Ninataka kushiriki na jumuiya njia rahisi na ya kufanya kazi ya jinsi ya kutumia Mikrotik kulinda mtandao wako na huduma "kuchungulia" kutoka nyuma yake kutokana na mashambulizi ya nje. Yaani, sheria tatu tu za kuandaa sufuria ya asali kwenye Mikrotik.
Kwa hiyo, hebu tufikirie kuwa tuna ofisi ndogo, na IP ya nje nyuma ambayo kuna seva ya RDP kwa wafanyakazi kufanya kazi kwa mbali. Sheria ya kwanza ni, bila shaka, kubadilisha bandari 3389 kwenye interface ya nje hadi nyingine. Lakini hii haitachukua muda mrefu; baada ya siku kadhaa, kumbukumbu ya ukaguzi wa seva ya wastaafu itaanza kuonyesha uidhinishaji kadhaa ambao haukufanikiwa kwa sekunde kutoka kwa wateja wasiojulikana.
Hali nyingine, una asterisk iliyofichwa nyuma ya Mikrotik, bila shaka sio kwenye bandari ya 5060 udp, na baada ya siku kadhaa utafutaji wa nenosiri pia huanza ... ndiyo, ndiyo, najua, kushindwa2ban ni kila kitu chetu, lakini bado tunapaswa kwa mfano, niliiweka hivi majuzi kwenye ubuntu 18.04 na nilishangaa kugundua kuwa nje ya kisanduku fail2ban haina mipangilio ya sasa ya nyota kutoka kwa kisanduku sawa cha usambazaji wa ubuntu ... na kuweka mipangilio ya haraka. kwa "mapishi" yaliyotengenezwa tayari haifanyi kazi tena, nambari za matoleo zinaongezeka kwa miaka, na nakala zilizo na "maelekezo" ya matoleo ya zamani hazifanyi kazi tena, na mpya karibu hazionekani ... Lakini mimi huacha ...
Kwa hiyo, ni nini sufuria ya asali kwa kifupi - ni asali, kwa upande wetu, bandari yoyote maarufu kwenye IP ya nje, ombi lolote kwa bandari hii kutoka kwa mteja wa nje hutuma anwani ya src kwenye orodha nyeusi. Wote.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Sheria ya kwanza kwenye bandari maarufu za TCP 22, 3389, 8291 ya kiolesura cha nje cha ether4-wan hutuma IP ya "mgeni" kwenye orodha ya "Honeypot Hacker" (bandari za ssh, rdp na winbox zimezimwa mapema au kubadilishwa kwa wengine). Ya pili hufanya vivyo hivyo kwenye UDP 5060 maarufu.
Sheria ya tatu katika hatua ya awali ya uelekezaji hutupa pakiti kutoka kwa "wageni" ambao anwani yao ya srs imejumuishwa kwenye "Honeypot Hacker".
Baada ya wiki mbili za kufanya kazi na Mikrotik ya nyumbani kwangu, orodha ya "Honeypot Hacker" ilijumuisha anwani za IP zipatazo elfu moja na nusu za wale wanaopenda "kushikilia kiwele" rasilimali za mtandao wangu (nyumbani kuna simu yangu, barua, nextcloud, rdp). Mashambulizi ya kikatili yalikoma, furaha ikaja.
Kazini, sio kila kitu kiligeuka kuwa rahisi sana, huko wanaendelea kuvunja seva ya rdp kwa nywila za kulazimisha brute.
Inavyoonekana, nambari ya bandari iliamuliwa na skana muda mrefu kabla ya asali kuwashwa, na wakati wa karantini si rahisi sana kusanidi tena zaidi ya watumiaji 100, ambao 20% wana zaidi ya miaka 65. Katika kesi wakati bandari haiwezi kubadilishwa, kuna kichocheo kidogo cha kufanya kazi. Nimeona kitu kama hicho kwenye Mtandao, lakini kuna nyongeza na urekebishaji mzuri unaohusika:
Sheria za kusanidi Kugonga Bandari
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
Katika dakika 4, mteja wa mbali anaruhusiwa kufanya "maombi" mapya 12 tu kwa seva ya RDP. Jaribio moja la kuingia ni kutoka "maombi" 1 hadi 4. Katika "ombi" la 12 - kuzuia kwa dakika 15. Katika kesi yangu, washambuliaji hawakuacha kudanganya seva, walirekebisha kwa timers na sasa wanafanya polepole sana, kasi hiyo ya uteuzi inapunguza ufanisi wa mashambulizi hadi sifuri. Wafanyakazi wa kampuni hawapati usumbufu wowote kazini kutokana na hatua zilizochukuliwa.
Ujanja mwingine mdogo
Sheria hii huwashwa kulingana na ratiba saa 5 asubuhi na kuzimwa saa XNUMX asubuhi, wakati watu halisi wamelala, na wachukuaji wa kiotomatiki wanaendelea kuwa macho.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Tayari kwenye muunganisho wa 8, IP ya mshambuliaji imeorodheshwa kwa wiki. Uzuri!
Naam, pamoja na hayo hapo juu, nitaongeza kiungo kwa makala ya Wiki na usanidi wa kufanya kazi kwa ajili ya kulinda Mikrotik kutoka kwa scanners za mtandao.
Kwenye vifaa vyangu, mpangilio huu unafanya kazi pamoja na sheria za chungu cha asali zilizoelezwa hapo juu, zikiwasaidia vizuri.
UPD: Kama inavyopendekezwa kwenye maoni, sheria ya kushuka kwa pakiti imehamishwa hadi RAW ili kupunguza mzigo kwenye kipanga njia.
Chanzo: mapenzi.com