Jeg ønsker å dele med fellesskapet en enkel og fungerende måte å bruke Mikrotik for å beskytte nettverket ditt og tjenestene som "kikker ut" bak det fra eksterne angrep. Nemlig bare tre regler for å organisere en honningkrukke på Mikrotik.
Så, la oss forestille oss at vi har et lite kontor, med en ekstern IP bak som det er en RDP-server som ansatte kan jobbe eksternt. Den første regelen er selvfølgelig å endre port 3389 på det eksterne grensesnittet til en annen. Men dette vil ikke vare lenge; etter et par dager vil terminalserverens revisjonslogg begynne å vise flere mislykkede autorisasjoner per sekund fra ukjente klienter.
En annen situasjon, du har en stjerne gjemt bak Mikrotik, selvfølgelig ikke på 5060 udp-porten, og etter et par dager begynner også passordsøket... ja, ja, jeg vet, fail2ban er alt, men vi må fortsatt jobb med det ... for eksempel installerte jeg det nylig på ubuntu 18.04 og ble overrasket over å oppdage at ut av esken fail2ban ikke inneholder gjeldende innstillinger for stjerne fra samme boks med samme ubuntu-distribusjon ... og google hurtiginnstillinger for ferdiglagde "oppskrifter" fungerer ikke lenger, tallene for utgivelser vokser med årene, og artikler med "oppskrifter" for gamle versjoner fungerer ikke lenger, og nye dukker nesten aldri opp... Men jeg ser bort fra...
Så, hva er en honeypot i et nøtteskall - det er en honeypot, i vårt tilfelle, enhver populær port på en ekstern IP, enhver forespørsel til denne porten fra en ekstern klient sender src-adressen til svartelisten. Alle.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Den første regelen på populære TCP-porter 22, 3389, 8291 i det eksterne ether4-wan-grensesnittet sender "gjeste"-IP-en til "Honeypot Hacker"-listen (porter for ssh, rdp og winbox er deaktivert på forhånd eller endret til andre). Den andre gjør det samme på den populære UDP 5060.
Den tredje regelen på forhåndsrutingsstadiet slipper pakker fra "gjester" hvis srs-adresse er inkludert i "Honeypot Hacker".
Etter to ukers arbeid med hjemmet mitt Mikrotik, inkluderte "Honeypot Hacker"-listen omtrent halvannet tusen IP-adresser til de som liker å "holde ved juret" nettverksressursene mine (hjemme er det min egen telefoni, post, nextcloud, rdp.) Brute-force angrep stoppet, lykken kom.
På jobben viste ikke alt seg å være så enkelt, der fortsetter de å bryte rdp-serveren med brute-forcing passord.
Tilsynelatende ble portnummeret bestemt av skanneren lenge før honningpotten ble slått på, og under karantene er det ikke så lett å rekonfigurere mer enn 100 brukere, hvorav 20 % er over 65 år. I tilfellet når porten ikke kan endres, er det en liten fungerende oppskrift. Jeg har sett noe lignende på Internett, men det er noen tillegg og finjustering involvert:
Regler for konfigurering av portbanking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
På 4 minutter har den eksterne klienten lov til å gjøre bare 12 nye "forespørsler" til RDP-serveren. Ett påloggingsforsøk er fra 1 til 4 "forespørsler". Ved 12. "forespørsel" - blokkering i 15 minutter. I mitt tilfelle sluttet ikke angriperne å hacke serveren, de tilpasset seg tidtakerne og gjør det nå veldig sakte, en slik hastighet reduserer angrepets effektivitet til null. Selskapets ansatte opplever praktisk talt ingen ulemper på jobben av tiltakene som er iverksatt.
Et annet lite triks
Denne regelen slås på i henhold til en tidsplan klokken 5 og slås av klokken XNUMX, når virkelige mennesker definitivt sover, og automatiske plukkere fortsetter å være våkne.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Allerede på den åttende tilkoblingen er angriperens IP svartelistet i en uke. Skjønnhet!
Vel, i tillegg til det ovennevnte, vil jeg legge til en lenke til en Wiki-artikkel med et fungerende oppsett for å beskytte Mikrotik mot nettverksskannere.
På enhetene mine fungerer denne innstillingen sammen med honeypot-reglene beskrevet ovenfor, og utfyller dem godt.
UPD: Som foreslått i kommentarene, er pakkeslippregelen flyttet til RAW for å redusere belastningen på ruteren.
Kilde: www.habr.com