fb logo  VK  Feed icon.svg  

Настройка защиты от перебора RDP пароля на MikroTik

опубликовал от 22 Июль, 2020

Статья написана в продолжении этой, которая позволяет защитить RDP, если можно изменить уже определённый сканерами порт. В случае когда порт менять нельзя, есть небольшой рабочий рецепт. Подобное в интернете встречал, но тут присутствует допил и тонкая настройка.

Правила для настройки Port Knocking

Раздел:

/ip firewall filter

Правила:

add action=add-src-to-address-list address-list=rdp_blacklist \

address-list-timeout=15m chain=forward comment=rdp_to_blacklist \

connection-state=new dst-port=3389 protocol=tcp src-address-list=\

rdp_stage12

add action=add-src-to-address-list address-list=rdp_stage12 \

address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage11

add action=add-src-to-address-list address-list=rdp_stage11 \

address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage10

add action=add-src-to-address-list address-list=rdp_stage10 \

address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage9

add action=add-src-to-address-list address-list=rdp_stage9 \

address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage8

add action=add-src-to-address-list address-list=rdp_stage8 \

address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage4

add action=add-src-to-address-list address-list=rdp_stage7 \

address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage6

add action=add-src-to-address-list address-list=rdp_stage6 \

address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage5

add action=add-src-to-address-list address-list=rdp_stage5 \

address-list-timeout=2m chain=forward connection-state=new dst-port=\

3389 protocol=tcp src-address-list=rdp_stage4

add action=add-src-to-address-list address-list=rdp_stage4 \

address-list-timeout=2m chain=forward connection-state=new dst-port=\

3389 protocol=tcp src-address-list=rdp_stage3

add action=add-src-to-address-list address-list=rdp_stage3 \

address-list-timeout=2m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage2

add action=add-src-to-address-list address-list=rdp_stage2 \

address-list-timeout=2m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage1

add action=add-src-to-address-list address-list=rdp_stage1 \

address-list-timeout=2m chain=forward connection-state=new dst-port=3389 \

protocol=tcp

Раздел:

/ip firewall raw

Правила:

add action=drop chain=prerouting in-interface=ether4-wan src-address-list=\

rdp_blacklist

За 4 минуты удаленному клиенту разрешается сделать только 12 новых «запросов» к RDP серверу. Одна попытка входа — это от 1 до 4 «запросов». При 12-ом «запросе» — блокировка на 15 минут. В моем случае злоумышленники сервер взламывать не перестали, подстроились под таймеры и теперь делают это очень медленно, такая скорость подбора сводит эффективность атаки к нулю. Сотрудники предприятия от принятых мер никаких неудобств в работе практически не испытывают.

Можно также блокировать доступ к серверу между 1:00 ночи и 5:00 утра:

/ip firewall filter

add action=add-src-to-address-list address-list=rdp_blacklist \

address-list-timeout=1w0d0h0m chain=forward comment=\

"night_rdp_blacklist" connection-state=new disabled=\

yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8

Уже на 8-ом по счету соединении IP злоумышленника отправляется в черный список на неделю. Красота!

Ну и в довесок к вышесказанному добавлю ссылку на Wiki статью, с рабочей настройкой защиты Микротика от сетевых сканеров. wiki.mikrotik.com/wiki/Drop_port_scanners

Ещё один вариант защиты для портов торчащих внаружу Port Knocking:

https://netflow.by/blog/net/4752-port-knocking-s-ispolzovaniem-icmp-na-mikrotik

Прочитано 23960 раз Последнее изменение Суббота, 10 Октябрь 2020 16:31
Алекс Ньюсмейкер

Нахожу для вас самые интересные новости! Участвую в форуме!

Сайт: https://www.netflow.by/forum/newtopic

Другие материалы с нашего сайта:

Комментарии   

Mexican
# 0 Mexican 08.11.2022 03:23
Спешу Вас огорчить: эффективность атаки, вероятно, вообще не пострадала. Во-первых, пока злоумышленник ожидает возможность совершить очередную попытку входа в Вашу систему, он не коротает время, решая сканворды. В мире очень много торчащих наружу RDP-сервисов. Список их адресов можно составить самостоятельно или скачать в готовом виде. Пока адрес не подключается к Вам, он вполне может искать удачу на другом адресе.
Во-вторых, опытные хакеры для подобных атак используют огромные массивы атакующих адресов (ботнеты).
Так что, такое решение будет просто тратить ресурсы роутера на хранение списка блокируемых адресов. +Обработка правил.
Если же цель - не накопление данных, а защита ресурсов, лучше сразу настраивать port-knocking и взять себе за правило не вывешивать наружу какие-либо сервисы, пока этого нет объективной необходимости.
Ответить
Кардаш Александр
# 0 Кардаш Александр 08.11.2022 18:28
Вы знаете - ботнеты есть далеко не у всех
Ответить
delphin
# 0 delphin 21.04.2021 13:44
add action=add-src-to-address-list address-list=rdp_stage8 \
address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \
protocol=tcp src-address-list=rdp_stage4

