📉 🕍 👨🏼‍🏫 Cara mudah untuk melindungi Mikrotik Anda dari serangan 🚺 🤳🏿 😠

Saya ingin berbagi dengan komunitas cara yang sederhana dan bekerja bagaimana menggunakan Mikrotik untuk melindungi jaringan saya dan layanan yang "melihat keluar" karena itu dari serangan eksternal. Yaitu, dengan hanya tiga aturan, atur honeypot pada Mikrotik.

Jadi, mari kita bayangkan bahwa kita memiliki kantor kecil, IP eksternal yang merupakan server RDP, bagi karyawan untuk bekerja dari jarak jauh. Aturan pertama tentu saja untuk mengubah port 3389 pada antarmuka eksternal ke yang lain. Tapi ini tidak lama, setelah beberapa hari, log audit server terminal akan mulai menunjukkan beberapa otorisasi yang gagal per detik dari klien yang tidak dikenal.

Situasi lain, Anda memiliki tanda bintang yang tersembunyi di belakang Mikrotik, tentu saja, bukan pada port udp 5060, dan setelah beberapa hari tebak kata sandi juga dimulai ... ya ya, saya tahu, fail2ban adalah segalanya, tetapi saya masih harus engah ... misalnya, saya baru saja mengangkatnya ke ubuntu Pada tanggal 18 April, saya terkejut menemukan bahwa out2 kotak fail2ban tidak mengandung pengaturan aktual untuk asterisk dari kotak yang sama dari distribusi ubuntu yang sama ... tetapi Google tidak dapat mengatur cepat Google dari "resep" yang sudah jadi, jumlah rilis terus meningkat selama bertahun-tahun, dan artikel dengan " resep ”untuk versi lama tidak lagi berfungsi, tetapi hampir tidak ada yang baru ... Tapi sesuatu yang saya ngelantur ...

Jadi, singkatnya honeypot - adalah umpan, dalam kasus kami, beberapa port populer pada IP eksternal, setiap permintaan ke port ini dari klien eksternal mengirimkan alamat src ke daftar hitam. Semua.

/ip firewall filter
add action=add-src-to-address-list address-list="Honeypot Hacker" \
    address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox" \
    connection-state=new dst-port=22,3389,8291 in-interface=\
    ether4-wan protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker" \
    address-list-timeout=30d0h0m chain=input comment=\
    "block honeypot asterisk" connection-state=new dst-port=5060 \
    in-interface=ether4-wan protocol=udp 
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=\
    "Honeypot Hacker"

Aturan pertama pada port TCP populer 22, 3389, 8291 dari antarmuka ether4-wan eksternal mengirimkan IP tamu ke daftar Honeypot Hacker (port untuk ssh, rdp dan winbox dinonaktifkan terlebih dahulu atau diubah ke yang lain). Yang kedua melakukan hal yang sama pada UDP 5060 yang populer

. Aturan ketiga pada tahap pra-routing menjatuhkan paket "tamu" yang srs-addressnya masuk ke "Honeypot Hacker".

Setelah dua minggu bekerja di rumah Mikrotik, daftar Honeypot Hacker mencakup sekitar satu setengah ribu alamat IP penggemar ramah ambing sumber daya jaringan saya (telepon rumah, surat, nextcloud, rdp). Serangan brute force berhenti, kebahagiaan pun terjadi.

Di tempat kerja, tidak semuanya ternyata sangat sederhana, mereka terus menghancurkan server rdp dengan kata sandi brute force.

Rupanya, nomor port ditentukan oleh pemindai jauh sebelum honeypot dinyalakan, dan selama karantina tidak mudah untuk mengkonfigurasi ulang lebih dari 100 pengguna, yang 20% di atas 65 tahun. Jika port tidak dapat diubah, ada resep kerja kecil. Saya bertemu serupa di Internet, tetapi ada yang selesai dan fine-tuning:

Aturan untuk mengonfigurasi Port Knocking

 /ip firewall filter
add action=add-src-to-address-list address-list=rdp_blacklist \
    address-list-timeout=15m chain=forward comment=rdp_to_blacklist \
    connection-state=new dst-port=3389 protocol=tcp src-address-list=\
    rdp_stage12
add action=add-src-to-address-list address-list=rdp_stage12 \
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \
    protocol=tcp src-address-list=rdp_stage11
add action=add-src-to-address-list address-list=rdp_stage11 \
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \
    protocol=tcp src-address-list=rdp_stage10
add action=add-src-to-address-list address-list=rdp_stage10 \
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \
    protocol=tcp src-address-list=rdp_stage9
add action=add-src-to-address-list address-list=rdp_stage9 \
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \
    protocol=tcp src-address-list=rdp_stage8
add action=add-src-to-address-list address-list=rdp_stage8 \
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \
    protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage7 \
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \
    protocol=tcp src-address-list=rdp_stage6
add action=add-src-to-address-list address-list=rdp_stage6 \
    address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \
    protocol=tcp src-address-list=rdp_stage5
add action=add-src-to-address-list address-list=rdp_stage5 \
    address-list-timeout=2m chain=forward connection-state=new dst-port=\
    3389 protocol=tcp src-address-list=rdp_stage4
add action=add-src-to-address-list address-list=rdp_stage4 \
    address-list-timeout=2m chain=forward connection-state=new dst-port=\
    3389 protocol=tcp src-address-list=rdp_stage3
add action=add-src-to-address-list address-list=rdp_stage3 \
    address-list-timeout=2m chain=forward connection-state=new dst-port=3389 \
    protocol=tcp src-address-list=rdp_stage2
add action=add-src-to-address-list address-list=rdp_stage2 \
    address-list-timeout=2m chain=forward connection-state=new dst-port=3389 \
    protocol=tcp src-address-list=rdp_stage1
add action=add-src-to-address-list address-list=rdp_stage1 \
    address-list-timeout=2m chain=forward connection-state=new dst-port=3389 \
    protocol=tcp 
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=\
rdp_blacklist

Dalam 4 menit, klien jarak jauh diizinkan untuk membuat hanya 12 "permintaan" baru ke server RDP. Satu upaya login adalah dari 1 hingga 4 “permintaan”. Pada "permintaan" ke-12 - kunci selama 15 menit. Dalam kasus saya, para penyerang tidak berhenti meretas server, mereka beradaptasi dengan timer dan sekarang mereka melakukannya dengan sangat lambat, kecepatan pemilihan ini mengurangi efisiensi serangan menjadi nol. Karyawan perusahaan praktis tidak mengalami ketidaknyamanan dalam pekerjaan yang diambil.

Trik kecil lainnya

5, , .

/ip firewall filter 
add action=add-src-to-address-list address-list=rdp_blacklist \
    address-list-timeout=1w0d0h0m chain=forward comment=\
    "night_rdp_blacklist" connection-state=new disabled=\
    yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8

8 IP . !

Nah, selain yang di atas, saya akan menambahkan tautan ke artikel Wiki, dengan pengaturan kerja melindungi Mikrotik dari pemindai jaringan. wiki.mikrotik.com/wiki/Drop_port_scanners

Di perangkat saya, pengaturan ini bekerja bersama dengan aturan honeypot yang dijelaskan di atas, melengkapi mereka dengan baik.

UPD: Seperti yang disarankan dalam komentar, aturan drop paket telah dipindahkan ke RAW untuk mengurangi beban pada router.

Cara mudah untuk melindungi Mikrotik Anda dari serangan

More articles: