HoneyPot – Захист MikroTik від Зловмисників

Leave a Comment | MikroTik |

Honeypot («Пастка») (горщик з медом) — ресурс, що є собою приманкою для зловмисників.

У чому ідея Honeypot: ми виставляємо назовні будь-які порти на нашому роутері, які ми не використовуємо для реальної роботи, ці порти ми вказуємо як приманку. Зловмисник, намагаючись отримати доступ до порту, який нікуди не веде, тим самим розкриває свою IP адресу. Після цього ми починаємо блокувати цю адресу, тим самим захищаючись від потенційних загроз.

Створення правил HoneyPot

Підключаємось до маршрутизатора і заходимо до розділу IP > Firewall > Filter Rules. Ми будемо використовувати для приманки TCP порт 3389, це порт RDP, але ви можете взяти для себе будь-який інший порт, який ви не використовуєте. Також рекомендую обирати популярні порти, на них як то кажуть краще клює зловмисник!

1 Правило:

Натискаємо +, Chain: input, Protocol: tcp, Dst. Port: 3389, In. Interface: ethr1, тобто той інтерфейс, до якого підключений провайдер. Якщо не вказувати інтерфейс, то це правило буде поширюватись на увесь ланцюжок input.

h 8
h 2

Переходимо в Action і обираємо add src to address list. Тобто додаємо все що прилітає на порт 3389 по протоколу tcp в адрес лист. Даємо ім`я цьому списку, наприклад honeypot і встановлюємо термін, на який ми поміщаємо адресу зловмисника в цей список. Параметр Timeout відповідає за життя адрес в address list. Налаштування цього параметра слід враховувати з доступних ресурсів вашого маршрутизатора:

  • none dynamic – (динамічно, зберігається до перезавантаження маршрутизатора)
  • none static – (постійний запис, зберігається в конфігурації до моменту, поки ви його не видалите).
  • 14d 00:00:00 – (записи зберігаються, НАПРИКЛАД 14 днів)

Слід врахувати, що постійні цикли перезапису на flash накопичувачі, можуть негативно впливати на його роботу, оскільки збільшується ризик появи bad блоків і подальшої непрацездатності вашого роутера. Тому тут все обираємо індивідуально.  Йдемо далі.

2 Правило:

Тепер створимо правило, яке безпосередньо блокуватиме зловмисників. Переходимо в IP > Firewall > Raw та створюємо нове правило.

honeyPot
honeyPot

Додамо ще одне правило, для повної ізоляції нашої мережі від зловмисників. Також переходимо в IP > Firewall > Raw і створюємо нове правило, але замість Src. Address List вказуємо Dst. Address List.Тим самим ми блокуємо пакети від зловмисника до нашої мережі та пакети з нашої мережі до зловмисника.

Рекомендації щодо використання Honeypot:

Зробіть додаткове налаштування !src-address-list=Admin (Крім дозволених ip адрес, наприклад, адреси системних адміністраторів, або адрес провайдера тощо, це потрібно зробити для того, щоб випадково не заблокувати важливі адреси) В address-list Admin внесіть адреси, які слід ігнорувати HoneyPot.

На цьому ми закінчили налаштування HoneyPot – Захист MikroTik від Зловмисників.

Схожі матеріали по MikroTik – https://itorakul.com.ua/category/mikrotik-uk/

5 1 vote
Rating
guest
0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
Scroll to Top