သင့်ကွန်ရက်နှင့် ပြင်ပတိုက်ခိုက်မှုများမှ “နောက်ကွယ်မှ ပေါက်ထွက်နေသည်” ဝန်ဆောင်မှုများကို ကာကွယ်ရန်အတွက် Mikrotik အသုံးပြုနည်းကို ရိုးရှင်းပြီး လုပ်ဆောင်နည်းကို အသိုင်းအဝိုင်းနှင့် မျှဝေလိုပါသည်။ ပြောရရင်၊ Mikrotik မှာ ပျားရည်အိုးကို စုစည်းဖို့ စည်းမျဉ်းသုံးခုပဲရှိတယ်။
ထို့ကြောင့်၊ ဝန်ထမ်းများအဝေးမှအလုပ်လုပ်ရန် RDP ဆာဗာပါရှိသော နောက်ကွယ်တွင် ပြင်ပ IP တစ်ခုပါရှိသော ရုံးခန်းငယ်တစ်ခုရှိသည်ကို စိတ်ကူးကြည့်ကြပါစို့။ ပထမစည်းမျဉ်းမှာ ပြင်ပအင်တာဖေ့စ်ပေါ်ရှိ port 3389 ကို အခြားတစ်ခုသို့ ပြောင်းရန်ဖြစ်သည်။ သို့သော် ၎င်းသည် ကြာရှည်မည်မဟုတ်ပါ၊ ရက်အနည်းငယ်ကြာပြီးနောက်၊ terminal server စစ်ဆေးမှုမှတ်တမ်းသည် အမည်မသိဖောက်သည်များထံမှ တစ်စက္ကန့်လျှင် မအောင်မြင်သောခွင့်ပြုချက်များစွာကို ပြသမည်ဖြစ်သည်။
အခြားအခြေအနေတစ်ခုတွင်၊ သင့်တွင် Mikrotik ၏နောက်ကွယ်တွင် ကြယ်ပွင့်ရှိနေသည်၊ 5060 udp port တွင်မဟုတ်ပါ၊ ရက်အနည်းငယ်အကြာတွင် စကားဝှက်ရှာဖွေမှုလည်းစတင်တော့သည်... ဟုတ်ကဲ့၊ ဟုတ်ကဲ့၊ ကျွန်တော်သိပါတယ်၊ fail2ban ကကျွန်ုပ်တို့ရဲ့အရာအားလုံးပါပဲ၊ ဒါပေမယ့်ကျွန်တော်တို့လုပ်ရမှာကကျန်ပါသေးတယ်။ ၎င်းကိုလုပ်ဆောင်ပါ... ဥပမာအားဖြင့်၊ ကျွန်ုပ်သည် ၎င်းကို ubuntu 18.04 တွင် မကြာသေးမီက ထည့်သွင်းခဲ့ပြီး fail2ban ဘောက်စ်တွင် တူညီသော ubuntu ဖြန့်ဖြူးမှု၏ တူညီသောအကွက်မှ ကြယ်ပွင့်များအတွက် လက်ရှိဆက်တင်များမပါဝင်သည်ကို တွေ့ရှိလိုက်ရသည့်အတွက် အံ့အားသင့်ခဲ့ရပါသည်။ အဆင်သင့်လုပ်ထားသော "ချက်ပြုတ်နည်းများ" အလုပ်မဖြစ်တော့ဘဲ၊ ထုတ်ဝေမှုအရေအတွက်များလာသည်နှင့်အမျှ ဗားရှင်းအဟောင်းများအတွက် "ချက်ပြုတ်နည်းများ" ပါသော ဆောင်းပါးများသည် အလုပ်မဖြစ်တော့ဘဲ အသစ်များပေါ်လာတော့မည်မဟုတ်ပါ... သို့သော် ကျွန်တော်စိတ်မကူးရဲတော့ပါ...
ဒီတော့ အတိုချုပ်ပြောရရင် ပျားရည်အိုးဆိုတာ ပျားရည်အိုးပဲ၊ ငါတို့ကိစ္စမှာ၊ ပြင်ပ IP ပေါ်ရှိ ရေပန်းစားတဲ့ ဆိပ်ကမ်းက ပြင်ပကလိုင်းယင့်ဆီက တောင်းဆိုချက်မှန်သမျှကို src လိပ်စာကို အမည်ပျက်စာရင်းထဲ ပို့ပေးတယ်။ အားလုံး။
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
ether22-wan ပြင်ပအင်တာဖေ့စ်၏ လူကြိုက်များသော TCP အပေါက် 3389၊ 8291၊ 4 ရှိ ပထမစည်းမျဉ်းတွင် "ဧည့်သည်" IP ကို "Honeypot Hacker" စာရင်းသို့ ပို့သည် (ssh၊ rdp နှင့် winbox အတွက် ဆိပ်ကမ်းများကို ကြိုတင်ပိတ်ထားသည် သို့မဟုတ် အခြားသို့ ပြောင်းထားသည်)။ ဒုတိယတစ်ခုသည် လူကြိုက်များသော UDP 5060 တွင် အလားတူလုပ်ဆောင်သည်။
ကြိုတင်လမ်းကြောင်းသတ်မှတ်ခြင်းအဆင့်တွင် တတိယစည်းမျဉ်းသည် “Honeypot Hacker” တွင် srs-လိပ်စာပါဝင်သည့် “ဧည့်သည်များ” မှ ပက်ကေ့ခ်ျများကို ချပေးသည်။
