Ман мехоҳам бо ҷомеа як роҳи оддӣ ва кории истифодаи Микротикро барои муҳофизат кардани шабакаи худ ва хидматҳое, ки аз паси он аз ҳамлаҳои беруна "нигоҳ мекунанд" мубодила кунам. Маҳз, танҳо се қоида барои ташкили асал дар Микротик.
Ҳамин тавр, биёед тасаввур кунем, ки мо як офиси хурде дорем, ки дорои IP-и беруна дар паси он сервери RDP барои коргарон барои кор дар масофаи дур ҷойгир аст. Қоидаи аввал, албатта, иваз кардани порти 3389 дар интерфейси беруна ба порти дигар аст. Аммо ин дер давом намекунад; пас аз чанд рӯз, гузориши аудити сервери терминал ба нишон додани якчанд иҷозатҳои ноком дар як сония аз муштариёни номаълум оғоз мекунад.
Вазъияти дигар, шумо ситорачаро дар паси Микротик пинҳон кардаед, албатта на дар порти 5060 udp ва пас аз чанд рӯз ҷустуҷӯи парол низ оғоз мешавад... бале, бале, ман медонам, fail2ban ҳама чизи мост, аммо мо ба ҳар ҳол бояд дар он кор кунед... масалан, ман онро ба наздикӣ дар Ubuntu 18.04 насб кардам ва ҳайрон шудам, ки аз қуттӣ fail2ban танзимоти ҷории ситорачаро аз ҳамон қуттии ҳамон тақсимоти Ubuntu дар бар намегирад... ва танзимоти зуди googling. барои "рецептҳо"-и омода дигар кор намекунанд, шумораи нашрҳо сол то сол меафзояд ва мақолаҳо бо "рецептҳо" барои версияҳои кӯҳна дигар кор намекунанд ва наваш қариб ҳеҷ гоҳ пайдо намешавад... Аммо ман дур намешавам...
Пас, ба таври мухтасар кӯзаи асал чист - он як кӯзаи асал аст, дар ҳолати мо, ҳама гуна порти маъмул дар IP-и беруна, ҳама гуна дархост ба ин порт аз муштарии беруна суроғаи src-ро ба рӯйхати сиёҳ мефиристад. Ҳама.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Қоидаи аввал дар портҳои маъмули TCP 22, 3389, 8291 интерфейси берунии ether4-wan IP-и “меҳмон”-ро ба рӯйхати “Honeypot Hacker” мефиристад (портҳо барои ssh, rdp ва winbox пешакӣ хомӯш карда шудаанд ё ба дигарон иваз карда мешаванд). Дуюм дар UDP 5060 маъмул ҳамин тавр мекунад.
Қоидаи сеюм дар марҳилаи пеш аз масир бастаҳоро аз "меҳмонон", ки суроғаи srs-и онҳо ба "Honeypot Hacker" дохил шудааст, мепартояд.
Пас аз ду ҳафтаи кор бо хонаи ман Микротик, ба рӯйхати "Honeypot Hacker" тақрибан якуним ҳазор суроғаҳои IP-и онҳое дохил шуданд, ки захираҳои шабакавии маро дӯст медоранд (дар хона телефония, почта, nextcloud, rdp).Ҳамлаҳои бераҳмона қатъ шуданд, хушбахтӣ омад.
Дар кор, на ҳама чиз оддӣ буд, дар он ҷо онҳо сервери rdp-ро тавассути паролҳои зӯроварӣ вайрон мекунанд.
Эҳтимол, рақами портро сканер хеле пеш аз фурӯзон кардани асал муайян карда буд ва дар вақти карантин аз нав танзим кардани беш аз 100 корбар, ки 20% аз 65-сола боло ҳастанд, чандон осон нест. Дар ҳолате, ки портро тағир додан ғайриимкон аст, як рецепти хурди корӣ мавҷуд аст. Ман дар Интернет чизи шабеҳро дидаам, аммо баъзе иловаҳои иловагӣ ва танзими дақиқ вуҷуд доранд:
Қоидаҳои конфигуратсияи Port Knocking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
Дар давоми 4 дақиқа ба муштарии дурдаст иҷозат дода мешавад, ки ба сервери RDP танҳо 12 "дархост"-и нав пешниҳод кунад. Як кӯшиши воридшавӣ аз 1 то 4 "дархост" аст. Дар "дархост" -и 12 - басташавӣ барои 15 дақиқа. Дар ҳолати ман, ҳамлагарон ҳамлаи серверро бас накарданд, онҳо ба таймерҳо мувофиқат карданд ва ҳоло ин корро хеле суст анҷом медиҳанд, чунин суръати интихоб самаранокии ҳамларо ба сифр коҳиш медиҳад. Кормандони ширкат аз чораҳои андешидашуда дар кор амалан ҳеҷ нороҳатиро эҳсос намекунанд.
Боз як ҳиллаи хурд
Ин қоида аз рӯи ҷадвал соати 5 пагоҳ фурӯзон мешавад ва соати XNUMX пагоҳ хомӯш мешавад, вақте ки одамони воқеӣ бешубҳа хобанд ва чинакчиёни автоматӣ бедор буданро идома медиҳанд.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Аллакай дар пайвасти 8-ум, IP-и ҳамлакунанда барои як ҳафта дар рӯйхати сиёҳ қарор дорад. Зебоӣ!
Хуб, ба ғайр аз гуфтаҳои дар боло зикршуда, ман истинод ба мақолаи Wiki бо танзимоти корӣ барои ҳифзи Mikrotik аз сканерҳои шабака илова мекунам.
Дар дастгоҳҳои ман, ин танзимот дар якҷоягӣ бо қоидаҳои дар боло тавсифшуда кор мекунад ва онҳоро хуб пурра мекунад.
UPD: Тавре ки дар шарҳҳо пешниҳод шудааст, қоидаи тарки бастаҳо ба RAW интиқол дода шудааст, то сарбории роутерро кам кунад.
Манбаъ: will.com