Защита от перебора паролей на MikroTik honeypot

опубликовал Алекс Ньюсмейкер

от 22 Июль, 2020

Итак, что такое honeypot — это приманка. В нашем случае какой-либо популярный порт на внешнем IP, любой запрос на этот порт от внешнего клиента отправляет src адрес в черный список. На практике, для того чтобы уберечься от сканирования можно примешивать ещё случайные порты вблизи ваших проброшенных. Например, если вы защищаетесь от сканирования RDP перенесённых на порт 33449 то желательно закрыть ещё например 33440 и 33460.... Впринципе, можно примешать целый диапазон портов (20% возможных портов) для защиты от рандомного сканирования ....

В каком разделе будем создавать правила:

/ip firewall filter

Правило 1:

add action=add-src-to-address-list address-list="Honeypot Hacker" \ address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox" \ connection-state=new dst-port=22,3389,8291 in-interface=\ ether4-wan protocol=tcp

Правило 2:

add action=add-src-to-address-list address-list="Honeypot Hacker" \ address-list-timeout=30d0h0m chain=input comment=\ "block honeypot asterisk" connection-state=new dst-port=5060 \ in-interface=ether4-wan protocol=udp

В каком разделе будем создавать правило:

/ip firewall raw

Правило 3:

add action=drop chain=prerouting in-interface=ether4-wan src-address-list=\ "Honeypot Hacker"

Первое правило на популярных TCP портах 22, 3389, 8291 внешнего интерфейса ether4-wan отправляет IP «гостя» в список «Honeypot Hacker» (порты для ssh, rdp и winbox заблаговременно отключены или изменены на другие). Второе делает то-же самое на популярном UDP 5060.

Третье правило на стадии прероутинга дропает пакеты «гостей» чей srs-address попал в «Honeypot Hacker».

Спустя две недели работы моего домашнего Mikrotik список «Honeypot Hacker» включил в себя около полутора тысяч IP адресов любителей «подержать за вымя» мои сетевые ресурсы (дома своя телефония, почта, nextcloud, rdp) Brute-force атаки прекратились, наступило блаженство.

Но вам может не так повезти, и rdp сервер продолжат ломать перебором паролей, ведь не всегда порт на котором находится сервис можно поменять.

Как защититься от перебора паролей на уже обнаруженном сервере?

Прочитано 21109 раз Последнее изменение Четверг, 23 Июль 2020 12:38

Теги

MikroTik

Алекс Ньюсмейкер

Нахожу для вас самые интересные новости! Участвую в форуме!

Сайт: https://www.netflow.by/forum/newtopic

Другие материалы с нашего сайта:

к слову о блокировке перебора на rdp сервере
а если в правилах ловли не указывать интерфейс на котором это ловится, то неважно какой внешний порт, он смотрит все пакеты на нужеый порт. например есть много внешних 22465,5872,4536 и т.д. но все идут на 3389 внутри, то пойманы будут кто начинает новые соединения. а дальше только от тупизны юзверей и стабильности канала, зависит сколько делаю попыток.

/ip firewall filter add action=add-src-to-address-list address-list=rdp_2 address-list-timeout=2m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_1
/ip firewall filter add action=add-src-to-address-list address-list=rdp_1 address-list-timeout=2m chain=forward connection-state=new dst-port=3389 protocol=tcp

Ответить

# +1 Mexican 08.11.2022 03:28

Хотел уточнить, что смена порта вообще не работает. Сервисы типа shodan, leakix сканируют все порты и по ответам сервера определяют какая служба на каком порте "вывешена". А потом предоставляют сведения всем желающим +- бесплатно.

Ответить