ကျွန်ုပ်၏အိမ် Mikrotik နှင့် နှစ်ပတ်ကြာအလုပ်လုပ်ပြီးနောက်၊ "Honeypot Hacker" စာရင်းတွင် ကျွန်ုပ်၏ကွန်ရက်ရင်းမြစ်များကို “နို့အုံဖြင့်ကိုင်ထား” ချင်သူများ၏ IP လိပ်စာပေါင်း တစ်ထောင်ခွဲခန့်ပါဝင်သည် (အိမ်တွင် ကျွန်ုပ်၏ကိုယ်ပိုင်တယ်လီဖုန်း၊ မေးလ်၊ nextcloud၊ rdp)) ရက်စက်ကြမ်းကြုတ်သော တိုက်ခိုက်မှုများ ရပ်သွားကာ ပျော်ရွှင်မှု ရောက်ရှိလာသည်။
အလုပ်တွင်၊ အရာအားလုံးသည် ဤမျှရိုးရှင်းသည်မဟုတ်ပါ၊ ထိုနေရာတွင် ၎င်းတို့သည် brute-force passwords များဖြင့် rdp server ကို ဆက်လက်ချိုးဖျက်နေပါသည်။
ဟန်းနီးအိုးမဖွင့်မီ ဆိပ်ကမ်းနံပါတ်ကို စကင်နာမှ ဆုံးဖြတ်ခဲ့ခြင်းဖြစ်ပြီး quarantine ကာလအတွင်း အသုံးပြုသူ 100 ကျော်ကို ပြန်လည်ဖွဲ့စည်းရန် 20% သည် အသက် 65 နှစ်ကျော်ပါက မလွယ်ကူလှပေ။ ဆိပ်ကမ်းကို မပြောင်းနိုင်သောအခါတွင်၊ အလုပ်လုပ်သည့် စာရွက်ငယ်တစ်ခု ရှိပါသည်။ အင်တာနက်မှာ အလားတူတစ်ခုခုကို တွေ့ဖူးပါတယ်၊ ဒါပေမယ့် ထပ်လောင်းထပ်တိုးနဲ့ ချိန်ညှိမှု ပါ၀င်ပါတယ်။
Port Knocking ကို ပြင်ဆင်သတ်မှတ်ခြင်းအတွက် စည်းမျဉ်းများ
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
4 မိနစ်အတွင်း၊ အဝေးထိန်းဖောက်သည်သည် RDP ဆာဗာသို့ "တောင်းဆိုချက်" အသစ် 12 ခုသာပြုလုပ်ခွင့်ပြုထားသည်။ အကောင့်ဝင်ရန် ကြိုးပမ်းမှုတစ်ခုသည် “တောင်းဆိုမှုများ” မှ 1 မှ 4 အထိဖြစ်သည်။ 12th "တောင်းဆိုချက်" တွင် - 15 မိနစ်ကြာပိတ်ဆို့ခြင်း။ ကျွန်ုပ်၏အခြေအနေတွင်၊ တိုက်ခိုက်သူများသည် ဆာဗာကို ဟက်ကင်းမရပ်တန့်ဘဲ၊ အချိန်တိုင်းကိရိယာများနှင့်အညီ ချိန်ညှိကာ ယခုအခါ အလွန်နှေးကွေးစွာပြုလုပ်သည်၊ ထိုသို့သောရွေးချယ်မှုအမြန်နှုန်းသည် တိုက်ခိုက်မှု၏ထိရောက်မှုကို သုညအထိလျှော့ချပေးပါသည်။ ကုမ္ပဏီဝန်ထမ်းများသည် အရေးယူဆောင်ရွက်မှုများမှ လုပ်ငန်းခွင်တွင် အဆင်မပြေမှု မရှိသလောက် နည်းပါးပါသည်။
နောက်ထပ် လှည့်ကွက်လေးပါ။
ဤစည်းမျဉ်းသည် နံနက် 5 နာရီတွင် အစီအစဉ်အတိုင်းဖွင့်ပြီး လူအစစ်အမှန်များ အိပ်ပျော်သွားသောအခါတွင် XNUMX နာရီတွင် ပိတ်မည်ဖြစ်ပြီး အလိုအလျောက်ရွေးချယ်သူများသည် ဆက်လက်နိုးနေပါသည်။
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage88th ချိတ်ဆက်မှုတွင်ရှိပြီး၊ တိုက်ခိုက်သူ၏ IP ကို တစ်ပတ်ကြာ နာမည်ပျက်စာရင်းသွင်းထားသည်။ အလှအပ!
ကောင်းပြီ၊ အထက်ဖော်ပြပါအပြင်၊ ကွန်ရက်စကင်နာများမှ Mikrotik ကိုကာကွယ်ရန်အတွက် အလုပ်လုပ်သည့်စနစ်ထည့်သွင်းမှုပါရှိသော Wiki ဆောင်းပါးတစ်ခုသို့ လင့်ခ်တစ်ခုထပ်ထည့်ပါမည်။
ကျွန်ုပ်၏စက်ပစ္စည်းများတွင်၊ ဤဆက်တင်သည် အထက်တွင်ဖော်ပြထားသော Honeypot စည်းမျဉ်းများနှင့် ကောင်းစွာလုပ်ဆောင်နိုင်ပြီး ၎င်းတို့ကို ကောင်းစွာဖြည့်စွက်ထားသည်။
UPD- မှတ်ချက်များတွင် အကြံပြုထားသည့်အတိုင်း၊ Router ပေါ်ရှိဝန်အားလျှော့ချရန်အတွက် ပက်ကတ်ချပေးသည့်စည်းမျဉ်းကို RAW သို့ ရွှေ့ထားသည်။
source: www.habr.com