أريد أن أشارك مع المجتمع طريقة بسيطة وعملية في كيفية استخدام Mikrotik لحماية شبكتي والخدمات التي "تنظر" بسببها من الهجمات الخارجية. وبالتحديد بثلاث قواعد ، قم بتنظيم مصيدة على Mikrotik.لذا ، دعونا نتخيل أن لدينا مكتب صغير ، وعنوان IP خارجي خلفه خادم RDP ، للموظفين للعمل عن بعد. القاعدة الأولى بالطبع هي تغيير المنفذ 3389 على الواجهة الخارجية إلى أخرى. ولكن هذا ليس لفترة طويلة ، بعد يومين ، سيبدأ سجل تدقيق خادم المحطة الطرفية في إظهار العديد من التفويضات الفاشلة في الثانية من عملاء غير معروفين.موقف آخر ، لديك علامة النجمة مخفية خلف Mikrotik ، بالطبع ، ليس على منفذ 5060 UDP ، وبعد يومين من تخمين كلمة المرور يبدأ أيضًا ... نعم نعم ، أعلم ، fail2ban هو كل شيء لدينا ، ولكن لا يزال يتعين علي النفخ عليه ... على سبيل المثال ، رفعته مؤخرًا إلى ubuntu في 18 أبريل ، فوجئت عندما اكتشفت أنه من خارج الصندوق لا يحتوي على الإعدادات الفعلية للعلامة النجمية من نفس المربع من نفس توزيع أوبونتو ... ولكن لا تستطيع Google الإعدادات السريعة لـ "الوصفات" الجاهزة ، وعدد الإصدارات ينمو على مر السنين ، والمقالات مع " وصفات "للنسخ القديمة لم تعد تعمل ، ولكن لا توجد وصفات جديدة تقريبًا ... لكن شيئًا أتناوله ...لذا ، ما هو مصيدة اختصار - هو شرك ، في حالتنا ، بعض المنافذ الشائعة على IP خارجي ، أي طلب لهذا المنفذ من عميل خارجي يرسل عنوان src إلى القائمة السوداء. الكل./ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker" \
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox" \
connection-state=new dst-port=22,3389,8291 in-interface=\
ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker" \
address-list-timeout=30d0h0m chain=input comment=\
"block honeypot asterisk" connection-state=new dst-port=5060 \
in-interface=ether4-wan protocol=udp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=\
"Honeypot Hacker"
ترسل القاعدة الأولى على منافذ TCP الشائعة 22 و 3389 و 8291 من واجهة ether4-wan الخارجية عنوان IP الضيف إلى قائمة Honeypot Hacker (يتم تعطيل منافذ ssh و rdp و winbox مقدمًا أو يتم تغييرها إلى الآخرين). والثاني يفعل الشيء نفسه مع UDP 5060 المشهور. والقاعدة الثالثة في مرحلة ما قبل التوجيه تسقط حزم "الضيوف" الذين دخل عنوانهم في "Honeypot Hacker".بعد أسبوعين من العمل في منزلي Mikrotik ، تضمنت قائمة Honeypot Hacker حوالي ألف ونصف عنوان IP من المعجبين الصديقين للضرع من موارد شبكتي (الاتصال الهاتفي المنزلي ، والبريد ، و nextcloud ، و rdp).في العمل ، لم يكن كل شيء بسيطًا جدًا ، فهم يواصلون كسر خادم rdp بكلمات مرور القوة الغاشمة.على ما يبدو ، تم تحديد رقم المنفذ من قبل الماسح الضوئي قبل تشغيل المصيدة بفترة طويلة ، وأثناء العزل ليس من السهل إعادة تكوين أكثر من 100 مستخدم ، 20٪ منهم تجاوزوا 65 عامًا. في حالة عدم إمكانية تغيير المنفذ ، هناك وصفة عمل صغيرة. لقد التقيت بالمثل على الإنترنت ، ولكن هناك تعديل نهائي:قواعد تكوين Port Knocking /ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist \
address-list-timeout=15m chain=forward comment=rdp_to_blacklist \
connection-state=new dst-port=3389 protocol=tcp src-address-list=\
rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12 \
address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \
protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11 \
address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \
protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10 \
address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \
protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9 \
address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \
protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8 \
address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \
protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7 \
address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \
protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6 \
address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \
protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5 \
address-list-timeout=2m chain=forward connection-state=new dst-port=\
3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4 \
address-list-timeout=2m chain=forward connection-state=new dst-port=\
3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3 \
address-list-timeout=2m chain=forward connection-state=new dst-port=3389 \
protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2 \
address-list-timeout=2m chain=forward connection-state=new dst-port=3389 \
protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1 \
address-list-timeout=2m chain=forward connection-state=new dst-port=3389 \
protocol=tcp
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=\
rdp_blacklist
في 4 دقائق ، يُسمح للعميل البعيد بإجراء 12 طلبًا جديدًا فقط إلى خادم RDP. محاولة تسجيل دخول واحدة تتراوح من 1 إلى 4 "طلبات". عند "الطلب" الثاني عشر - قفل لمدة 15 دقيقة. في حالتي ، لم يتوقف المهاجمون عن اختراق الخادم ، فقد تكيفوا مع المؤقتات والآن يفعلون ذلك ببطء شديد ، سرعة التحديد هذه تقلل من كفاءة الهجوم إلى الصفر. لا يعاني موظفو المنشأة عمليا من أي إزعاج في العمل الذي تم القيام به.خدعة صغيرة أخرى5, , .
/ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist \
address-list-timeout=1w0d0h0m chain=forward comment=\
"night_rdp_blacklist" connection-state=new disabled=\
yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8
8 IP . !
حسنًا ، بالإضافة إلى ما سبق ، سأضيف رابطًا إلى مقالة Wiki ، مع إعداد العمل لحماية Mikrotik من الماسحات الضوئية للشبكة. wiki.mikrotik.com/wiki/Drop_port_scannersعلى أجهزتي ، يعمل هذا الإعداد جنبًا إلى جنب مع قواعد المصائد الموصوفة أعلاه ، ويكملها بشكل جيد.UPD: كما هو مقترح في التعليقات ، تم نقل قاعدة إسقاط الحزمة إلى RAW لتقليل الحمل على جهاز التوجيه.