S skupnostjo želim deliti preprost in delujoč način, kako z Mikrotikom zaščititi svoje omrežje in storitve, ki »kukajo« izza njega, pred zunanjimi napadi. Namreč le tri pravila za organizacijo medenjakov na Mikrotiku.
Torej, predstavljajmo si, da imamo majhno pisarno, z zunanjim IP-jem, za katerim je strežnik RDP za delo zaposlenih na daljavo. Prvo pravilo je seveda zamenjati vrata 3389 na zunanjem vmesniku z drugimi. Vendar to ne bo trajalo dolgo; po nekaj dneh bo dnevnik revizije terminalskega strežnika začel prikazovati več neuspešnih avtorizacij na sekundo od neznanih strank.
Druga situacija, za Mikrotikom imaš skrito zvezdico, seveda ne na vratih 5060 udp, po parih dneh pa se začne tudi iskanje gesla... ja, ja, vem, fail2ban je naše vse, ampak vseeno moramo delaj na tem ... na primer, pred kratkim sem ga namestil na ubuntu 18.04 in sem bil presenečen, ko sem odkril, da fail2ban iz škatle ne vsebuje trenutnih nastavitev za zvezdico iz iste škatle iste distribucije ubuntu ... in googlanje hitrih nastavitev za že pripravljene “recepte” ne deluje več, število objav z leti raste in članki z “recepti” za stare verzije ne delujejo več, nove pa se skoraj nikoli ne pojavijo... Ampak sem se oddaljil...
Torej, kaj je honeypot na kratko - to je honeypot, v našem primeru katera koli priljubljena vrata na zunanjem IP-ju, vsaka zahteva na ta vrata s strani zunanjega odjemalca pošlje naslov src na črno listo. Vse.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Prvo pravilo na priljubljenih vratih TCP 22, 3389, 8291 zunanjega vmesnika ether4-wan pošlje "gostujoči" IP na seznam "Honeypot Hacker" (vrata za ssh, rdp in winbox so vnaprej onemogočena ali spremenjena z drugimi). Drugi naredi enako na priljubljenem UDP 5060.
Tretje pravilo na stopnji pred usmerjanjem odvrže pakete od "gostov", katerih srs-naslov je vključen v "Honeypot Hacker".
Po dveh tednih dela z domačim Mikrotikom se je na seznamu »Honeypot Hacker« znašlo približno tisoč in pol IP naslovov tistih, ki radi »držijo za vime« moja omrežna sredstva (doma je lastna telefonija, pošta, nextcloud, rdp).Napadi s surovo silo so se ustavili, prišla je blaženost.
Pri delu se ni izkazalo, da je vse tako preprosto, tam še naprej zlomijo strežnik rdp z brutalnim vsiljevanjem gesel.
Očitno je številko vrat določil skener že dolgo preden je bil honeypot vklopljen, med karanteno pa ni tako enostavno na novo konfigurirati več kot 100 uporabnikov, od katerih je 20% starejših od 65 let. V primeru, da vrat ni mogoče spremeniti, obstaja majhen delovni recept. Nekaj podobnega sem videl na internetu, vendar je vključenih nekaj dodatnih dodatkov in finih nastavitev:
Pravila za konfiguracijo Port Knocking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
V 4 minutah lahko oddaljeni odjemalec pošlje samo 12 novih "zahtev" strežniku RDP. En poskus prijave je od 1 do 4 "zahtev". Pri 12. "zahtevi" - blokada za 15 minut. V mojem primeru napadalci niso nehali vdirati v strežnik, prilagodili so se časovnikom in zdaj to počnejo zelo počasi, takšna hitrost izbire zmanjša učinkovitost napada na nič. Zaposleni v podjetju zaradi izvedenih ukrepov pri delu nimajo praktično nobenih nevšečnosti.
Še en mali trik
To pravilo se vklopi po urniku ob 5. uri zjutraj in izklopi ob XNUMX. uri zjutraj, ko pravi ljudje zagotovo spijo, avtomatizirani nabiralci pa so še naprej budni.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Že pri 8. povezavi je napadalčev IP za en teden na črni listi. Lepota!
No, poleg zgoraj naštetega bom dodal še povezavo do Wiki članka z delujočo nastavitvijo zaščite Mikrotika pred omrežnimi skenerji.
V mojih napravah ta nastavitev deluje skupaj z zgoraj opisanimi pravili honeypot in jih dobro dopolnjuje.
UPD: Kot je predlagano v komentarjih, je bilo pravilo za izpust paketov premaknjeno v RAW, da se zmanjša obremenitev usmerjevalnika.
Vir: www.habr.com