Tôi muốn chia sẻ với cộng đồng một cách đơn giản và hiệu quả về cách sử dụng Mikrotik để bảo vệ mạng của bạn và các dịch vụ “nhìn trộm” từ phía sau mạng khỏi các cuộc tấn công từ bên ngoài. Cụ thể, chỉ có ba quy tắc để tổ chức một honeypot trên Mikrotik.
Vì vậy, hãy tưởng tượng rằng chúng ta có một văn phòng nhỏ, có IP bên ngoài, phía sau có máy chủ RDP để nhân viên làm việc từ xa. Tất nhiên, quy tắc đầu tiên là thay đổi cổng 3389 trên giao diện bên ngoài sang cổng khác. Nhưng điều này sẽ không kéo dài lâu; sau một vài ngày, nhật ký kiểm tra máy chủ đầu cuối sẽ bắt đầu hiển thị một số lần ủy quyền không thành công mỗi giây từ các máy khách không xác định.
Một tình huống khác, bạn có dấu hoa thị ẩn đằng sau Mikrotik, tất nhiên không phải trên cổng 5060 udp và sau vài ngày, quá trình tìm kiếm mật khẩu cũng bắt đầu... vâng, vâng, tôi biết, failed2ban là tất cả của chúng tôi, nhưng chúng tôi vẫn phải làm vậy làm việc với nó... ví dụ, gần đây tôi đã cài đặt nó trên Ubuntu 18.04 và rất ngạc nhiên khi phát hiện ra rằng Fail2ban không chứa các cài đặt hiện tại cho dấu hoa thị từ cùng một hộp của cùng một bản phân phối Ubuntu... và tìm kiếm cài đặt nhanh trên Google đối với những “công thức nấu ăn” làm sẵn không còn hiệu quả, số lượng phát hành ngày càng tăng qua các năm và các bài viết có “công thức nấu ăn” cho các phiên bản cũ không còn hiệu quả và những cái mới gần như không bao giờ xuất hiện... Nhưng tôi lạc đề...
Vì vậy, tóm lại, honeypot là gì - đó là honeypot, trong trường hợp của chúng tôi, bất kỳ cổng phổ biến nào trên IP bên ngoài, mọi yêu cầu tới cổng này từ máy khách bên ngoài sẽ gửi địa chỉ src đến danh sách đen. Tất cả.
/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox"
connection-state=new dst-port=22,3389,8291 in-interface=
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker"
address-list-timeout=30d0h0m chain=input comment=
"block honeypot asterisk" connection-state=new dst-port=5060
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
"Honeypot Hacker"
Quy tắc đầu tiên trên các cổng TCP phổ biến 22, 3389, 8291 của giao diện bên ngoài ether4-wan sẽ gửi IP “khách” đến danh sách “Honeypot Hacker” (các cổng cho ssh, rdp và winbox bị vô hiệu hóa trước hoặc được thay đổi thành các cổng khác). Cái thứ hai thực hiện tương tự trên UDP 5060 phổ biến.
Quy tắc thứ ba ở giai đoạn định tuyến trước sẽ loại bỏ các gói từ “khách” có địa chỉ srs được bao gồm trong “Honeypot Hacker”.
Sau hai tuần làm việc với Mikrotik tại nhà của tôi, danh sách “Honeypot Hacker” bao gồm khoảng một nghìn rưỡi địa chỉ IP của những người thích “giữ bầu vú” tài nguyên mạng của tôi (ở nhà có điện thoại, thư, nextcloud, rdp). Các cuộc tấn công vũ phu dừng lại, niềm hạnh phúc đã đến.
Tại nơi làm việc, không phải mọi thứ đều đơn giản như vậy, ở đó họ tiếp tục phá máy chủ rdp bằng mật khẩu cưỡng bức.
Rõ ràng, số cổng đã được máy quét xác định từ rất lâu trước khi honeypot được bật và trong quá trình cách ly, việc cấu hình lại hơn 100 người dùng, trong đó 20% là trên 65 tuổi, không phải là điều dễ dàng. Trong trường hợp không thể thay đổi cổng, có một công thức hoạt động nhỏ. Tôi đã thấy điều gì đó tương tự trên Internet nhưng có một số bổ sung và tinh chỉnh bổ sung liên quan:
Quy tắc cấu hình Port Knocking
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=15m chain=forward comment=rdp_to_blacklist
connection-state=new dst-port=3389 protocol=tcp src-address-list=
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4
address-list-timeout=4m chain=forward connection-state=new dst-port=
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1
address-list-timeout=4m chain=forward connection-state=new dst-port=3389
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=
rdp_blacklist
Trong 4 phút, máy khách từ xa chỉ được phép thực hiện 12 “yêu cầu” mới tới máy chủ RDP. Một lần đăng nhập là từ 1 đến 4 “yêu cầu”. Ở “yêu cầu” thứ 12 - chặn trong 15 phút. Trong trường hợp của tôi, những kẻ tấn công không ngừng hack máy chủ, chúng đã điều chỉnh bộ hẹn giờ và bây giờ thực hiện rất chậm, tốc độ lựa chọn như vậy làm giảm hiệu quả của cuộc tấn công xuống bằng XNUMX. Nhân viên của công ty hầu như không gặp phải bất tiện nào trong công việc do các biện pháp được thực hiện.
Một mẹo nhỏ khác
Quy tắc này bật theo lịch lúc 5 giờ sáng và tắt lúc XNUMX giờ sáng, khi người thật chắc chắn đã ngủ và người chọn tự động tiếp tục thức.
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist
address-list-timeout=1w0d0h0m chain=forward comment=
"night_rdp_blacklist" connection-state=new disabled=
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8Đã ở kết nối thứ 8, IP của kẻ tấn công bị đưa vào danh sách đen trong một tuần. Sắc đẹp!
Chà, ngoài những điều trên, tôi sẽ thêm một liên kết đến một bài viết Wiki với thiết lập hoạt động để bảo vệ Mikrotik khỏi các máy quét mạng.
Trên thiết bị của tôi, cài đặt này hoạt động cùng với các quy tắc honeypot được mô tả ở trên, bổ sung tốt cho chúng.
CẬP NHẬT: Như được đề xuất trong nhận xét, quy tắc thả gói đã được chuyển sang RAW để giảm tải cho bộ định tuyến.
Nguồn: www.habr.com