fb logo  VK  Feed icon.svg  

Настройка защиты от перебора RDP пароля на MikroTik

опубликовал от 22 July, 2020

Статья написана в продолжении этой, которая позволяет защитить RDP, если можно изменить уже определённый сканерами порт. В случае когда порт менять нельзя, есть небольшой рабочий рецепт. Подобное в интернете встречал, но тут присутствует допил и тонкая настройка.

Правила для настройки Port Knocking

Раздел:

/ip firewall filter

Правила:

add action=add-src-to-address-list address-list=rdp_blacklist \

address-list-timeout=15m chain=forward comment=rdp_to_blacklist \

connection-state=new dst-port=3389 protocol=tcp src-address-list=\

rdp_stage12

add action=add-src-to-address-list address-list=rdp_stage12 \

address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage11

add action=add-src-to-address-list address-list=rdp_stage11 \

address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage10

add action=add-src-to-address-list address-list=rdp_stage10 \

address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage9

add action=add-src-to-address-list address-list=rdp_stage9 \

address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage8

add action=add-src-to-address-list address-list=rdp_stage8 \

address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage4

add action=add-src-to-address-list address-list=rdp_stage7 \

address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage6

add action=add-src-to-address-list address-list=rdp_stage6 \

address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage5

add action=add-src-to-address-list address-list=rdp_stage5 \

address-list-timeout=2m chain=forward connection-state=new dst-port=\

3389 protocol=tcp src-address-list=rdp_stage4

add action=add-src-to-address-list address-list=rdp_stage4 \

address-list-timeout=2m chain=forward connection-state=new dst-port=\

3389 protocol=tcp src-address-list=rdp_stage3

add action=add-src-to-address-list address-list=rdp_stage3 \

address-list-timeout=2m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage2

add action=add-src-to-address-list address-list=rdp_stage2 \

address-list-timeout=2m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage1

add action=add-src-to-address-list address-list=rdp_stage1 \

address-list-timeout=2m chain=forward connection-state=new dst-port=3389 \

protocol=tcp

Раздел:

/ip firewall raw

Правила:

add action=drop chain=prerouting in-interface=ether4-wan src-address-list=\

rdp_blacklist

За 4 минуты удаленному клиенту разрешается сделать только 12 новых «запросов» к RDP серверу. Одна попытка входа — это от 1 до 4 «запросов». При 12-ом «запросе» — блокировка на 15 минут. В моем случае злоумышленники сервер взламывать не перестали, подстроились под таймеры и теперь делают это очень медленно, такая скорость подбора сводит эффективность атаки к нулю. Сотрудники предприятия от принятых мер никаких неудобств в работе практически не испытывают.

Можно также блокировать доступ к серверу между 1:00 ночи и 5:00 утра:

/ip firewall filter

add action=add-src-to-address-list address-list=rdp_blacklist \

address-list-timeout=1w0d0h0m chain=forward comment=\

"night_rdp_blacklist" connection-state=new disabled=\

yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8

Уже на 8-ом по счету соединении IP злоумышленника отправляется в черный список на неделю. Красота!

Ну и в довесок к вышесказанному добавлю ссылку на Wiki статью, с рабочей настройкой защиты Микротика от сетевых сканеров. wiki.mikrotik.com/wiki/Drop_port_scanners

Ещё один вариант защиты для портов торчащих внаружу Port Knocking:

https://netflow.by/blog/net/4752-port-knocking-s-ispolzovaniem-icmp-na-mikrotik

Read 27362 times Last modified on Saturday, 10 October 2020 16:31
Алекс Ньюсмейкер

Нахожу для вас самые интересные новости! Участвую в форуме!

Website: https://www.netflow.by/forum/newtopic

Related items

Add comment

Комментарий будет удалён, если не будет содержать осмысленный текст. В тексте сообщения не должно быть бесполезных ссылок на другие сайты.

Анекдот дня
1) Со слов менеджера: -Hе включается компьютер - зову админа. Админ приходит, воздевает руки к небу, бормочет про себя невнятные слова, поворачивает мой стул 10 раз вокруг своей оси, пинаеткомпьютер - тот начинает работать. Вновь воздевает руки к небу, что-то бормочет, уходит. 2) Со слов
Скромняга
Как-то раз Билла Гейтса спросили:— Какая из операционных систем, когда либо создававшихся человеком,самая лучшая?— UNIX, — не задумываясь ответил Гейтс.— Но… а как же Windows?— Windows создал Бог, — скромно ответил тот.
«
»
  • 1
  • 2
  • 3
  • 4
  • 5

Нравится ли вам наш блог?

Услуги по удалённой настройке MikroTik от профессионала
Полноценное использование маршрутизатора MikroTik достигается только в результате его грамотной настройки. Неопытный специалист может очень долго провозиться с маршрутизатором, так и не заставив его
Услуги переустановки Windows с выездом в офис
Переустановка Windows на дому и офисе с выездом по Минску весьма востребованная услуга. Иногда ввиду заражения вирусами или вредоносными программами, а также после случайно удаления системных
Услуги ремонта компьютеров с выездом в офис
Каждый из нас хоть раз сталкивался с неожиданной поломкой компьютера, его комплектующих, или же сбоя в программном обеспечении. Зачастую, это происходит в самый неподходящий момент: когда нужно
Услуги настройки Wi-Fi сети на дому и в офисе
Настроим любые Wi-Fi роутеры с выездом к вам на дом или в офис по Минску. Современные компьютерные технологии предлагают пользователю все новые достижения, способные сделать работу с компьютером и
Услуги по настройке модемов на дому и в офисе
Настроим роутеры белорусских интернет провайдеров с выездом на дом и в офис по Минску. Сегодня многие пользователи знакомы с беспроводными сетями, знают о преимуществах их использования. Однако
Услуги установки и настройки свободных программ
Для начинающих пользователей Windows и Mac мы предлагаем услуги установки и настройки свободного программного обеспечения с выездом по Минску в офис. Предлагаем вам установить: пакет офисных
Услуги настройки роутеров в офисе и на дому
Использование маршрутизатора (англ. router) возможно только после его правильной настройки, а это не так уж и просто. Как правило нет опредёлённой методологии для осуществления настройки, ведь
Услуги настройки и обслуживания локальных сетей
Настройка локальной сети в Минске является ответственным этапом запуска сетей и требует тщательной проработки квалифицированными специалистами. Локальные сети (проводные и беспроводные) дают
Услуги монтажа локальной вычислительной сети
Прокладка локальных сетей это комплексная работа, которая выполняется нашими специалистами качественно, продуманно и в сроки, четко оговоренные с заказчиком. На сегодняшний день, прокладка
Услуги подключения и настройки периферийных устройств
Если Вы приобрели оборудование для персонального компьютера, но не знаете как его установить и настроить, не хотите копаться в тонкостях подобных работ или же не имеете на это время, опытные
Услуги чистки ноутбуков от пыли в офисе
Одна из самых распространенных неисправностей ноутбука является перегрев из-за забившейся пылью системы охлаждения. В следствии чего ноутбук тормозит, а порой даже выключается.  Если Ваш

Авторизация