Желим да поделим са заједницом једноставан и функционалан начин како да користите Микротик за заштиту ваше мреже и услуга које „вирују“ иза ње од спољних напада. Наиме, само три правила за организовање меденице на Микротику.
Дакле, замислимо да имамо малу канцеларију, са екстерном ИП-ом иза којег се налази РДП сервер за рад запослених на даљину. Прво правило је, наравно, да промените порт 3389 на спољном интерфејсу у други. Али ово неће дуго трајати; након неколико дана, дневник ревизије терминалног сервера ће почети да приказује неколико неуспешних ауторизација у секунди од непознатих клијената.
Друга ситуација, иза Микротика имате сакривену звездицу, наравно не на 5060 удп порту, а после пар дана почиње и тражење лозинке... да, да, знам, фаил2бан је наше све, али још увек морамо ради на томе... на пример, недавно сам га инсталирао на убунту 18.04 и био сам изненађен када сам открио да фал2бан не садржи тренутна подешавања за астериск из исте кутије исте убунту дистрибуције... и брза подешавања у гуглању јер готови „рецепти“ више не раде, број издања расте годинама, а чланци са „рецептима“ за старе верзије више не функционишу, а нови скоро да се не појављују... Али скрећем пажњу...
Дакле, шта је хонеипот укратко - то је хонеипот, у нашем случају, било који популаран порт на спољној ИП адреси, сваки захтев за овај порт од спољног клијента шаље срц адресу на црну листу. Све.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Прво правило о популарним ТЦП портовима 22, 3389, 8291 спољног интерфејса етхер4-ван шаље ИП „госту“ на листу „Хонеипот Хацкер“ (портови за ссх, рдп и винбок су унапред онемогућени или промењени у друге). Други ради исто на популарном УДП 5060.
Треће правило у фази пре рутирања испушта пакете од „гостију“ чија је срс-адреса укључена у „Хонеипот Хацкер“.
Након две недеље рада са мојим кућним Микротиком, листа „Хонеипот Хацкер“ укључила је око хиљаду и по ИП адреса оних који воле да „држе виме“ мојих мрежних ресурса (код куће, сопствена телефонија, пошта, нектцлоуд , рдп) Напади грубе силе су престали, дошло је блаженство.
На послу, није се све показало тако једноставно, тамо настављају да разбијају рдп сервер бруталним наметањем лозинки.
Очигледно, број порта је скенер одредио много пре него што је хонеипот укључен, а током карантина није тако лако реконфигурисати више од 100 корисника, од којих је 20% старије од 65 година. У случају када се порт не може променити, постоји мали радни рецепт. Видео сам нешто слично на Интернету, али ту су неки додатни додаци и фино подешавање:
Правила за конфигурисање Порт Кноцкинг
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
За 4 минута, удаљеном клијенту је дозвољено да упути само 12 нових „захтева“ до РДП сервера. Један покушај пријаве је од 1 до 4 „захтева“. На 12. "захтев" - блокирање 15 минута. У мом случају, нападачи нису престали да хакују сервер, прилагодили су се тајмерима и сада то раде веома споро, таква брзина селекције смањује ефикасност напада на нулу. Запослени у компанији практично немају непријатности на послу од предузетих мера.
Још један мали трик
Ово правило се укључује према распореду у 5:XNUMX и искључује се у XNUMX:XNUMX, када стварни људи дефинитивно спавају, а аутоматски берачи и даље буду будни.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Већ при 8. конекцији, ИП адреса нападача је на црној листи недељу дана. Беаути!
Па, поред горе наведеног, додаћу везу до Вики чланка са радном поставком за заштиту Микротика од мрежних скенера.
На мојим уређајима, ово подешавање функционише заједно са горе описаним правилима хонеипот-а, добро их допуњујући.
УПД: Као што је предложено у коментарима, правило за испуштање пакета је премештено у РАВ да би се смањило оптерећење рутера.
Извор: ввв.хабр.цом