Два раза повторяется, в одном месте нужно заменить на rdp_stage7
Ответить
SergeyZ
# 0 SergeyZ 03.03.2021 09:18
Для запрета вы используете RAW, другой автор использует FILTER
В чем отличие и что предпочтительнее?
/ip firewall raw
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=rdp_blacklist

/ip firewall filter
add action=drop chain=Input in-interface=ether4-wan src-address-list=rdp_blacklist

Ответ: с RAW будет меньше нагрузка на процессор маршрутизатора
Ответить
Denis
# +1 Denis 14.02.2021 09:02
Конечно круто все НО куда его это правило засунуть 1 или 34 а главное как проверить ????

Ответ: В терминал засунуть....
Ответить
Ruslan
# 0 Ruslan 05.04.2022 10:26
Ответ: В терминал засунуть....

Ответ профана
Ответить

Добавить комментарий

Комментарий будет удалён, если не будет содержать осмысленный текст. В тексте сообщения не должно быть бесполезных ссылок на другие сайты.

 rss  vk groupe

 

Нородная примета
Народная примета: если программист в 9.00 утра на работе, значит, он там ночевал…
Испугался!
— Вы уверены что хотите удалить папку D:TEMP ?— Да.— В этой папке находятся файлы. Вы уверены что хотите их удалить?— Да!— Удаление этих файлов может повлиять на зарегистрированные программы. Вы все еще уверены?— Да! Да! Да!!!— Эти файлы могут использоваться системой. Вы уверены?— Пошла ты! —
Анекдот дня
Объявление в Интернете: Куплю винчестер. Жёсткие диски не предлагать! Кликуха - это не то, что вы подумали, а компьютеpная мышь!
«
»
  • 1
  • 2
  • 3
  • 4
  • 5

Нравится ли вам наш блог?

Услуги по удалённой настройке MikroTik
Полноценное использование маршрутизатора MikroTik достигается только в результате его грамотной настройки. Неопытный специалист может очень долго провозиться с маршрутизатором, так и не заставив его
Услуги переустановки Windows с выездом в офис
Переустановка Windows на дому и офисе с выездом по Минску весьма востребованная услуга. Иногда ввиду заражения вирусами или вредоносными программами, а также после случайно удаления системных
Услуги ремонта компьютеров с выездом в офис
Каждый из нас хоть раз сталкивался с неожиданной поломкой компьютера, его комплектующих, или же выхода из строя программного обеспечения. Зачастую, это происходит в самый неподходящий момент: когда
Услуги настройки Wi-Fi сети на дому и в офисе
Настроим любые Wi-Fi роутеры с выездом к вам на дом или в офис по Минску. Современные компьютерные технологии предлагают пользователю все новые достижения, способные сделать работу с компьютером и
Услуги по настройке модемов на дому и в офисе
Настроим роутеры белорусских интернет провайдеров с выездом на дом и в офис по Минску. Сегодня многие пользователи знакомы с беспроводными сетями, знают о преимуществах их использования. Однако
Услуги установки и настройки свободных программ
Для начинающих пользователей Windows и Mac мы предлагаем услуги установки и настройки свободного программного обеспечения с выездом по Минску в офис. Предлагаем вам установить: пакет офисных
Услуги настройки роутеров в офисе и на дому
Использование маршрутизатора (англ. router) возможно только после его правильной настройки, а это не так уж и просто. Как правило нет опредёлённой методологии для осуществления настройки, ведь
Услуги настройки и обслуживания локальных сетей
Настройка локальной сети в Минске является ответственным этапом запуска сетей и требует тщательной проработки квалифицированными специалистами. Локальные сети (проводные и беспроводные) дают
Услуги монтажа локальной вычислительной сети
Прокладка локальных сетей это комплексная работа, которая выполняется нашими специалистами качественно, продуманно и в сроки, четко оговоренные с заказчиком. На сегодняшний день, прокладка
Услуги подключения и настройки периферийных устройств
Если Вы приобрели оборудование для персонального компьютера, но не знаете как его установить и настроить, не хотите копаться в тонкостях подобных работ или же не имеете на это время, опытные
Услуги чистки ноутбуков от пыли в офисе
Одна из самых распространенных неисправностей ноутбука является перегрев из-за забившейся пылью системы охлаждения. В следствии чего ноутбук тормозит, а порой даже выключается.  Если Ваш

Авторизация