Ваши темы для Вебинаров

В Москве:

РФ (звонок бесплатный):

+7 (495) 103-99-88 +7 (800) 600-20-56

Настройка Honeypot в Mikrotik

7290


В данной статье мы поговорим о Honeypot.

Honeypot – ресурс, представляющий собой приманку для злоумышленников.

В чём идея Honeypot: мы выставляем наружу какие-либо порты на нашем роутере, которые мы не используем для реальной работы, а, которые мы указываем в качестве приманки. Злоумышленник, когда пытается получить доступ к данному порту, который никуда не идёт, тем самым раскрывает свой адрес. После мы начинаем блокировать этот адрес, тем самым, защищаясь от потенциальных угроз.
Чаще всего злоумышленников могут интересовать порты связанные c SIP, так как через SIP достаточно часто происходят различные компрометация телефонных сервисов. Так же и другие типичные порты например:

  • UDP 5060,5061,5062,9060,4695
  • TCP 5060,22,23,80,443

Вкладка General и Action New Firewall Rule

Для настройки защиты зайдем в раздел IP > Firewall > Filter Rules. Создадим новое правило.

Выбираем цепочку обработки, протокол, порт и настраиваем действие.

Вкладка General New Firewall Rule

Вкладка Action Firewall Rule

Тоже самое можно сделать через терминал командой:

/ip firewall filter add chain=input protocol=6 dst-port=3389 action=add-src-to-address-list address-list=honypot address-list-timeout=none-dynamic

Параметр Timeout отвечает за время жизни адресов в address list. Настройки данного параметра следует учитывать из доступных ресурсов вашего маршрутизатора.

  • none dynamic (динамически до перезагрузки навсегда) – если достаточно ресурсов
  • 10d 00:00:00 (записи хранятся 10 дней) – если оперативной памяти не очень много

Следует учесть, что постоянные циклы перезаписи на flash накопителе, могут негативно влиять на его работу, так как увеличивается риск появления bad блоков и дальнейшей неработоспособности вашего роутера.

Чтобы злоумышленники действительно подались в нашу ловушку, мы можем сделать ещё одно правило, в котором сделать Action tarpit.

Вкладка Action Firewall Rule

При добавлении такого правила у злоумышленника действительно происходит соединение, порт реально доступен из глобальной сети Интернет. Таким образом мы привлечем больше злоумышленников в нашу ловушку.

Проверим работу наших правил. Например, попробуем постучаться telnet-ом на наш маршрутизатор.

telnet 192.168.88.1

Проверяем появился ли наш адрес в Address list.

Теперь создадим правило, которое будет непосредственно блокировать злоумышленников. Переходим в IP > Firewall > Raw и создаем новое правило.

Вкладка General New Raw Rule

Вкладка Action New Raw Rule

Тоже самое можно сделать через терминал командой:

/ip firewall raw add chain=prerouting src-address-list=honeypot action=drop

Добавим еще одно правило для полной изоляции нашей сети от злоумышленников. Так же переходим в IP > Firewall > Raw и создаем новое правило, но вместо Src. Address List указываем Dst. Address List.

Вкладка General New Raw Rule

Тем самым мы блокируем пакеты от злоумышленника к нашей сети и пакеты из нашей к злоумышленнику.

Тоже самое можно сделать через терминал командой:

/ip firewall raw add chain=prerouting dst-address-list=honeypot action=drop

Проверяем работу наших правил на маршрутизаторе.

Рекомендации к использованию Honeypot:

Сделайте дополнительную настройку !src-address-list=allow (Кроме разрешенных ip адресов, например адреса системных администраторов и тд)

Вкладка General New Firewall Rule

  • Можно использовать совместно с антисканером портов
  • Блокировкой сканеров можно заниматься в /ip firewall filter rules так и в /ip firewall raw (уменьшает нагрузку на маршрутизатор)

  • MTCNA

    15 - 18 июля 10.00 - 18.00
  • MTCRE

    05 - 08 августа 10.00 - 18.00
  • MTCNA

    12 - 15 августа 10.00 - 18.00
  • MTCNA

    09 - 12 сентября 10.00 - 18.00
  • MTCWE

    16 - 19 сентября 10.00 - 18.00
  • MTCSE

    07 - 10 октября 10.00 - 18.00
  • MTCTCE

    11 - 14 ноября 10.00 - 18.00
  • MTCRE

    16 - 19 декабря 10.00 - 18.00

Курсы Mikrotik-Training.

Знания, которые дают результат.