🥇तुमच्या मिक्रोटिकला हल्ल्यांपासून वाचवण्याचा सोपा मार्ग

तुमचे नेटवर्क आणि बाह्य हल्ल्यांपासून "डोकावून पाहणाऱ्या" सेवांचे संरक्षण करण्यासाठी Mikrotik चा वापर कसा करायचा याचा एक सोपा आणि कार्यरत मार्ग मला समुदायासोबत शेअर करायचा आहे. बहुदा, Mikrotik वर एक honeypot आयोजित करण्यासाठी फक्त तीन नियम.

तर, कल्पना करूया की आमचे एक छोटे कार्यालय आहे, ज्यामध्ये बाह्य IP आहे ज्याच्या मागे कर्मचाऱ्यांना दूरस्थपणे काम करण्यासाठी RDP सर्व्हर आहे. पहिला नियम, अर्थातच, बाह्य इंटरफेसवरील पोर्ट 3389 दुसऱ्यामध्ये बदलणे आहे. परंतु हे फार काळ टिकणार नाही; काही दिवसांनंतर, टर्मिनल सर्व्हर ऑडिट लॉग अज्ञात क्लायंटकडून प्रति सेकंद अनेक अयशस्वी अधिकृतता दर्शवण्यास प्रारंभ करेल.

दुसरी परिस्थिती, तुमच्याकडे Mikrotik च्या मागे तारांकन लपलेले आहे, अर्थातच 5060 udp पोर्टवर नाही, आणि काही दिवसांनी पासवर्ड शोधणे देखील सुरू होते... होय, होय, मला माहित आहे, fail2ban हे आमचे सर्वस्व आहे, परंतु आम्हाला अजूनही करावे लागेल त्यावर कार्य करा... उदाहरणार्थ, मी नुकतेच ते उबंटू १८.०४ वर स्थापित केले आहे आणि हे जाणून आश्चर्य वाटले की आउट ऑफ द बॉक्स fail18.04ban मध्ये त्याच उबंटू वितरणाच्या त्याच बॉक्समधील तारांकनासाठी वर्तमान सेटिंग्ज नाहीत... आणि द्रुत सेटिंग्ज गुगल करत आहेत. तयार “पाककृती” यापुढे काम करत नाहीत, वर्षानुवर्षे प्रकाशनांची संख्या वाढत आहे, आणि जुन्या आवृत्त्यांसाठी “पाककृती” असलेले लेख यापुढे काम करत नाहीत आणि नवीन जवळजवळ कधीच दिसत नाहीत... पण मी विषयांतर करतो...

तर, थोडक्यात हनीपॉट म्हणजे काय - हा एक हनीपॉट आहे, आमच्या बाबतीत, बाह्य आयपीवरील कोणतेही लोकप्रिय पोर्ट, बाह्य क्लायंटकडून या पोर्टची कोणतीही विनंती src पत्ता ब्लॅकलिस्टमध्ये पाठवते. सर्व.

/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker" 
    address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox" 
    connection-state=new dst-port=22,3389,8291 in-interface=
    ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker" 
    address-list-timeout=30d0h0m chain=input comment=
    "block honeypot asterisk" connection-state=new dst-port=5060 
    in-interface=ether4-wan protocol=udp 
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
    "Honeypot Hacker"

इथर22-वान बाह्य इंटरफेसच्या लोकप्रिय TCP पोर्ट्स 3389, 8291, 4 वरील पहिला नियम “अतिथी” आयपीला “हनीपॉट हॅकर” सूचीमध्ये पाठवतो (ssh, rdp आणि winbox साठी पोर्ट आगाऊ अक्षम केले जातात किंवा इतरांसाठी बदलले जातात). दुसरा लोकप्रिय UDP 5060 वर तेच करतो.

प्री-राउटिंग स्टेजवरील तिसरा नियम "अतिथी" कडून पॅकेट सोडतो ज्यांचा srs-पत्ता "हनीपॉट हॅकर" मध्ये समाविष्ट आहे.

माझ्या घरच्या Mikrotik सोबत दोन आठवडे काम केल्यानंतर, “हनीपॉट हॅकर” यादीत ज्यांना माझे नेटवर्क संसाधने “कासे धरून” ठेवायला आवडतात त्यांच्या सुमारे दीड हजार आयपी पत्त्यांचा समावेश आहे (घरी माझा स्वतःचा टेलिफोनी, मेल आहे, nextcloud, rdp). क्रूट-फोर्स हल्ले थांबले, आनंद आला.

