Хоу-хоу! Пока тема тёплая, запулю ещё одну статейку! Мне весьма понравилась тема с PortKnocking, которую я описывал в предыдущей статье. И тут на ум пришла идея, что точно так же можно сделать не только тему, как открыть нужный для коннекта порт, но и сделать некую ловушку для тех злоумышленников, которые пытаются подобрать искомую комбинацию.
Суть почти та же, что и в PortKnocking, только добавляются ещё пара правил.
То есть мы создаём порт-ловушку – 2000-ый. При коннекте на этот порт, злоумышленник попадает в список BadList на пол-часа, для которого существует отдельное запрещающее правило на файрволле.
add action=drop chain=input comment="Hacker Attack Possible" dst-port=80 in-interface=bridge1 protocol=tcp src-address-list=BadList
Которое расположено повыше. Напомню, что в RouterOS важен порядок правил файрволла, поэтому разрешающее правило на нужный порт должно быть в самом низу блока.
Тут можно хитрым образом перемежать порты, участвующие в “тук-тук” и порты-ловушки. Тогда простым сканированием диапазона портов (кстати – это как один из вариантов атаки на PortKnocking) злоумышленник скорее сам добавит себя в чёрный список, чем откроет хитрую “дверку”.
Подобная тема существует на FreeBSD, называется Port Sentry, я описывал её на сайте.
Comments: