Philip Wiki

Персональный wiki-сайт

Инструменты пользователя

Инструменты сайта


hw:mikrotik:honeypot

Honeypot

Honeypot (горшочек с мёдом) – ресурс, представляющий собой приманку для злоумышленников. В нашем случае всё будет немного проще. Горшочком является наше сетевое устройство, доступ к которому будут стараться получить все, кому не лень. Особенно, если наше устройство опубликовано (имеет публичный IP-адрес) в глобальной сети.

Будем действовать на опережение и создадим несколько правил, которые будут блокировать дальнейшие попытки подключений с IP, с которых опрашивались не опубликованные нами порты1). Проще говоря будем блокировать тех, кто попытался открыть те порты, на которых у нас ничего нет, т.е. вероятно занимался сканированием устройства.

# создаём правило для upd-портов
/ip firewall filter add action=add-src-to-address-list address-list=BlackList address-list-timeout=1w chain=input comment="Honeypot UDP" dst-port=53,123,5060 in-interface=wan log=yes protocol=udp src-address-list=!WhiteList place-before=0
# создаём правило для tcp-портов
/ip firewall filter add action=add-src-to-address-list address-list=BlackList address-list-timeout=1w chain=input comment="Honeypot TCP" dst-port=20,21,22,23,25,53,80,5060,3389 in-interface=wan log=yes protocol=tcp src-address-list=!WhiteList place-before=0

Как видно из блока кода выше, вносим тех, кто попытался нас просканировать в список «Blacklist» сроком на неделю и игнорируем тех, кто в списке «Whitelist». Номера портов определяем в соответствии со своими реалиями. Теперь создадим правила для их блокировки:

/ip firewall filter add action=drop chain=input comment=BlackList in-interface=wan src-address-list=BlackList place-before=0
/ip firewall filter add action=drop chain=forward comment=BlackList in-interface=wan src-address-list=BlackList place-before=0

Всё. На этом простейшая реализация Honeypot завершена. Дальше можно подумать над тем, чтобы создать связку Mikrotik + fail2ban.

hw/mikrotik/honeypot.txt · Последнее изменение: 13.01.2021 22:28 — philip