Irrid naqsam mal-komunità mod sempliċi u ta' ħidma ta' kif tuża l-Mikrotik biex tipproteġi n-netwerk tiegħek u s-servizzi "peeping out" minn warajh minn attakki esterni. Jiġifieri, tliet regoli biss biex torganizza honeypot fuq Mikrotik.
Allura, ejja nimmaġinaw li għandna uffiċċju żgħir, b'IP estern li warajh hemm server RDP għall-impjegati biex jaħdmu mill-bogħod. L-ewwel regola hija, ovvjament, li tinbidel il-port 3389 fuq l-interface esterna għal ieħor. Iżda dan mhux se jdum ħafna; wara ftit jiem, ir-reġistru tal-verifika tas-server tat-terminal jibda juri diversi awtorizzazzjonijiet falluti kull sekonda minn klijenti mhux magħrufa.
Sitwazzjoni oħra, għandek asterisk moħbi wara Mikrotik, ovvjament mhux fuq il-port 5060 udp, u wara ftit jiem tibda wkoll it-tfittxija tal-password... iva, iva, naf, fail2ban huwa kollox tagħna, imma xorta rridu naħdem fuqha... pereżempju, reċentement installajtha fuq ubuntu 18.04 u kont sorpriż li skoprejt li barra mill-kaxxa fail2ban ma fihx settings attwali għall-asterisk mill-istess kaxxa tal-istess distribuzzjoni ubuntu... u google settings malajr għal "riċetti" lesti m'għadhomx jaħdmu, in-numri għar-rilaxxi qed jikbru matul is-snin, u artikli b'"riċetti" għal verżjonijiet qodma m'għadhomx jaħdmu, u oħrajn ġodda kważi qatt ma jidhru... Imma jien digress...
Allura, x'inhu honeypot fil-qosor - huwa honeypot, fil-każ tagħna, kwalunkwe port popolari fuq IP esterna, kwalunkwe talba lil dan il-port minn klijent estern tibgħat l-indirizz src għal-lista s-sewda. Kollha.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
L-ewwel regola fuq il-portijiet TCP popolari 22, 3389, 8291 tal-interface esterna ether4-wan tibgħat l-IP "mistieden" għal-lista "Honeypot Hacker" (portijiet għal ssh, rdp u winbox huma diżattivati minn qabel jew mibdula għal oħrajn). It-tieni wieħed jagħmel l-istess fuq l-UDP 5060 popolari.
It-tielet regola fl-istadju ta 'qabel ir-routing twaqqa' pakketti minn "mistednin" li l-indirizz srs tagħhom huwa inkluż fil-"Honeypot Hacker".
Wara ġimagħtejn ta 'ħidma ma' dar tiegħi Mikrotik, il-lista "Honeypot Hacker" inkludiet madwar elf u nofs indirizz IP ta 'dawk li jħobbu "jżommu mill-bżieżel" riżorsi tan-netwerk tiegħi (id-dar hemm telefonija tiegħi stess, posta, nextcloud, rdp) L-attakki mill-forza bruta waqfu, waslet il-ferħ.
Fuq ix-xogħol, mhux kollox irriżulta li kien daqshekk sempliċi, hemmhekk ikomplu jkissru s-server rdp permezz ta 'passwords brute-forcing.
Apparentement, in-numru tal-port kien iddeterminat mill-iskaner ħafna qabel ma l-honeypot inxtegħel, u matul il-kwarantina mhuwiex daqshekk faċli li terġa 'tikkonfigura aktar minn 100 utent, li minnhom 20% għandhom aktar minn 65 sena. Fil-każ meta l-port ma jistax jinbidel, hemm riċetta ta 'ħidma żgħira. Rajt xi ħaġa simili fuq l-Internet, iżda hemm xi żieda addizzjonali u rfinar involuti:
Regoli għall-konfigurazzjoni ta' Port Knocking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
F'4 minuti, il-klijent remot huwa permess li jagħmel biss 12-il "talba" ġdida lis-server RDP. Tentattiv wieħed ta' login huwa minn 1 sa 4 "talbiet". Fit-12-il "talba" - imblukkar għal 15-il minuta. Fil-każ tiegħi, l-attakkanti ma waqfux hacking-server, huma aġġustati għall-tajmers u issa jagħmlu dan bil-mod ħafna, tali veloċità ta 'għażla tnaqqas l-effettività ta' l-attakk għal żero. L-impjegati tal-kumpanija prattikament ma jesperjenzaw l-ebda inkonvenjent fuq ix-xogħol mill-miżuri meħuda.
Trick ieħor żgħir
Din ir-regola tixgħel skont skeda fis-5 a.m. u tintefa fil-XNUMX a.m., meta n-nies reali jkunu definittivament reqdin, u dawk li jtellgħu awtomatizzati jibqgħu mqajmin.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Diġà fit-8 konnessjoni, l-IP tal-attakkant huwa blacklisted għal ġimgħa. Sbuħija!
Ukoll, minbarra dan ta 'hawn fuq, ser inżid link għal artiklu Wiki b'setup ta' ħidma għall-protezzjoni ta 'Mikrotik minn skaners tan-netwerk.
Fuq it-tagħmir tiegħi, dan is-setting jaħdem flimkien mar-regoli tal-honeypot deskritti hawn fuq, u jikkumplimentahom tajjeb.
UPD: Kif issuġġerit fil-kummenti, ir-regola tal-waqgħa tal-pakkett ġiet imċaqalqa għal RAW biex tnaqqas it-tagħbija fuq ir-router.
Sors: www.habr.com