میں کمیونٹی کے ساتھ ایک سادہ اور کام کرنے کا طریقہ بتانا چاہتا ہوں کہ آپ کے نیٹ ورک اور اس کے پیچھے سے "جھانکنے والی" خدمات کو بیرونی حملوں سے بچانے کے لیے Mikrotik کا استعمال کیسے کریں۔ یعنی، Mikrotik پر ایک honeypot کو منظم کرنے کے لیے صرف تین اصول۔
تو، آئیے تصور کریں کہ ہمارے پاس ایک چھوٹا دفتر ہے، جس میں ایک بیرونی IP ہے جس کے پیچھے ملازمین کے لیے دور سے کام کرنے کے لیے ایک RDP سرور ہے۔ پہلا اصول، ظاہر ہے، بیرونی انٹرفیس پر پورٹ 3389 کو دوسرے میں تبدیل کرنا ہے۔ لیکن یہ زیادہ دیر نہیں چلے گا؛ چند دنوں کے بعد، ٹرمینل سرور آڈٹ لاگ نامعلوم کلائنٹس کی جانب سے فی سیکنڈ میں کئی ناکام اجازتیں دکھانا شروع کر دے گا۔
ایک اور صورت حال، آپ نے Mikrotik کے پیچھے ستارہ چھپا رکھا ہے، یقیناً 5060 udp پورٹ پر نہیں، اور چند دنوں کے بعد پاس ورڈ کی تلاش بھی شروع ہو جاتی ہے... ہاں، ہاں، میں جانتا ہوں، fail2ban ہمارا سب کچھ ہے، لیکن ہمیں پھر بھی کرنا ہے اس پر کام کریں... مثال کے طور پر، میں نے حال ہی میں اسے ubuntu 18.04 پر انسٹال کیا اور یہ جان کر حیران ہوا کہ آؤٹ آف دی باکس fail2ban میں اسی اوبنٹو ڈسٹری بیوشن کے اسی باکس سے ستارے کے لیے موجودہ سیٹنگز موجود نہیں ہیں... اور گوگلنگ فوری سیٹنگز ریڈی میڈ "ترکیب" کے لیے اب کام نہیں کرتا، ریلیز کی تعداد سالوں میں بڑھ رہی ہے، اور پرانے ورژن کے لیے "ترکیب" والے مضامین اب کام نہیں کرتے، اور نئے تقریباً کبھی نظر نہیں آتے... لیکن میں پیچھے ہٹتا ہوں...
تو، مختصراً ہنی پاٹ کیا ہے - یہ ایک ہنی پاٹ ہے، ہمارے معاملے میں، بیرونی IP پر کوئی بھی مقبول پورٹ، کسی بیرونی کلائنٹ کی جانب سے اس پورٹ کے لیے کوئی بھی درخواست src ایڈریس کو بلیک لسٹ میں بھیج دیتی ہے۔ تمام
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
ایتھر 22-وان بیرونی انٹرفیس کے مشہور TCP پورٹس 3389, 8291, 4 پر پہلا اصول "مہمان" IP کو "ہنی پاٹ ہیکر" کی فہرست میں بھیجتا ہے (ssh، rdp اور winbox کے لیے بندرگاہیں پہلے سے غیر فعال ہیں یا دوسروں میں تبدیل کر دی گئی ہیں)۔ دوسرا مقبول UDP 5060 پر بھی ایسا ہی کرتا ہے۔
پری روٹنگ مرحلے پر تیسرا اصول "مہمانوں" کے پیکٹ چھوڑتا ہے جن کا ایس آر ایس ایڈریس "ہنی پاٹ ہیکر" میں شامل ہے۔
میرے گھر میکروٹک کے ساتھ کام کرنے کے دو ہفتوں کے بعد، "ہنی پاٹ ہیکر" کی فہرست میں ان لوگوں کے تقریباً ڈیڑھ ہزار آئی پی ایڈریسز شامل کیے گئے جو میرے نیٹ ورک کے وسائل کو "تھوڑے سے پکڑنا" پسند کرتے ہیں (گھر میں میری اپنی ٹیلی فونی، میل، نیکسٹ کلاؤڈ، آر ڈی پی) بروٹ فورس کے حملے رک گئے، خوشی آگئی۔
کام میں، سب کچھ اتنا آسان نہیں نکلا، وہاں وہ پاس ورڈز کے ذریعے آر ڈی پی سرور کو توڑتے رہتے ہیں۔
بظاہر، پورٹ نمبر کا تعین ہنی پاٹ کے آن ہونے سے بہت پہلے اسکینر کے ذریعے کیا گیا تھا، اور قرنطینہ کے دوران 100 سے زائد صارفین کو دوبارہ ترتیب دینا اتنا آسان نہیں ہے، جن میں سے 20 فیصد کی عمر 65 سال سے زیادہ ہے۔ اس صورت میں جب بندرگاہ کو تبدیل نہیں کیا جاسکتا ہے، وہاں ایک چھوٹا سا کام کرنے والا نسخہ ہے. میں نے انٹرنیٹ پر کچھ ایسا ہی دیکھا ہے، لیکن اس میں کچھ اضافی اضافہ اور عمدہ ٹیوننگ شامل ہے:
پورٹ نوکنگ کو ترتیب دینے کے قواعد
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
4 منٹ میں، ریموٹ کلائنٹ کو RDP سرور سے صرف 12 نئی "درخواستیں" کرنے کی اجازت ہے۔ لاگ ان کرنے کی ایک کوشش 1 سے 4 "درخواستیں" تک ہوتی ہے۔ 12ویں "درخواست" پر - 15 منٹ کے لیے بلاک کرنا۔ میرے معاملے میں، حملہ آوروں نے سرور کو ہیک کرنا بند نہیں کیا، انہوں نے ٹائمرز کو ایڈجسٹ کیا اور اب اسے بہت آہستہ کرتے ہیں، اس طرح کے انتخاب کی رفتار حملے کی تاثیر کو صفر تک کم کر دیتی ہے۔ کمپنی کے ملازمین کو اٹھائے گئے اقدامات سے کام میں عملی طور پر کوئی تکلیف نہیں ہوتی۔
ایک اور چھوٹی چال
یہ اصول ایک شیڈول کے مطابق صبح 5 بجے آن ہو جاتا ہے اور صبح XNUMX بجے بند ہو جاتا ہے، جب حقیقی لوگ یقینی طور پر سو رہے ہوتے ہیں، اور خودکار چننے والے جاگتے رہتے ہیں۔
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8پہلے ہی آٹھویں کنکشن پر، حملہ آور کا آئی پی ایک ہفتے کے لیے بلیک لسٹ کر دیا گیا ہے۔ خوبصورتی!
ٹھیک ہے، اوپر کے علاوہ، میں نیٹ ورک سکینرز سے Mikrotik کی حفاظت کے لیے ورکنگ سیٹ اپ کے ساتھ Wiki آرٹیکل کا ایک لنک شامل کروں گا۔
میرے آلات پر، یہ ترتیب اوپر بیان کردہ ہنی پاٹ کے اصولوں کے ساتھ مل کر کام کرتی ہے، ان کی اچھی طرح تکمیل کرتی ہے۔
UPD: جیسا کہ تبصروں میں تجویز کیا گیا ہے، راؤٹر پر بوجھ کم کرنے کے لیے پیکٹ ڈراپ رول کو RAW میں منتقل کر دیا گیا ہے۔
ماخذ: www.habr.com