Unë dua të ndaj me komunitetin një mënyrë të thjeshtë dhe funksionale se si të përdorni Mikrotik për të mbrojtur rrjetin tuaj dhe shërbimet që "përgjojnë" nga pas tij nga sulmet e jashtme. Domethënë, vetëm tre rregulla për të organizuar një honeypot në Mikrotik.
Pra, le të imagjinojmë se kemi një zyrë të vogël, me një IP të jashtëm, pas së cilës ka një server RDP që punonjësit të punojnë nga distanca. Rregulli i parë është, natyrisht, ndryshimi i portit 3389 në ndërfaqen e jashtme në një tjetër. Por kjo nuk do të zgjasë shumë; pas disa ditësh, regjistri i auditimit të serverit të terminalit do të fillojë të tregojë disa autorizime të dështuara në sekondë nga klientë të panjohur.
Një situatë tjetër, ju keni yll të fshehur pas Mikrotik, natyrisht jo në portin 5060 udp, dhe pas nja dy ditësh fillon edhe kërkimi i fjalëkalimit... po, po, e di, fail2ban është gjithçka jonë, por duhet ende. puno me të... për shembull, së fundi e instalova në ubuntu 18.04 dhe u befasova kur zbulova se fail2ban nuk përmban cilësime aktuale për yll nga e njëjta kuti e së njëjtës shpërndarje të ubuntu... dhe google cilësime të shpejta për "recetat" e gatshme nuk funksionojnë më, numrat e botimeve po rriten me kalimin e viteve, dhe artikujt me "receta" për versionet e vjetra nuk funksionojnë më, dhe të rejat pothuajse nuk shfaqen kurrë... Por dal...
Pra, çfarë është një honeypot me pak fjalë - është një honeypot, në rastin tonë, çdo port i njohur në një IP të jashtëm, çdo kërkesë për këtë port nga një klient i jashtëm dërgon adresën src në listën e zezë. Të gjitha.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Rregulli i parë në portet e njohura TCP 22, 3389, 8291 të ndërfaqes së jashtme ether4-wan dërgon IP-në e "mysafirit" në listën "Honeypot Hacker" (portet për ssh, rdp dhe winbox janë çaktivizuar paraprakisht ose ndryshohen në të tjera). E dyta bën të njëjtën gjë në UDP 5060 popullore.
Rregulli i tretë në fazën e para-rutimit heq paketat nga "mysafirët" adresa srs e të cilëve është përfshirë në "Honeypot Hacker".
Pas dy javësh pune me shtëpinë time Mikrotik, lista “Honeypot Hacker” përfshinte rreth një mijë e gjysmë adresa IP të atyre që duan të “mbajnë nga sisë” burimet e rrjetit tim (në shtëpi kam telefonin tim, postën, Nextcloud, rdp) Sulmet me forcë brutale ndaluan, lumturia erdhi.
Në punë, jo gjithçka doli kaq e thjeshtë, atje ata vazhdojnë të thyejnë serverin rdp duke detyruar fjalëkalime brutale.
Me sa duket, numri i portit u përcaktua nga skaneri shumë përpara se të ndizej honeypot dhe gjatë karantinës nuk është aq e lehtë të rikonfigurosh më shumë se 100 përdorues, nga të cilët 20% janë mbi 65 vjeç. Në rastin kur porti nuk mund të ndryshohet, ekziston një recetë e vogël pune. Unë kam parë diçka të ngjashme në internet, por ka disa shtesa shtesë dhe akordim të mirë të përfshirë:
Rregullat për konfigurimin e Port Knocking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
Në 4 minuta, klienti në distancë lejohet të bëjë vetëm 12 "kërkesa" të reja në serverin RDP. Një përpjekje për hyrje është nga 1 deri në 4 "kërkesa". Në "kërkesën" e 12-të - bllokim për 15 minuta. Në rastin tim, sulmuesit nuk ndaluan së hakuari serverin, ata u përshtatën me kohëmatësit dhe tani e bëjnë atë shumë ngadalë, një shpejtësi e tillë përzgjedhjeje e zvogëlon efektivitetin e sulmit në zero. Punonjësit e kompanisë nuk përjetojnë praktikisht asnjë shqetësim në punë nga masat e marra.
Një tjetër truk i vogël
Ky rregull ndizet sipas një orari në orën 5 të mëngjesit dhe fiket në orën XNUMX të mëngjesit, kur njerëzit e vërtetë janë padyshim në gjumë dhe zgjedhësit e automatizuar vazhdojnë të jenë zgjuar.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Tashmë në lidhjen e 8-të, IP-ja e sulmuesit është në listën e zezë për një javë. Bukuroshja!
Epo, përveç sa më sipër, unë do të shtoj një lidhje për një artikull të Wiki me një konfigurim funksional për mbrojtjen e Mikrotik nga skanerët e rrjetit.
Në pajisjet e mia, ky cilësim funksionon së bashku me rregullat e honeypot të përshkruara më sipër, duke i plotësuar ato mirë.
UPD: Siç sugjerohet në komente, rregulli i rënies së paketave është zhvendosur në RAW për të zvogëluar ngarkesën në ruter.
Burimi: www.habr.com