Эта статья относиться к технической части блога, и я хочу рассказать о дополнительной защите вашего роутера, если пришлось опубликовать какой-то сервис в интернет. Конечно же я придерживаюсь мнения, что закрывать доступ из интернета нужно полностью. К сожалению, не всегда получается следовать сказанному. Если получилось как всегда, то я рекомендую использовать набор базовых правил для пресечения несанкционированного доступа к вашему роутеру. В этой статье я рассмотрю способ борьбы с ботами и залетными гостями, если у вас опубликован видеорегистратор или другая служба.
Обычно боты анализируют активность стандартных портов – 22,23, 25, 53, 80, 443, 8080 и т.д. Более большие ботнеты анализирую диапазоны с 22 по 10000 порты. Анализируя такой диапазон, можно с уверенностью сказать, что у любого устройства доступного из глобальной сети, без настроенного файрволла найдется хотя бы один порт, который будет доступен из интернета.
Я рассмотрю пример опубликованного видеорегистратора в интернет и одного из методов защиты под названием «Горшочек с медом». Основная задача метода – выявить процесс сканирования портов роутера и временно заблокировать IP-адрес злоумышленника. Выявление сканирования происходит с помощью обмана злоумышленника. Обман заключается в том, что мы специально не блокируем широко известные сетевые порты, а необходимый сервис переносим в более высокий диапазон.
Приступим к настройке Mikrotik
Создаем список доверенных IP адресов. Это список необходим в том случае, если Вам потребуется воспользоваться доступом к своему роутеру из заранее известного места. Например, с работы или виртуального сервера. Все настройки проводятся в окне терминала или winbox
/ip firewall address-list
add address=1.1.1.1 list=ALLOW_ALL
add address=2.1.1.0/28 list=ALLOW_ALL
В примере я добавил один адрес и одну подсеть в список с названием ALLOW_ALL. В этом списке хранятся все доверенные IP-адреса, с которых происходит какая-либо активность в сторону моего роутера, например – доступ к winbox.
Шаг 2. Блокируем лишние порты на Mikrotik
Я создал правило, которое создает запись в списке REG-BLOCK c IP адресом пытающегося соединиться с портом приманкой. В моем случае это 80 и 8000 TCP порты. Запись создается только в том случае, если Source адрес не совпадает с адресами, находящимися в списке ALLOW_ALL. Кроме этого, я всегда указываю входящий интерфейс, чтобы уменьшить загрузку процессора роутера. В примере указан интерфейс – sfp1.
Блокирование IP адреса я делаю на время, так как большое количество IP адресов в списке REG-BLOCK может негативно отразиться на скорости обработки данных в связи с загрузкой процессора. В пример указан 1 день.
add action=add-src-to-address-list address-list=REG-BLOCK address-list-timeout=1d chain=forward dst-address=5.5.5.5 dst-port=80,8000 in-interface=sfp1 protocol=tcp src-address-list=!ALLOW_ALLФинализируем настройку Mikrotik
Финальное правильно, которое блокирует IP адреса, попавшие в список REG-BLOCK. Альтернативой action=drop является action= Tarpit. С помощью Tarpit мы можем пропустить соединение на нужный порт, но установить нулевую скорость. Этот метод позволит не дать раскрыть злоумышленнику схему «Горшочек с медом». В домашних роутерах нужно использовать DROP и не создавать излишних нагрузок.
add action=drop chain=input dst-address=5.5.5.5 in-interface=sfp1 src-address-list=REG-BLOCKЗаключение
«Горшочек с медом» наглядно показывает, насколько наши сетевые устройства уязвимы имея доступа в интернет. Результат работы метода можно посмотреть в течении нескольких часов.
Если все же вам потребуется более изящная настройка вашего роутера, то Вы можете смело писать мне в телеграмм или оставить заявку на сайте моей компании