مان ڪميونٽي سان حصيداري ڪرڻ چاهيان ٿو هڪ سادو ۽ ڪم ڪندڙ طريقو جيڪو Mikrotik ڪيئن استعمال ڪجي توهان جي نيٽ ورڪ کي بچائڻ لاءِ ۽ خدمتن کي ”جھانڪندڙ“ ان جي پويان ٻاهرين حملن کان. يعني، Mikrotik تي هڪ honeypot کي منظم ڪرڻ لاء صرف ٽي ضابطا.
تنهن ڪري، اچو ته تصور ڪريو ته اسان وٽ هڪ ننڍڙي آفيس آهي، هڪ ٻاهرين IP سان، جنهن جي پويان هڪ RDP سرور آهي ملازمن لاءِ ڪم ڪرڻ لاءِ پري کان. پهريون قاعدو، يقينا، بندرگاهه 3389 کي تبديل ڪرڻ لاء ٻاهرين انٽرفيس تي هڪ ٻئي ڏانهن. پر اهو ڊگهو نه ٿيندو؛ ڪجهه ڏينهن کان پوءِ، ٽرمينل سرور آڊٽ لاگ اڻڄاتل ڪلائنٽ کان في سيڪنڊ ۾ ڪيترائي ناڪام اختيار ڏيکارڻ شروع ڪندو.
ٻي صورتحال، توهان Mikrotik جي پويان لڪايو آهي، يقيناً 5060 udp پورٽ تي نه آهي، ۽ ڪجهه ڏينهن کان پوءِ پاسورڊ جي ڳولا به شروع ٿي ويندي آهي... ها، ها، مون کي خبر آهي، fail2ban اسان جو سڀ ڪجهه آهي، پر اسان کي اڃا تائين ڪرڻو آهي. ان تي ڪم ڪريو... مثال طور، مون تازو ئي ان کي ubuntu 18.04 تي انسٽال ڪيو آهي ۽ اهو ڏسي حيران ٿي ويس ته آئوٽ آف دي باڪس fail2ban ساڳئي ubuntu ڊسٽريبيوشن جي ساڳئي باڪس مان اسٽرڪ لاءِ موجوده سيٽنگن تي مشتمل ناهي... ۽ جلدي سيٽنگون گوگل ڪندي تيار ٿيل "ترڪيبون" لاءِ هاڻي ڪم نٿو ڪري، رليز جا انگ سالن کان وڌي رهيا آهن، ۽ پراڻن نسخن لاءِ "ترڪيبون" سان گڏ آرٽيڪل هاڻي ڪم نه ڪندا آهن، ۽ نوان تقريبا ڪڏهن به ظاهر نه ٿيندا آهن ... پر مان سمجهان ٿو ...
تنهن ڪري، مختصر ۾ هڪ honeypot ڇا آهي - اهو هڪ honeypot آهي، اسان جي صورت ۾، ڪنهن به مشهور بندرگاهن هڪ ٻاهرين IP تي، ڪنهن ٻاهرين ڪلائنٽ کان هن بندرگاهه جي ڪا به درخواست موڪلي ٿو src ايڊريس بليڪ لسٽ ۾. سڀ.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
مشهور TCP بندرگاهن تي پهريون قاعدو 22، 3389، 8291 ether4-wan ٻاهرين انٽرفيس جي "مهمان" IP کي "Honeypot Hacker" لسٽ ڏانهن موڪلي ٿو (ssh، rdp ۽ winbox لاء بندرگاهن اڳ ۾ بند ٿيل آهن يا ٻين ڏانهن تبديل ٿيل آهن). ٻيو ساڳيو ئي ڪري ٿو مشهور UDP 5060 تي.
ٽيون قاعدو پري روٽنگ اسٽيج تي ”مهمانن“ جا پيڪيٽ ڇڏيا ويندا آهن جن جي ايس آر ايس ايڊريس ”هني پوٽ هيڪر“ ۾ شامل آهي.
