0

mikrotik

Настраиваем Honeypot на роутерах Mikrotik

Современный интернет такое место, где вы сразу же становитесь предметом нездорового любопытства для самых широких масс. Вас будут постоянно сканировать, проверять на наличие уязвимостей, открытых портов, пытаться подбирать пароли и т.д. и т.п. В этом случае есть смысл действовать на опережение и использовать Honeypot для выявления потенциальных злоумышленников. В данной статье мы рассмотрим суть этого метода и расскажем к настроить его на роутерах Mikrotik.

Honeypot – в переводе “горшочек с медом”, специальная приманка в виде открытого порта, который для реальной работы не используется, а любая попытка обращения на данный порт будет считаться проявлением нездорового интереса и занесением обратившегося в список злоумышленников. Действительно, если у вас нет почтового сервера, а кто-то пытается стучаться в “открытый” 25-й порт, то он явно не письмо от Деда Мороза принес, а ищет уязвимые или неправильно сконфигурированные почтовые сервера, поэтому самым правильным будет просто заблокировать такого товарища.

Но ведь у нас есть нормально закрытый брандмауэр, скажет внимательный читатель, который все равно его заблокирует. Да, это так. Но есть несколько моментов. Первый – нагрузка на роутер, особенно если у вас достаточно много правил. Второй – у вас действительно могут оказаться уязвимые или слабо защищенные сервисы и поэтому лучше, если потенциальный злоумышленник будет заблокирован сразу. без возможности дальше изучать вашу систему.

Правда, не все так просто, в собственный “горшочек” можно легко попасть самому. Поэтому настройку Honeypot нужно начать с составления белого списка, в который следует внести адреса всех внешних пользователей, админов, филиалов и внешних площадок, сторонних сервисов и т.д. и т.п. В общем всех, кто может с вполне легальными целями стучаться на ваш внешний интерфейс. Для пользователей без былых IP-адресов имеет смысл включать в список целые диапазоны подсетей провайдеров, да, это в чем-то снизит безопасность, но значительно повысит удобство использования такого решения.

Для создания такого списка перейдите в IP – Firewall – Address Lists и добавьте в список, скажем Allow_Honeypot, все необходимые адреса и сети.

Honeypot-Mikrotik-001.png

В терминале адрес можно добавить так:

/ip firewall address-list
add address=203.0.113.5 list=Allow_Honeypot

Теперь определим список портов для приманки, это могут быть для TCP: 22- SSH, 23 – Telnet, 25 – SMTP, 135-139,445 – Netbios, 3389 – RDP, 5060 – SIP, 8291 – Winbox и многие другие. Для UDP есть смысл контролировать: 123 – NTP, 135-139,445 – Netbios, 3389 – RDP, 5060 – SIP. Если у вас на этом порту работает какой-то легальный сервис, то можно перенести его на нестандартный порт, а стандарный оставить за приманку. От обнаружения сервиса это не спасет, но поможет отсеять совсем ту часть злоумышленников, которые постучаться на стандартный порт.

Переходим в IP – Firewall – Filter Rules и создаем правило для наших портов приманок: Chain – input, Protocol – tcp, Dst. Port – 22,23,25,135-139,445,3389,5060,8291, In. Interface – внешний интерфейс, в нашем случае ether5.

Honeypot-Mikrotik-002.pngЗатем на вкладке Advanced вносим в исключения наш белый список: Src. Address List – ! Allow_Honeypot.

Honeypot-Mikrotik-003.pngИ наконец в Action ставим действие add src to address list и указываем список для адресов злоумышенников, например, Drop_Honeypot. В поле Timeout указываем срок пребывания адреса в листе, в нашем случае 3 суток. К выбору этого параметра нужно относиться осмотрительно, больший срок упрощает работу и снижает износ флеш-памяти, но увеличивает вероятность того, что туда по ошибке попадут какие-то легальные адреса и вам придется их оттуда доставать руками.

Поэтому, на первых порах, мы не рекомендуем ставить большой срок, сначала следует отладить систему, а уже потом сроки нахождения в списках можно увеличить.

Honeypot-Mikrotik-004.pngДанное правило помещаем в самое начало цепочки input, т.е. выше всех остальных правил.

Затем копируем его и исправляем протокол на UDP, также корректируем список отслеживаемых портов.

