В каком разделе будем создавать правила:
/ip firewall filter
Правило 1:
add action=add-src-to-address-list address-list="Honeypot Hacker" \
address-list-timeout=30d0h0m chain=input comment="block honeypot ssh rdp winbox" \
connection-state=new dst-port=22,3389,8291 in-interface=\
ether4-wan protocol=tcp
Правило 2:
add action=add-src-to-address-list address-list="Honeypot Hacker" \
address-list-timeout=30d0h0m chain=input comment=\
"block honeypot asterisk" connection-state=new dst-port=5060 \
in-interface=ether4-wan protocol=udp
В каком разделе будем создавать правило:
/ip firewall raw
Правило 3:
add action=drop chain=prerouting in-interface=ether4-wan src-address-list=\
"Honeypot Hacker"
Первое правило на популярных TCP портах 22, 3389, 8291 внешнего интерфейса ether4-wan отправляет IP «гостя» в список «Honeypot Hacker» (порты для ssh, rdp и winbox заблаговременно отключены или изменены на другие). Второе делает то-же самое на популярном UDP 5060.
Третье правило на стадии прероутинга дропает пакеты «гостей» чей srs-address попал в «Honeypot Hacker».
Спустя две недели работы моего домашнего Mikrotik список «Honeypot Hacker» включил в себя около полутора тысяч IP адресов любителей «подержать за вымя» мои сетевые ресурсы (дома своя телефония, почта, nextcloud, rdp) Brute-force атаки прекратились, наступило блаженство.
Но вам может не так повезти, и rdp сервер продолжат ломать перебором паролей, ведь не всегда порт на котором находится сервис можно поменять.
Как защититься от перебора паролей на уже обнаруженном сервере?
Комментарии
RSS лента комментариев этой записи