Jag vill dela med gemenskapen ett enkelt och fungerande sätt att använda Mikrotik för att skydda ditt nätverk och tjänsterna som "kikar ut" bakom det från externa attacker. Nämligen bara tre regler för att organisera en honungskruka på Mikrotik.
Så låt oss föreställa oss att vi har ett litet kontor, med en extern IP bakom vilken det finns en RDP-server för anställda att arbeta på distans. Den första regeln är naturligtvis att byta port 3389 på det externa gränssnittet till en annan. Men detta kommer inte att pågå länge; efter ett par dagar kommer terminalserverns granskningslogg att börja visa flera misslyckade auktoriseringar per sekund från okända klienter.
En annan situation, du har en asterisk gömd bakom Mikrotik, naturligtvis inte på 5060 udp-porten, och efter ett par dagar börjar lösenordssökningen också... ja, ja, jag vet, fail2ban är vårt allt, men vi måste fortfarande arbeta på det... till exempel, jag installerade det nyligen på ubuntu 18.04 och blev förvånad över att upptäcka att fail2ban ur lådan inte innehåller aktuella inställningar för asterisk från samma ruta i samma ubuntu-distribution... och googla snabba inställningar för färdiga "recept" fungerar inte längre, siffrorna för utgivningar växer med åren och artiklar med "recept" för gamla versioner fungerar inte längre, och nya dyker nästan aldrig upp... Men jag avviker...
Så, vad är en honeypot i ett nötskal - det är en honeypot, i vårt fall, vilken populär port som helst på en extern IP, varje begäran till denna port från en extern klient skickar src-adressen till den svarta listan. Allt.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Den första regeln på populära TCP-portar 22, 3389, 8291 i det externa ether4-wan-gränssnittet skickar "gäst"-IP till listan "Honeypot Hacker" (portar för ssh, rdp och winbox är inaktiverade i förväg eller ändras till andra). Den andra gör samma sak på den populära UDP 5060.
Den tredje regeln i pre-routing-stadiet tappar paket från "gäster" vars srs-adress ingår i "Honeypot Hacker".
Efter två veckors arbete med mitt hem Mikrotik, inkluderade "Honeypot Hacker"-listan ungefär ett och ett halvt tusen IP-adresser till de som gillar att "hålla i juvret" mina nätverksresurser (hemma finns min egen telefoni, post, nextcloud, rdp.) Brute-force attacker upphörde, lyckan kom.
På jobbet visade sig inte allt vara så enkelt, där fortsätter de att bryta rdp-servern med brute-force-lösenord.
Uppenbarligen bestämdes portnumret av skannern långt innan honungskrukan slogs på, och under karantänen är det inte så lätt att konfigurera om mer än 100 användare, varav 20% är över 65 år. I fallet när porten inte kan ändras finns det ett litet fungerande recept. Jag har sett något liknande på Internet, men det finns ytterligare tillägg och finjusteringar inblandade:
Regler för att konfigurera Port Knocking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
På 4 minuter får fjärrklienten endast göra 12 nya "förfrågningar" till RDP-servern. Ett inloggningsförsök är från 1 till 4 "begäranden". Vid den 12:e "begäran" - blockering i 15 minuter. I mitt fall slutade inte angriparna att hacka servern, de anpassade sig till timers och gör det nu väldigt långsamt, en sådan hastighet minskar attackens effektivitet till noll. Företagets anställda upplever praktiskt taget inga besvär i arbetet av de vidtagna åtgärderna.
Ännu ett litet trick
Den här regeln slås på enligt ett schema klockan 5 och stängs av klockan XNUMX, när riktiga människor definitivt sover och automatiska plockare fortsätter att vara vakna.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8
Redan på den 8:e anslutningen är angriparens IP svartlistad i en vecka. Skönhet!
Tja, utöver ovanstående kommer jag att lägga till en länk till en Wiki-artikel med en fungerande inställning för att skydda Mikrotik från nätverksskannrar.
På mina enheter fungerar den här inställningen tillsammans med honeypot-reglerna som beskrivs ovan, och kompletterar dem väl.
UPD: Som föreslagits i kommentarerna har paketsläppregeln flyttats till RAW för att minska belastningen på routern.
Källa: will.com