زه غواړم له ټولنې سره یوه ساده او کاري لاره شریکه کړم چې څنګه د مایکروټیک کارولو څرنګوالی ستاسو د شبکې او خدماتو څخه د بهرنۍ بریدونو څخه د هغې شاته "څیړونکي" خوندي کولو لپاره کارول کیږي. د بیلګې په توګه، په مایکروټیک کې د شاتو کڅوړې تنظیم کولو لپاره یوازې درې مقررات.
نو ، راځئ تصور وکړو چې موږ یو کوچنی دفتر لرو ، د بهرني IP سره چې شاته د کارمندانو لپاره د RDP سرور شتون لري ترڅو لیرې کار وکړي. لومړی قاعده ، البته ، په بهرني انٹرفیس کې د 3389 پورټ بل ته بدلول دي. مګر دا به اوږده نه وي؛ د څو ورځو وروسته، د ټرمینل سرور پلټنې لاګ به په هر ثانیه کې د نامعلومو پیرودونکو څخه د څو ناکامو واکونو ښودلو پیل وکړي.
یو بل حالت ، تاسو د مایکروټیک شاته ستوری پټ کړی دی ، البته په 5060 udp پورټ کې نه ، او یو څو ورځې وروسته د پټنوم لټون هم پیل کیږي ... هو ، هو ، زه پوهیږم ، fail2ban زموږ هرڅه دي ، مګر موږ لاهم اړتیا لرو. په دې باندې کار وکړئ ... د مثال په توګه، ما پدې وروستیو کې په اوبنټو 18.04 کې نصب کړ او حیران شوم چې معلومه کړم چې د بکس څخه بهر ناکام 2بان د ورته اوبنټو توزیع د ورته بکس څخه د ستوري لپاره اوسني ترتیبات نلري ... او د چټک ترتیباتو ګوګل کول د چمتو شوي "ترکیبونو" لپاره نور کار نه کوي، د ریلیزونو شمیر د کلونو په اوږدو کې وده کوي، او د پخوانیو نسخو لپاره د "ترکیبونو" سره مقالې نور کار نه کوي، او نوي تقریبا هیڅکله نه ښکاري ... مګر زه فکر کوم ...
نو ، په لنډه توګه د شاتو پاټ څه شی دی - دا د شاتو پاټ دی ، زموږ په قضیه کې ، په بهرني IP کې کوم مشهور بندر ، د بهرني پیرودونکي څخه دې بندر ته کومه غوښتنه د src پته تور لیست ته لیږي. ټول.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
د Ether22-wan بهرني انٹرفیس 3389، 8291، 4 مشهور TCP بندرونو کې لومړی قاعده د "میلمه" IP د "هني پوټ هیکر" لیست ته لیږي (د ssh، rdp او winbox لپاره بندرونه دمخه غیر فعال شوي یا نورو ته بدل شوي). دوهم یې په مشهور UDP 5060 کې ورته کوي.
دریمه قاعده د پری روټینګ مرحله کې د "میلمنو" څخه پاکټونه راوباسي چې د srs پته په "هني پوټ هیکر" کې شامله ده.
زما د کور مایکروټیک سره د دوه اونیو کار کولو وروسته، د "هني پوټ هیکر" لیست کې د هغو کسانو شاوخوا یو نیم زره IP پتې شاملې وې چې زما د شبکې سرچینې "د غالۍ په واسطه ساتل" غواړي (په کور کې زما خپل تلیفوني، بریښنالیک، Nextcloud, rdp).د وحشي ځواک بریدونه ودرول شول، خوښي راغله.
په کار کې، هر څه دومره ساده نه و، هلته دوی د وحشي جبري پاسورډونو په واسطه د rdp سرور ماتولو ته دوام ورکوي.
په ښکاره ډول، د پورټ شمیره د سکینر لخوا ټاکل شوې وه مخکې له دې چې د شاتو پته فعاله شي، او د قرنطین په جریان کې د 100 څخه ډیر کاروونکي بیا تنظیم کول دومره اسانه ندي، چې 20٪ یې د 65 کلونو څخه ډیر عمر لري. په هغه حالت کې چې بندر نشي بدلیدلی، یو کوچنی کاري ترکیب شتون لري. ما په انټرنیټ کې ورته یو څه لیدلي، مګر یو څه اضافي اضافه او ښه ټینګ پکې شامل دي:
د پورټ نوکنګ تنظیم کولو قواعد
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
په 4 دقیقو کې، ریموټ پیرودونکي ته اجازه ورکول کیږي چې د RDP سرور ته یوازې 12 نوې "غوښتنې" وکړي. د ننوتلو یوه هڅه له 1 څخه تر 4 "غوښتنو" پورې ده. په 12 "غوښتنه" کې - د 15 دقیقو لپاره بلاک کول. زما په قضیه کې ، برید کونکو د سرور هیک کولو مخه نه ده نیولې ، دوی ټایمرونو ته تنظیم کړي او اوس یې خورا ورو ترسره کوي ، د انتخاب دا ډول سرعت د برید تاثیر صفر ته کموي. د شرکت کارمندان د اخیستل شوي اقداماتو څخه په کار کې واقعیا هیڅ تکلیف نه تجربه کوي.
یو بل کوچنی چال
دا قاعده د مهالویش سره سم د ماسپښین په 5 بجو پیل کیږي او د سهار په XNUMX بجو بندیږي ، کله چې ریښتیني خلک په خوب کې وي ، او اتوماتیک غوره کونکي ویښ وي.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8
دمخه په اتمه اړیکه کې ، د برید کونکي IP د یوې اونۍ لپاره تور لیست شوی دی. ښکلا!
ښه ، د پورتنۍ سربیره ، زه به د ویکي مقالې ته لینک اضافه کړم چې د شبکې سکینرونو څخه د مایکروټیک خوندي کولو لپاره کاري تنظیم سره.
زما په وسیلو کې ، دا ترتیب د شاتو پوټ مقرراتو سره یوځای کار کوي چې پورته بیان شوي ، دوی ښه بشپړوي.
UPD: لکه څنګه چې په نظرونو کې وړاندیز شوی ، د پاکټ ډراپ قاعده RAW ته لیږدول شوې ترڅو په روټر کې بار کم کړي.
سرچینه: www.habr.com