Honeypot
Honeypot (горшочек с мёдом) – ресурс, представляющий собой приманку для злоумышленников. В нашем случае всё будет немного проще. Горшочком является наше сетевое устройство, доступ к которому будут стараться получить все, кому не лень. Особенно, если наше устройство опубликовано (имеет публичный IP-адрес) в глобальной сети.
Будем действовать на опережение и создадим несколько правил, которые будут блокировать дальнейшие попытки подключений с IP, с которых опрашивались не опубликованные нами порты1). Проще говоря будем блокировать тех, кто попытался открыть те порты, на которых у нас ничего нет, т.е. вероятно занимался сканированием устройства.
# создаём правило для upd-портов /ip firewall filter add action=add-src-to-address-list address-list=BlackList address-list-timeout=1w chain=input comment="Honeypot UDP" dst-port=53,123,5060 in-interface-list=WAN log=yes protocol=udp src-address-list=!WhiteList place-before=0 # создаём правило для tcp-портов /ip firewall filter add action=add-src-to-address-list address-list=BlackList address-list-timeout=1w chain=input comment="Honeypot TCP" dst-port=20,21,22,23,25,53,80,5060,3389,1723 in-interface-list=WAN log=yes protocol=tcp src-address-list=!WhiteList place-before=0
Как видно из блока кода выше, вносим тех, кто попытался нас просканировать в список «BlackList» сроком на неделю и игнорируем тех, кто в списке «Whitelist». Номера портов определяем в соответствии со своими реалиями. Теперь создадим правила для их блокировки:
input
и forward
. Но это, мягко говоря, не очень рационально. Теперь оба правила заменены проверкой цепочки prerouting
(это должно положительно сказаться на загрузке CPU)/ip firewall raw add action=drop chain=prerouting comment=Blacklist in-interface-list=WAN src-address-list=BlackList
Всё. На этом простейшая реализация Honeypot завершена. Дальше можно подумать над тем, чтобы создать связку Mikrotik + fail2ban.