юу вэ - энэ нь зөгийн бал юм, манай тохиолдолд гадаад IP дээрх ямар ч алдартай порт, гадны үйлчлүүлэгчээс энэ порт руу хийх хүсэлт нь src хаягийг хар жагсаалт руу илгээдэг. Бүгд.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Ether22-wan гадаад интерфейсийн алдартай TCP портууд 3389, 8291, 4-ийн эхний дүрэм нь "зочин" IP-г "Honeypot Hacker" жагсаалт руу илгээдэг (ssh, rdp болон winbox портуудыг урьдчилан идэвхгүй болгосон эсвэл өөрчилсөн). Хоёр дахь нь алдартай UDP 5060 дээр ижил зүйлийг хийдэг.
Урьдчилан чиглүүлэлтийн шатанд байгаа гурав дахь дүрэм нь "Honeypot Hacker"-д srs-хаяг орсон "зочид"-оос пакетуудыг хасдаг.
Миний гэрийн Микротиктэй хоёр долоо хоног ажилласны дараа "Honeypot Hacker" жагсаалтад миний сүлжээний нөөцийг "дөлгөөнөөсөө барих" дуртай хүмүүсийн нэг хагас мянга орчим IP хаягийг оруулсан болно (гэртээ миний утас, шуудан, nextcloud, rdp).Харгис хүчний дайралт зогсч, аз жаргал ирлээ.
Ажил дээрээ бүх зүйл тийм ч энгийн биш байсан тул тэд нууц үгээр rdp серверийг эвдэж байна.
Портын дугаарыг зөгийн бал асаахаас өмнө сканнер тодорхойлсон бололтой, хорио цээрийн үед 100 гаруй хэрэглэгчийг дахин тохируулах нь тийм ч амар биш бөгөөд үүний 20% нь 65-аас дээш насныхан байна. Портыг өөрчлөх боломжгүй тохиолдолд жижиг ажлын жор байдаг. Би Интернэтээс үүнтэй төстэй зүйлийг харсан боловч нэмэлт нэмэлт, нарийн тохируулгатай холбоотой:
Порт тогшихыг тохируулах дүрэм
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
4 минутын дотор алсын үйлчлүүлэгч RDP серверт ердөө 12 шинэ "хүсэлт" хийх боломжтой. Нэг нэвтрэх оролдлого нь 1-ээс 4 "хүсэлт" байна. 12 дахь "хүсэлт" дээр - 15 минутын турш хаах. Миний хувьд халдагчид серверийг хакердахаа больсонгүй, тэд таймеруудад тохируулж, одоо үүнийг маш удаан хийдэг, ийм сонголтын хурд нь халдлагын үр нөлөөг тэг болгож бууруулдаг. Компанийн ажилчид авсан арга хэмжээнүүдийн улмаас ажил дээрээ бараг ямар ч хүндрэл гардаггүй.
Өөр нэг бяцхан заль мэх
Энэ дүрэм нь цагийн хуваарийн дагуу өглөөний 5 цагт асч, өглөөний XNUMX цагт унтардаг бөгөөд энэ үед жинхэнэ хүмүүс унтдаг, автомат сонгогчид сэрүүн хэвээр байна.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Аль хэдийн 8 дахь холболт дээр халдагчийн IP долоо хоногийн турш хар жагсаалтад орсон байна. Гоо сайхан!
Дээр дурдсан зүйлсээс гадна би Микротикийг сүлжээний сканнераас хамгаалах тохиргоотой Wiki нийтлэлийн холбоосыг нэмж оруулах болно.
Миний төхөөрөмж дээр энэ тохиргоо нь дээр дурдсан зөгийн балны дүрмүүдтэй хамт ажилладаг бөгөөд тэдгээрийг сайн нөхдөг.
UPD: Тайлбарт дурдсанчлан чиглүүлэгч дээрх ачааллыг багасгахын тулд пакет буулгах дүрмийг RAW руу шилжүүлсэн.
Эх сурвалж: www.habr.com