0

mikrotik

Настраиваем Honeypot на роутерах Mikrotik

05.08.2023

Современный интернет такое место, где вы сразу же становитесь предметом нездорового любопытства для самых широких масс. Вас будут постоянно сканировать, проверять на наличие уязвимостей, открытых портов, пытаться подбирать пароли и т.д. и т.п. В этом случае есть смысл действовать на опережение и использовать Honeypot для выявления потенциальных злоумышленников. В данной статье мы рассмотрим суть этого метода и расскажем к настроить его на роутерах Mikrotik.

Honeypot – в переводе “горшочек с медом”, специальная приманка в виде открытого порта, который для реальной работы не используется, а любая попытка обращения на данный порт будет считаться проявлением нездорового интереса и занесением обратившегося в список злоумышленников. Действительно, если у вас нет почтового сервера, а кто-то пытается стучаться в “открытый” 25-й порт, то он явно не письмо от Деда Мороза принес, а ищет уязвимые или неправильно сконфигурированные почтовые сервера, поэтому самым правильным будет просто заблокировать такого товарища.

Но ведь у нас есть нормально закрытый брандмауэр, скажет внимательный читатель, который все равно его заблокирует. Да, это так. Но есть несколько моментов. Первый – нагрузка на роутер, особенно если у вас достаточно много правил. Второй – у вас действительно могут оказаться уязвимые или слабо защищенные сервисы и поэтому лучше, если потенциальный злоумышленник будет заблокирован сразу. без возможности дальше изучать вашу систему.

Правда, не все так просто, в собственный “горшочек” можно легко попасть самому. Поэтому настройку Honeypot нужно начать с составления белого списка, в который следует внести адреса всех внешних пользователей, админов, филиалов и внешних площадок, сторонних сервисов и т.д. и т.п. В общем всех, кто может с вполне легальными целями стучаться на ваш внешний интерфейс. Для пользователей без былых IP-адресов имеет смысл включать в список целые диапазоны подсетей провайдеров, да, это в чем-то снизит безопасность, но значительно повысит удобство использования такого решения.

Для создания такого списка перейдите в IP – Firewall – Address Lists и добавьте в список, скажем Allow_Honeypot, все необходимые адреса и сети.

Honeypot-Mikrotik-001.png

В терминале адрес можно добавить так:

/ip firewall address-list
add address=203.0.113.5 list=Allow_Honeypot

Теперь определим список портов для приманки, это могут быть для TCP: 22- SSH, 23 – Telnet, 25 – SMTP, 135-139,445 – Netbios, 3389 – RDP, 5060 – SIP, 8291 – Winbox и многие другие. Для UDP есть смысл контролировать: 123 – NTP, 135-139,445 – Netbios, 3389 – RDP, 5060 – SIP. Если у вас на этом порту работает какой-то легальный сервис, то можно перенести его на нестандартный порт, а стандарный оставить за приманку. От обнаружения сервиса это не спасет, но поможет отсеять совсем ту часть злоумышленников, которые постучаться на стандартный порт.

Переходим в IP – Firewall – Filter Rules и создаем правило для наших портов приманок: Chain – input, Protocol – tcp, Dst. Port – 22,23,25,135-139,445,3389,5060,8291, In. Interface – внешний интерфейс, в нашем случае ether5.

Honeypot-Mikrotik-002.pngЗатем на вкладке Advanced вносим в исключения наш белый список: Src. Address List – ! Allow_Honeypot.

Honeypot-Mikrotik-003.pngИ наконец в Action ставим действие add src to address list и указываем список для адресов злоумышенников, например, Drop_Honeypot. В поле Timeout указываем срок пребывания адреса в листе, в нашем случае 3 суток. К выбору этого параметра нужно относиться осмотрительно, больший срок упрощает работу и снижает износ флеш-памяти, но увеличивает вероятность того, что туда по ошибке попадут какие-то легальные адреса и вам придется их оттуда доставать руками.

Поэтому, на первых порах, мы не рекомендуем ставить большой срок, сначала следует отладить систему, а уже потом сроки нахождения в списках можно увеличить.

Honeypot-Mikrotik-004.pngДанное правило помещаем в самое начало цепочки input, т.е. выше всех остальных правил.

Затем копируем его и исправляем протокол на UDP, также корректируем список отслеживаемых портов.

Honeypot-Mikrotik-005.pngКроме того, мы можем повысить правдоподобность нашего “горшочка” действительно открывая TCP-порты используя действие tarpit, только открываться они будут в никуда и соединения будут висеть до истечения таймаута, что также затруднит работу злоумышленникам и снизит нагрузку на устройство. Для этого еще раз скопируйте правило для TCP и на закладке Action установите действие tarpit.