कामावर, सर्वकाही इतके सोपे झाले नाही, तेथे ते ब्रूट-फोर्सिंग पासवर्डद्वारे आरडीपी सर्व्हर तोडणे सुरू ठेवतात.

वरवर पाहता, हनीपॉट चालू होण्याच्या खूप आधी स्कॅनरद्वारे पोर्ट क्रमांक निर्धारित केला गेला होता आणि अलग ठेवण्याच्या काळात 100 पेक्षा जास्त वापरकर्ते पुन्हा कॉन्फिगर करणे इतके सोपे नाही, त्यापैकी 20% 65 वर्षांपेक्षा जास्त वयाचे आहेत. अशा परिस्थितीत जेव्हा पोर्ट बदलता येत नाही, तेथे एक लहान कार्यरत कृती आहे. मी इंटरनेटवर असेच काहीतरी पाहिले आहे, परंतु त्यात काही अतिरिक्त जोडणे आणि उत्कृष्ट ट्यूनिंग समाविष्ट आहे:

पोर्ट नॉकिंग कॉन्फिगर करण्यासाठी नियम

 /ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist 
    address-list-timeout=15m chain=forward comment=rdp_to_blacklist 
    connection-state=new dst-port=3389 protocol=tcp src-address-list=
    rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5 
    address-list-timeout=4m chain=forward connection-state=new dst-port=
    3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4 
    address-list-timeout=4m chain=forward connection-state=new dst-port=
    3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1 
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 
    protocol=tcp 
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist

4 मिनिटांत, रिमोट क्लायंटला RDP सर्व्हरला फक्त 12 नवीन "विनंती" करण्याची परवानगी आहे. एक लॉगिन प्रयत्न 1 ते 4 "विनंती" पर्यंत आहे. 12 व्या "विनंती" वर - 15 मिनिटांसाठी अवरोधित करणे. माझ्या बाबतीत, हल्लेखोरांनी सर्व्हर हॅक करणे थांबवले नाही, त्यांनी टाइमरशी जुळवून घेतले आणि आता ते खूप हळू केले, अशा निवडीची गती हल्ल्याची प्रभावीता शून्यावर कमी करते. घेतलेल्या उपाययोजनांमुळे कंपनीच्या कर्मचाऱ्यांना कामावर अक्षरशः कोणतीही गैरसोय होत नाही.

आणखी एक छोटी युक्ती
हा नियम शेड्यूलनुसार सकाळी 5 वाजता सुरू होतो आणि सकाळी XNUMX वाजता बंद होतो, जेव्हा खरे लोक झोपलेले असतात आणि स्वयंचलित पिकर्स जागृत असतात.

/ip firewall filter 
add action=add-src-to-address-list address-list=rdp_blacklist 
    address-list-timeout=1w0d0h0m chain=forward comment=
    "night_rdp_blacklist" connection-state=new disabled=
    yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8

आधीच 8 व्या कनेक्शनवर, आक्रमणकर्त्याचा IP एका आठवड्यासाठी काळ्या यादीत टाकला आहे. सौंदर्य!

बरं, वरील व्यतिरिक्त, मी नेटवर्क स्कॅनरपासून Mikrotik चे संरक्षण करण्यासाठी कार्यरत सेटअपसह Wiki लेखाची लिंक जोडेन. wiki.mikrotik.com/wiki/Drop_port_scanners

माझ्या डिव्हाइसेसवर, ही सेटिंग वर वर्णन केलेल्या हनीपॉट नियमांसह एकत्रितपणे कार्य करते, त्यांना चांगले पूरक करते.

UPD: टिप्पण्यांमध्ये सुचवल्याप्रमाणे, राउटरवरील भार कमी करण्यासाठी पॅकेट ड्रॉप नियम RAW मध्ये हलविला गेला आहे.

स्त्रोत: www.habr.com

आपल्या मिक्रोटिकला हल्ल्यांपासून वाचवण्याचा एक सोपा मार्ग

एक टिप्पणी जोडा Отменить ответ