Использование Honeypot на MikroTik

. Просмотров: 2155

Рейтинг:  5 / 5

Звезда активнаЗвезда активнаЗвезда активнаЗвезда активнаЗвезда активна
 

Предлагаю пример использования ловушек Honeypot для защиты маршрутизатора и локальной сети от сканирования портов, подбора паролей и пр.

Принцип действия простой:

Маршрутизатор все обращения на внешний интерфейс с именем wan и указанные порты, которые у вас не используются, но пользуются популярностью у злоумышленников, заносит ip адрес источника на неделю в адрес-лист BlackList и блокирует их. Есть адрес-лист WhiteList в который нужно занести адреса которые не должны блокироваться.

 
Заносим ip-адреса в BlackList по обращениям к UDP портам
  • 53 - запросы к DNS серверу
  • 123 - запросы к NTP серверу
  • 5060 - SIP
/ip firewall filter add action=add-src-to-address-list address-list=BlackList address-list-timeout=1w chain=input comment="Honeypot UDP" dst-port=53,123,5060 in-interface=wan log=yes protocol=udp src-address-list=!WhiteList place-before=0

 

 
Заносим ip-адреса в BlackList по обращениям к TCP портам
  • 20-21 - FTP
  • 23 - telnet
  • 22 - SSH
  • 53 - запросы к DNS серверу
  • 80 - WWW
  • 3389 - MS Terminal Server
  • 5060 - SIP
/ip firewall filter add action=add-src-to-address-list address-list=BlackList address-list-timeout=1w chain=input comment="Honeypot TCP" dst-port=20,21,22,23,25,53,80,5060,3389 in-interface=wan log=yes protocol=tcp src-address-list=!WhiteList place-before=0

ВНИМАНИЕ: порты указаны для примера. Откорректируйте их под вашу задачу. Главное не указывать порты которые у вас используются.

 
И теперь блокируем все обращения к маршрутизатору (цепочка input) и за маршрутизатор (forward)
/ip firewall filter add action=drop chain=input comment=BlackList in-interface=wan src-address-list=BlackList place-before=0
/ip firewall filter add action=drop chain=forward comment=BlackList in-interface=wan src-address-list=BlackList place-before=0

Вот и все.

 

Это пример для отдельно стоящего маршрутизатора. Если у вас несколько маршрутизаторов, то можно организовать обмен адрес-листами между маршрутизаторами, через скрипт. Еще лучше организовать отделный сервер с honeyd, к примеру, и уже с него подсасывать список на маршрутизаторы.

Для общего развития посмотрите еще Bruteforce login prevention и Port Knocking

 

Недостаточно прав для комментирования