Unë dua të ndaj me komunitetin një mënyrë të thjeshtë dhe funksionale se si të përdorni Mikrotik për të mbrojtur rrjetin tuaj dhe shërbimet që "përgjojnë" nga pas tij nga sulmet e jashtme. Domethënë, vetëm tre rregulla për të organizuar një honeypot në Mikrotik.
Pra, le të imagjinojmë se kemi një zyrë të vogël, me një IP të jashtëm, pas së cilës ka një server RDP që punonjësit të punojnë nga distanca. Rregulli i parë është, natyrisht, ndryshimi i portit 3389 në ndërfaqen e jashtme në një tjetër. Por kjo nuk do të zgjasë shumë; pas disa ditësh, regjistri i auditimit të serverit të terminalit do të fillojë të tregojë disa autorizime të dështuara në sekondë nga klientë të panjohur.
Një situatë tjetër është që e keni Asterisk-un të fshehur pas Mikrotik, natyrisht jo në portin udp 5060, dhe pas disa ditësh fillon edhe thyerja e fjalëkalimeve... po, po, e di, fail2ban është gjithçka për ne, por ende duhet të punojmë me të... për shembull, e kam konfiguruar së fundmi në ubuntu 18.04 dhe u habita kur zbulova se fail2ban i gatshëm për përdorim nuk përmban cilësimet aktuale për asterisk nga e njëjta kuti e të njëjtës ubuntu shpërndarje... dhe kërkimi i cilësimeve të shpejta në Google për "receta" të gatshme nuk funksionon më, numri i publikimeve rritet me kalimin e viteve dhe artikujt me "receta" për versione më të vjetra nuk funksionojnë më, dhe të rejat pothuajse nuk shfaqen kurrë... Por jam shpërqendruar...
Pra, çfarë është një honeypot me pak fjalë - është një honeypot, në rastin tonë, çdo port i njohur në një IP të jashtëm, çdo kërkesë për këtë port nga një klient i jashtëm dërgon adresën src në listën e zezë. Të gjitha.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Rregulli i parë në portet e njohura TCP 22, 3389, 8291 të ndërfaqes së jashtme ether4-wan dërgon IP-në e "mysafirit" në listën "Honeypot Hacker" (portet për ssh, rdp dhe winbox janë çaktivizuar paraprakisht ose ndryshohen në të tjera). E dyta bën të njëjtën gjë në UDP 5060 popullore.
Rregulli i tretë në fazën e para-rutimit heq paketat nga "mysafirët" adresa srs e të cilëve është përfshirë në "Honeypot Hacker".
Pas dy javësh pune me shtëpinë time Mikrotik, lista “Honeypot Hacker” përfshinte rreth një mijë e gjysmë adresa IP të atyre që duan të “mbajnë nga sisë” burimet e rrjetit tim (në shtëpi kam telefonin tim, postën, Nextcloud, rdp) Sulmet me forcë brutale ndaluan, lumturia erdhi.
Në punë, jo gjithçka doli kaq e thjeshtë, atje ata vazhdojnë të thyejnë serverin rdp duke detyruar fjalëkalime brutale.
Me sa duket, numri i portit u përcaktua nga skaneri shumë përpara se të ndizej honeypot dhe gjatë karantinës nuk është aq e lehtë të rikonfigurosh më shumë se 100 përdorues, nga të cilët 20% janë mbi 65 vjeç. Në rastin kur porti nuk mund të ndryshohet, ekziston një recetë e vogël pune. Unë kam parë diçka të ngjashme në internet, por ka disa shtesa shtesë dhe akordim të mirë të përfshirë:
Rregullat për konfigurimin e Port Knocking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
Në 4 minuta, një klient i largët lejohet të bëjë vetëm 12 "kërkesa" të reja në RDP. serverNjë përpjekje hyrjeje përfshin 1 deri në 4 "kërkesa". Në "kërkesën" e 12-të, ndodh një bllokim 15-minutësh. Në rastin tim, sulmuesit vazhduan të hakonin serverin; ata u përshtatën me kohëmatësit dhe tani e bëjnë këtë shumë ngadalë. Kjo shpejtësi e forcës brutale e zvogëlon efektivitetin e sulmit në zero. Punonjësit e kompanisë nuk kanë përjetuar praktikisht asnjë ndërprerje në punën e tyre për shkak të këtyre masave.
Një tjetër truk i vogël
Ky rregull ndizet sipas një orari në orën 5 të mëngjesit dhe fiket në orën XNUMX të mëngjesit, kur njerëzit e vërtetë janë padyshim në gjumë dhe zgjedhësit e automatizuar vazhdojnë të jenë zgjuar.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Tashmë në lidhjen e 8-të, IP-ja e sulmuesit është në listën e zezë për një javë. Bukuroshja!
Epo, përveç sa më sipër, unë do të shtoj një lidhje për një artikull të Wiki me një konfigurim funksional për mbrojtjen e Mikrotik nga skanerët e rrjetit.
Në pajisjet e mia, ky cilësim funksionon së bashku me rregullat e honeypot të përshkruara më sipër, duke i plotësuar ato mirë.
UPD: Siç sugjerohet në komente, rregulli i rënies së paketave është zhvendosur në RAW për të zvogëluar ngarkesën në ruter.
Burimi: www.habr.com
