Заметил много попыток взлома паролей по брутфорсу на моих роутерах и серверах. Также обнаружил ряд сканирований портов. После добавления этого в свой файрвол заметил, что они просеивают всю мою сеть. Добавил `chain=forward in-interface=internet protocol=tcp dst-port=21-23 tcp-flags=syn action=log log-prefix=“ssh_ftp_sync” comment=“” disabled=no` и задумался, можно ли как-то остановить это. В итоге создал эту экспериментальную конфигурацию. Используйте ее на свой страх и риск.
Сначала создайте список доверенных IP-адресов. Добавьте туда IP-адреса, которым вы доверяете, и свои собственные IP-пулы.
`/ ip firewall address-list add list=trusted-ips address=12.0.1.0/23 comment=“” disabled=no`
`add list=trusted-ips address=12.0.0.0/24 comment=“” disabled=no`
`add list=trusted-ips address=20.0.127.0/24 comment=“” disabled=no`
Теперь создайте список "ловушек" (trap IPs). Это IP-адреса, с которых никто не должен подключаться, но которые входят в ваш IP-пул. Предпочтительно в нижнем диапазоне вашего IP-пула. Возможно, присвойте один или два в качестве дополнения к вашему роутеру.
`/ ip firewall address-list add list=trap-ips address=12.0.0.2 comment=“” disabled=no`
Теперь нам нужны правила файрвола, чтобы перехватывать попытки взлома.
`/ ip firewall filter add chain=probe protocol=tcp dst-port=20-23 src-address-list=!trusted-ips dst-address-list=trap-ips action=add-src-to-address-list address-list=banned-ips address-list-timeout=2w comment=“” disabled=no`
`add chain=probe protocol=tcp dst-port=25 src-address-list=!trusted-ips dst-address-list=trap-ips action=add-src-to-address-list address-list=banned-ips address-list-timeout=2w comment=“” disabled=no`
`add chain=probe protocol=tcp dst-port=135-139 src-address-list=!trusted-ips dst-address-list=trap-ips action=add-src-to-address-list address-list=banned-ips address-list-timeout=2w comment=“” disabled=no`
`add chain=probe protocol=udp dst-port=135-139 src-address-list=!trusted-ips dst-address-list=trap-ips action=add-src-to-address-list address-list=banned-ips address-list-timeout=2w comment=“” disabled=no`
`add chain=probe protocol=tcp dst-port=445 src-address-list=!trusted-ips dst-address-list=trap-ips action=add-src-to-address-list address-list=banned-ips address-list-timeout=2w comment=“” disabled=no`
`add chain=probe protocol=tcp dst-port=1080 src-address-list=!trusted-ips dst-address-list=trap-ips action=add-src-to-address-list address-list=banned-ips address-list-timeout=2w comment=“” disabled=no`
`add chain=probe protocol=tcp dst-port=3128 src-address-list=!trusted-ips dst-address-list=trap-ips action=add-src-to-address-list address-list=banned-ips address-list-timeout=2w comment=“” disabled=no`
`add chain=probe protocol=tcp dst-port=8080 src-address-list=!trusted-ips dst-address-list=trap-ips action=add-src-to-address-list address-list=banned-ips address-list-timeout=2w comment=“” disabled=no`
`add chain=probe src-address-list=banned-ips action=log log-prefix=“banned_ip” comment=“” disabled=no`
`add chain=probe src-address-list=banned-ips action=drop comment=“” disabled=no`
Теперь создайте правила для перехода к этой новой цепочке.
`/ ip firewall filter add chain=forward action=jump jump-target=probe comment=“Probe Check” disabled=no`
`add chain=input action=jump jump-target=probe comment=“Probe Check” disabled=no`
Похоже, это все. Пожалуйста, не пробуйте это, если не разбираетесь в правилах файрвола. В общем, любой IP, который попытается подключиться, к примеру, к SSH на одном из ваших "ловушек", будет добавлен в список `banned-ips` на 2 недели, и весь трафик с этого IP будет отброшен в вашу сеть. Обычно это открытые прокси, используемые хакерами для взлома других систем или поиска новых открытых прокси. Возможно, это плохая идея, но я собираюсь попробовать это на некоторое время. Любой другой, кто это попробует, может рассказать, как это сработало для них.