Honeypot-Mikrotik-005.pngКроме того, мы можем повысить правдоподобность нашего “горшочка” действительно открывая TCP-порты используя действие tarpit, только открываться они будут в никуда и соединения будут висеть до истечения таймаута, что также затруднит работу злоумышленникам и снизит нагрузку на устройство. Для этого еще раз скопируйте правило для TCP и на закладке Action установите действие tarpit.

Honeypot-Mikrotik-006.pngОба этих правила также должны быть подняты в самый верх, правило с tarpit должно располагаться ниже правила с добавлением в список адресов.

Быстро создать правила в терминале можно командами:

/ip firewall filter
add action=add-src-to-address-list address-list=Drop_Honeypot address-list-timeout=3d chain=input dst-port=22,23,25,135-139,445,3389,5060,8291 \
in-interface=ether5 protocol=tcp src-address-list=!Allow_Honeypot
add action=tarpit chain=input dst-port=22,23,25,135-139,445,3389,5060,8291 in-interface=ether5 protocol=tcp src-address-list=!Allow_Honeypot
add action=add-src-to-address-list address-list=Drop_Honeypot address-list-timeout=3d chain=input dst-port=135-139,445,3389,5060 in-interface=ether5 \
protocol=udp src-address-list=!Allow_Honeypot

Некоторое время советуем просто понаблюдать за происходящим и убедиться, что в список не попадают легальные адреса, в противном случае условия правил нужно откорректировать, либо дополнить нужными адресами белый список.

После этого можно переходить к решительным мерам, для этого мы будем использовать таблицу raw, что позволит максимально снизить нагрузку на устройство. Переходим в IP – Firewall – Raw и создаем новое правило: на закладке General ставим Chain – prerouting, на Advanced – Src. Address List – Drop_Honeypot, а в Action указываем действие drop.

Honeypot-Mikrotik-008.pngВ терминале:

/ip firewall raw
add action=drop chain=prerouting src-address-list=Drop_Honeypot

В целом этого достаточно, чтобы заблокировать потенциальным злоумышленникам доступ к нашей сети, но если вы хотите большего, то можете заблокировать потенциальные соединения из вашей сети к злоумышленникам, для этого скопируйте правило, только на Advanced вместо Src. Address List – Drop_Honeypot укажите Dst. Address List – Drop_Honeypot.

Honeypot-Mikrotik-009.pngТеперь можем спать спокойно, роутер сам будет собирать список подозрительных личностей и блокировать их.

Свежие комментарии

Подписка

Лучшие статьи

Рубрики

Популярное

2

ПЕРЕХВАТ ПАКЕТОВ НА MIKROTIK

Привет, Мир! Сейчас расскажем об одном полезном методе траблшутинга и поиска проблем на роутерах MikroTik. Суть данного метода заключается в том, чтобы отлавливать
mikrotik
Previous Story

Настраиваем Honeypot для внутренней сети на роутерах Mikrotik

Next Story

Поиск в Linux с помощью команды find

Latest from Blog

Fail2ban обязательная защита сервера VPS

В операционной системе Ubuntu 18.04.4 LTS, 20.04.1 LTS Fail2ban ставиться очень просто, если вам нужна только защита SSH и вы используете для настройки фаервола iptables для начинающих: Простое управление брандмауэром с UFW. $

NGINX UPSTREAM

Чтобы наш сервер мог распределять нагрузку, создадим группу веб-серверов, на которые будут переводиться запросы: vi /etc/nginx/conf.d/upstreams.conf * в данном примере мы создаем файл upstreams.conf, в котором можем хранить все наши апстримы. NGINX автоматически

Очереди в Mikrotik

Рассмотрим примеры настройки Simple Queues (Простых очередей), SQ+Mangle (Простые очереди с маркировкой соединений и пакетов) и Queues Tree (Деревья очередей). Цвет иконок: использование доступной полосы. Параметры, на которые стоит обратить внимание: Kind PCQ:Классифицирует

Настройка Nginx в качестве обратного прокси-сервера для развертывания нескольких сервисов на одном сервере с помощью Docker

Чтобы легко начать работу с этой статьей, вам потребуются следующие знания. Но вы можете обойтись и без них. Мы использовали domain.ru в качестве примера доменного имени в статье. Убедитесь, что вы изменили
Go toTop

Don't Miss

mikrotik

Настройка черного и белого списков в роутерах Mikrotik

Ограничение доступа к тем или иным ресурсам сети интернет на
mikrotik

Настройка выборочного доступа к сайтам через VPN на роутерах Mikrotik

В нашем случае будет использоваться OpenVPN сервер на базе бесплатного VPS