Ağınızı ve arkasından "gözetlenen" hizmetleri dış saldırılara karşı korumak için Mikrotik'i nasıl kullanacağınıza dair basit ve işe yarar bir yöntemi toplulukla paylaşmak istiyorum. Yani Mikrotik'te bir bal küpü düzenlemenin sadece üç kuralı.
Öyleyse, çalışanların uzaktan çalışabilmesi için arkasında bir RDP sunucusunun bulunduğu harici bir IP'ye sahip küçük bir ofisimiz olduğunu hayal edelim. İlk kural elbette harici arayüzdeki 3389 numaralı bağlantı noktasını başka bir bağlantı noktasıyla değiştirmektir. Ancak bu uzun sürmeyecek; birkaç gün sonra terminal sunucusu denetim günlüğü, bilinmeyen istemcilerden saniyede birkaç başarısız yetkilendirme göstermeye başlayacak.
Başka bir durum, Mikrotik'in arkasına gizlenmiş bir yıldız işaretiniz var, tabii ki 5060 udp portunda değil ve birkaç gün sonra şifre arama da başlıyor... evet, evet, biliyorum, fail2ban bizim her şeyimiz ama yine de yapmamız gerekiyor üzerinde çalışın... örneğin, yakın zamanda ubuntu 18.04'e yükledim ve fail2ban'ın, aynı ubuntu dağıtımının aynı kutusundaki yıldız işareti için geçerli ayarları içermediğini ve Google'da hızlı ayarları aratmadığını keşfettiğimde şaşırdım. çünkü hazır "tarifler" artık işe yaramıyor, yayınların sayısı yıllar geçtikçe artıyor ve eski versiyonlar için "tarifler" içeren makaleler artık çalışmıyor ve yenileri neredeyse hiç çıkmıyor... Ama konu dışına çıkıyorum...
Yani, kısaca bal küpü nedir - bu bir bal küpüdür, bizim durumumuzda, harici bir IP'deki herhangi bir popüler bağlantı noktası, harici bir istemciden bu bağlantı noktasına yapılan herhangi bir istek, src adresini kara listeye gönderir. Tüm.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Ether22-wan harici arayüzünün 3389, 8291, 4 numaralı popüler TCP bağlantı noktalarına ilişkin ilk kural, "konuk" IP'sini "Honeypot Hacker" listesine gönderir (ssh, rdp ve winbox bağlantı noktaları önceden devre dışı bırakılır veya başkalarına değiştirilir). İkincisi, popüler UDP 5060'ta da aynısını yapıyor.
Ön yönlendirme aşamasındaki üçüncü kural, srs adresi “Honeypot Hacker”da bulunan “misafirler”den gelen paketleri düşürür.
Evim Mikrotik ile iki hafta çalıştıktan sonra, “Honeypot Hacker” listesi, ağ kaynaklarımı (evde kendi telefonum, postam var) “memesinden tutmayı” sevenlerin yaklaşık bir buçuk bin IP adresini içeriyordu. nextcloud, rdp) Kaba kuvvet saldırıları durduruldu, mutluluk geldi.
İş yerinde her şey o kadar basit olmadı, orada kaba kuvvet şifreleriyle rdp sunucusunu kırmaya devam ediyorlar.
Görünüşe göre port numarası tarayıcı tarafından bal küpü açılmadan çok önce belirlenmiş ve karantina sırasında %100'si 20 yaşın üzerinde olan 65'den fazla kullanıcıyı yeniden yapılandırmak o kadar kolay değil. Bağlantı noktasının değiştirilemediği durumlarda küçük bir çalışma tarifi vardır. İnternette benzer bir şey gördüm, ancak bazı ek eklemeler ve ince ayarlar da var:
Bağlantı Noktasını Kapatmayı yapılandırma kuralları
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
4 dakika içinde uzak istemcinin RDP sunucusuna yalnızca 12 yeni "istek" yapmasına izin verilir. Bir giriş denemesi 1 ila 4 "istek" arasındadır. 12. "istekte" - 15 dakika süreyle bloke etme. Benim durumumda, saldırganlar sunucuyu hacklemeyi bırakmadılar, zamanlayıcılara uyum sağladılar ve bunu artık çok yavaş yapıyorlar, böyle bir seçim hızı, saldırının etkinliğini sıfıra düşürüyor. Alınan önlemler nedeniyle şirket çalışanları iş yerinde neredeyse hiçbir rahatsızlık yaşamıyor.
Başka bir küçük numara
Bu kural, programa göre gece 5'de açılır ve gerçek insanların kesinlikle uykuda olduğu ve otomatik toplayıcıların uyanık olmaya devam ettiği sabah XNUMX'te kapanır.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8
Zaten 8. bağlantıda saldırganın IP'si bir hafta boyunca kara listeye alınır. Güzellik!
Yukarıdakilere ek olarak, Mikrotik'i ağ tarayıcılarından korumaya yönelik çalışan bir kurulumun bulunduğu bir Wiki makalesine bağlantı ekleyeceğim.
Cihazlarımda bu ayar, yukarıda açıklanan bal küpü kurallarıyla birlikte çalışır ve onları iyi bir şekilde tamamlar.
GÜNCELLEME: Yorumlarda önerildiği gibi, yönlendiricideki yükü azaltmak için paket bırakma kuralı RAW'a taşındı.
Kaynak: habr.com