Мэтт
Сначала создайте список доверенных IP-адресов. Добавьте туда IP-адреса, которым вы доверяете, и свои собственные IP-пулы.
`/ ip firewall address-list add list=trusted-ips address=12.0.1.0/23 comment=“” disabled=no`
`add list=trusted-ips address=12.0.0.0/24 comment=“” disabled=no`
`add list=trusted-ips address=20.0.127.0/24 comment=“” disabled=no`
Теперь создайте список "ловушек" (trap IPs). Это IP-адреса, с которых никто не должен подключаться, но которые входят в ваш IP-пул. Предпочтительно в нижнем диапазоне вашего IP-пула. Возможно, присвойте один или два в качестве дополнения к вашему роутеру.
`/ ip firewall address-list add list=trap-ips address=12.0.0.2 comment=“” disabled=no`
Теперь нам нужны правила файрвола, чтобы перехватывать попытки взлома.
`/ ip firewall filter add chain=probe protocol=tcp dst-port=20-23 src-address-list=!trusted-ips dst-address-list=trap-ips action=add-src-to-address-list address-list=banned-ips address-list-timeout=2w comment=“” disabled=no`
`add chain=probe protocol=tcp dst-port=25 src-address-list=!trusted-ips dst-address-list=trap-ips action=add-src-to-address-list address-list=banned-ips address-list-timeout=2w comment=“” disabled=no`
`add chain=probe protocol=tcp dst-port=135-139 src-address-list=!trusted-ips dst-address-list=trap-ips action=add-src-to-address-list address-list=banned-ips address-list-timeout=2w comment=“” disabled=no`
`add chain=probe protocol=udp dst-port=135-139 src-address-list=!trusted-ips dst-address-list=trap-ips action=add-src-to-address-list address-list=banned-ips address-list-timeout=2w comment=“” disabled=no`
`add chain=probe protocol=tcp dst-port=445 src-address-list=!trusted-ips dst-address-list=trap-ips action=add-src-to-address-list address-list=banned-ips address-list-timeout=2w comment=“” disabled=no`
`add chain=probe protocol=tcp dst-port=1080 src-address-list=!trusted-ips dst-address-list=trap-ips action=add-src-to-address-list address-list=banned-ips address-list-timeout=2w comment=“” disabled=no`
`add chain=probe protocol=tcp dst-port=3128 src-address-list=!trusted-ips dst-address-list=trap-ips action=add-src-to-address-list address-list=banned-ips address-list-timeout=2w comment=“” disabled=no`
`add chain=probe protocol=tcp dst-port=8080 src-address-list=!trusted-ips dst-address-list=trap-ips action=add-src-to-address-list address-list=banned-ips address-list-timeout=2w comment=“” disabled=no`
`add chain=probe src-address-list=banned-ips action=log log-prefix=“banned_ip” comment=“” disabled=no`
`add chain=probe src-address-list=banned-ips action=drop comment=“” disabled=no`
Теперь создайте правила для перехода к этой новой цепочке.
`/ ip firewall filter add chain=forward action=jump jump-target=probe comment=“Probe Check” disabled=no`
`add chain=input action=jump jump-target=probe comment=“Probe Check” disabled=no`
Похоже, это все. Пожалуйста, не пробуйте это, если не разбираетесь в правилах файрвола. В общем, любой IP, который попытается подключиться, к примеру, к SSH на одном из ваших "ловушек", будет добавлен в список `banned-ips` на 2 недели, и весь трафик с этого IP будет отброшен в вашу сеть. Обычно это открытые прокси, используемые хакерами для взлома других систем или поиска новых открытых прокси. Возможно, это плохая идея, но я собираюсь попробовать это на некоторое время. Любой другой, кто это попробует, может рассказать, как это сработало для них.
Мэтт