ٻن هفتن کان پوءِ منهنجي گهر ميڪروٽڪ سان ڪم ڪرڻ کان پوءِ، ”هني پاٽ هيڪر“ لسٽ ۾ انهن ماڻهن جا اٽڪل ساڍا ٽي هزار IP پتا شامل هئا جيڪي منهنجي نيٽ ورڪ وسيلن کي ”هڪڙي رکڻ“ پسند ڪندا آهن (گهر ۾ منهنجو پنهنجو ٽيليفون، ميل، ايندڙ ڪلائوڊ، آر ڊي پي).
ڪم تي، هر شيء ايترو سادو نه ٿي سگهيو، اتي اهي آر ڊي پي سرور کي ٽوڙڻ جاري رکندا brute-مجبور پاسورڊ ذريعي.
بظاهر، بندرگاهه نمبر اسڪينر طرفان هني پاٽ جي آن ٿيڻ کان گهڻو اڳ طئي ڪيو ويو هو، ۽ قرنطين دوران 100 کان وڌيڪ صارفين کي ٻيهر ترتيب ڏيڻ ايترو آسان ناهي، جن مان 20 سيڪڙو 65 سالن کان مٿي آهن. ان صورت ۾ جڏهن پورٽ تبديل نه ٿي ڪري سگھجي، اتي ھڪڙو ننڍڙو ڪم ڪندڙ طريقو آھي. مون انٽرنيٽ تي ڪجهه ساڳيو ڏٺو آهي، پر ان ۾ ڪجهه اضافي اضافو ۽ سٺي ٽيوننگ شامل آهي:
پورٽ ڪنڪنگ کي ترتيب ڏيڻ لاءِ ضابطا
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
4 منٽن ۾، ريموٽ ڪلائنٽ کي آر ڊي پي سرور ڏانهن صرف 12 نيون “درخواستون” ڪرڻ جي اجازت آهي. هڪ لاگ ان ڪوشش 1 کان 4 "درخواستن" تائين آهي. 12 هين "درخواست" تي - 15 منٽن لاء بلاڪ ڪرڻ. منهنجي حالت ۾، حملي ڪندڙن سرور کي هيڪ ڪرڻ کان روڪي نه ڇڏيو، انهن ٽائمرز کي ترتيب ڏنو ۽ هاڻي اهو تمام سست ڪيو، اهڙي قسم جي چونڊ جي رفتار حملن جي اثرائتي کي صفر تائين گھٽائي ٿي. ڪمپني جي ملازمن کي عملي طور تي ڪم تي ڪا به تڪليف محسوس نه ٿيندي آهي.
ٻيو ننڍڙو چال
هي ضابطو هڪ شيڊول موجب 5 وڳي تي آن ٿئي ٿو ۽ XNUMX وڳي تي بند ٿئي ٿو، جڏهن حقيقي ماڻهو ضرور سمهي رهيا آهن، ۽ خودڪار چونڊيندڙ جاڳندا رهندا آهن.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8اڳ ۾ ئي 8th ڪنيڪشن تي، حملي ڪندڙ جي IP هڪ هفتي لاء بليڪ لسٽ آهي. خوبصورتي!
خير، مٿين کان علاوه، مان هڪ لنڪ شامل ڪندس Wiki آرٽيڪل سان گڏ ڪم ڪندڙ سيٽ اپ سان Mikrotik کي نيٽ ورڪ اسڪينرز کان بچائڻ لاءِ.
منهنجي ڊوائيسز تي، هي سيٽنگ مٿي بيان ڪيل هني پوٽ قاعدن سان گڏ ڪم ڪري ٿي، انهن کي مڪمل طور تي پورو ڪندي.
UPD: جيئن تجويز ڪيل تبصرن ۾، پيڪٽ ڊراپ قاعدو راؤٽر تي لوڊ گھٽائڻ لاء RAW ڏانهن منتقل ڪيو ويو آهي.
جو ذريعو: www.habr.com