В данной статье мы поговорим о Honeypot.
Honeypot – ресурс, представляющий собой приманку для злоумышленников.
В чём идея Honeypot: мы выставляем наружу какие-либо порты на нашем роутере, которые мы не используем для реальной работы, а, которые мы указываем в качестве приманки. Злоумышленник, когда пытается получить доступ к данному порту, который никуда не идёт, тем самым раскрывает свой адрес. После мы начинаем блокировать этот адрес, тем самым, защищаясь от потенциальных угроз.
Чаще всего злоумышленников могут интересовать порты связанные c SIP, так как через SIP достаточно часто происходят различные компрометация телефонных сервисов. Так же и другие типичные порты например:
Для настройки защиты зайдем в раздел IP > Firewall > Filter Rules. Создадим новое правило.
Выбираем цепочку обработки, протокол, порт и настраиваем действие.
Тоже самое можно сделать через терминал командой:
/ip firewall filter add chain=input protocol=6 dst-port=3389 action=add-src-to-address-list address-list=honypot address-list-timeout=none-dynamic
Параметр Timeout отвечает за время жизни адресов в address list. Настройки данного параметра следует учитывать из доступных ресурсов вашего маршрутизатора.
Следует учесть, что постоянные циклы перезаписи на flash накопителе, могут негативно влиять на его работу, так как увеличивается риск появления bad блоков и дальнейшей неработоспособности вашего роутера.
Чтобы злоумышленники действительно подались в нашу ловушку, мы можем сделать ещё одно правило, в котором сделать Action tarpit.
При добавлении такого правила у злоумышленника действительно происходит соединение, порт реально доступен из глобальной сети Интернет. Таким образом мы привлечем больше злоумышленников в нашу ловушку.
Проверим работу наших правил. Например, попробуем постучаться telnet-ом на наш маршрутизатор.
Проверяем появился ли наш адрес в Address list.
Теперь создадим правило, которое будет непосредственно блокировать злоумышленников. Переходим в IP > Firewall > Raw и создаем новое правило.
Тоже самое можно сделать через терминал командой:
/ip firewall raw add chain=prerouting src-address-list=honeypot action=drop
Добавим еще одно правило для полной изоляции нашей сети от злоумышленников. Так же переходим в IP > Firewall > Raw и создаем новое правило, но вместо Src. Address List указываем Dst. Address List.
Тем самым мы блокируем пакеты от злоумышленника к нашей сети и пакеты из нашей к злоумышленнику.
Тоже самое можно сделать через терминал командой:
/ip firewall raw add chain=prerouting dst-address-list=honeypot action=drop
Проверяем работу наших правил на маршрутизаторе.
Рекомендации к использованию Honeypot:
Сделайте дополнительную настройку !src-address-list=allow (Кроме разрешенных ip адресов, например адреса системных администраторов и тд)
С вами скоро свяжутся