Honeypot-Mikrotik-006.pngОба этих правила также должны быть подняты в самый верх, правило с tarpit должно располагаться ниже правила с добавлением в список адресов.

Быстро создать правила в терминале можно командами:

/ip firewall filter
add action=add-src-to-address-list address-list=Drop_Honeypot address-list-timeout=3d chain=input dst-port=22,23,25,135-139,445,3389,5060,8291 \
in-interface=ether5 protocol=tcp src-address-list=!Allow_Honeypot
add action=tarpit chain=input dst-port=22,23,25,135-139,445,3389,5060,8291 in-interface=ether5 protocol=tcp src-address-list=!Allow_Honeypot
add action=add-src-to-address-list address-list=Drop_Honeypot address-list-timeout=3d chain=input dst-port=135-139,445,3389,5060 in-interface=ether5 \
protocol=udp src-address-list=!Allow_Honeypot

Некоторое время советуем просто понаблюдать за происходящим и убедиться, что в список не попадают легальные адреса, в противном случае условия правил нужно откорректировать, либо дополнить нужными адресами белый список.

После этого можно переходить к решительным мерам, для этого мы будем использовать таблицу raw, что позволит максимально снизить нагрузку на устройство. Переходим в IP – Firewall – Raw и создаем новое правило: на закладке General ставим Chain – prerouting, на Advanced – Src. Address List – Drop_Honeypot, а в Action указываем действие drop.

Honeypot-Mikrotik-008.pngВ терминале:

/ip firewall raw
add action=drop chain=prerouting src-address-list=Drop_Honeypot

В целом этого достаточно, чтобы заблокировать потенциальным злоумышленникам доступ к нашей сети, но если вы хотите большего, то можете заблокировать потенциальные соединения из вашей сети к злоумышленникам, для этого скопируйте правило, только на Advanced вместо Src. Address List – Drop_Honeypot укажите Dst. Address List – Drop_Honeypot.

Honeypot-Mikrotik-009.pngТеперь можем спать спокойно, роутер сам будет собирать список подозрительных личностей и блокировать их.

Свежие комментарии

Подписка

Лучшие статьи

Рубрики

Популярное

2 2.1K views

ПЕРЕХВАТ ПАКЕТОВ НА MIKROTIK

Привет, Мир! Сейчас расскажем об одном полезном методе траблшутинга и поиска проблем на роутерах MikroTik. Суть данного метода заключается в том, чтобы отлавливать
mikrotik
Previous Story

Настраиваем Honeypot для внутренней сети на роутерах Mikrotik

Next Story

Поиск в Linux с помощью команды find

Latest from Blog

Настройка и использование Redis

В этой статье мы расскажем что такое Redis, его преимущества и для каких целей он используется. Redis (REmote DIctionary Server) — сетевое журналируемое хранилище данных типа “ключ” — “значение” с открытым исходным кодом. По сути Redis представляет собой базу данных

Настройка и использование Memcached

В статье мы расскажем, что такое Memcache, зачем он нужен и как он влияет на работу некоторых популярных CMS. Кеширование данных – немаловажный момент в работе любого веб-проекта. С ростом посещаемости увеличиваются требования к

Как настроить логирование и ротацию логов Nginx

Вовремя настроенное журналирование позволяет в дальнейшем избежать неожиданных проблем с веб-сервером. Информация, хранящаяся в логах (или журналах) сервера, помогает быстро оценить ситуацию и устранить ошибки. В этой статье мы рассмотрим возможности логирования

Распределение выполнения запросов внутри приватной сети VPS через HAProxy

Приватную сеть можно использовать для распределения выполнения загрузки и балансировки запросов между несколькими серверами. Рассмотрим организацию такой балансировки на примере HAProxy – бесплатного ПО, предназначенного для распределения нагрузки и организации проксирования TCP-пакетов между несколькими обслуживающими

Использование MySQL на отдельном сервере с приватной сетью VPS

Приватную сеть – функционал, доступный пользователям VPS – можно использовать для вынесения MySQL на отдельный сервер. В этом случае веб-сервер обрабатывает запросы от клиентов и через приватное подключение обменивается данными с базой. Это
Go toTop

Don't Miss

mikrotik

Настройка черного и белого списков в роутерах Mikrotik

Ограничение доступа к тем или иным ресурсам сети интернет на
mikrotik

Настройка выборочного доступа к сайтам через VPN на роутерах Mikrotik

В нашем случае будет использоваться OpenVPN сервер на базе бесплатного VPS