PortKnocking и ловушки для злоумышленников на Mikrotik

Хоу-хоу! Пока тема тёплая, запулю ещё одну статейку! Мне весьма понравилась тема с PortKnocking, которую я описывал в предыдущей статье. И тут на ум пришла идея, что точно так же можно сделать не только тему, как открыть нужный для коннекта порт, но и сделать некую ловушку для тех злоумышленников, которые пытаются подобрать искомую комбинацию.

Суть почти та же, что и в PortKnocking, только добавляются ещё пара правил.

Создаём порт-ловушку
Создаём порт-ловушку
Помещаем злоумышленника в бэд-лист
Помещаем злоумышленника в бэд-лист

То есть мы создаём порт-ловушку – 2000-ый. При коннекте на этот порт, злоумышленник попадает в список BadList на пол-часа, для которого существует отдельное запрещающее правило на файрволле.

add action=drop chain=input comment="Hacker Attack Possible" dst-port=80 in-interface=bridge1 protocol=tcp src-address-list=BadList

Которое расположено повыше. Напомню, что в RouterOS важен порядок правил файрволла, поэтому разрешающее правило на нужный порт должно быть в самом низу блока.

Тут можно хитрым образом перемежать порты, участвующие в “тук-тук” и порты-ловушки. Тогда простым сканированием диапазона портов (кстати – это как один из вариантов атаки на PortKnocking) злоумышленник скорее сам добавит себя в чёрный список, чем откроет хитрую “дверку”.

Подобная тема существует на FreeBSD, называется Port Sentry, я описывал её на сайте.

Like this post? Please share to your friends:
Litl-Admin.ru

Comments:

Leave a Reply