Комментарии 85
Это правило включается по расписанию в час ночи и выключается в 5, когда живые люди точно спят, а автоматизированные подборщики продолжают бодрствовать.
На земле уже ввели один часовой пояс и все люди на Земле спят в одни и те же часы?
Имеется ввиду активность реальных пользователей роутера, соответственно, их рабочего времени.
Нет, имеются в виду «автоматизированные подборщики» или я что-то не то читаю?
Статья странная. Некоторые рецепты больше похожи на ухудшение сервиса для клиентов, а не на защиты их. А если пользователь два-три клиента RDP запустит и его заблочит роутер?
Открытие RDP и SIP наружу в организации в 100 человек это моветон. А где же нормальный VPN?
Honey point непонятно для чего. Может чтобы побольше компов из ботнета стучались в него и жрали трафик?
Открытие RDP и SIP наружу в организации в 100 человек это моветон.
Мало того, что моветон, но многие продолжают использовать правила от перебора RDP, хотя боты уже давно в рамках одной сессии это делают, не говоря уж об уязвимостях относительно недавних. Можно посмотреть в лог DROP правила, что бы посмотреть частые порты на которые стучаться машины. Ну и в RAW можно все убрать, что бы ip вообще потомдо firewall не доходили. Жаль только от кол-ва трафика это не избавит.
организации в 100 человек это моветон
Мне вот такое в наследство досталось. Причем, филиалы по всей стране. Поднять VPN — его настройка у всех затянется, и юзерам не объяснить, почему им теперь вместо запуска одного ярлыка надо запускать 2. Ну и плюс многие в возрасте.
Поставил бесплатный RDP Defender, 10 неудачных попыток входа — и ip отправляется в черный список на заданное время путем создания правила в Windows firewall (где-то в сети видел скрипт на PowerShell, который делает то же самое).
Все лучше, чем ничего.
Пока наблюдаю. Когда смотрю в журнал RDP Defender, ужасаюсь.
Но правильно — поднять VPN. Пока просто руки не доходят. На одном сервере сделал, а второй исторически торчит голым задом в интернет. Это плохая практика, не делайте так.
Мне вот такое в наследство досталось. Причем, филиалы по всей стране. Поднять VPN — его настройка у всех затянется, и юзерам не объяснить, почему им теперь вместо запуска одного ярлыка надо запускать 2. Ну и плюс многие в возрасте.
Пожалуйста не выдумывайте. Мне на собственном опыте удалось убедится что это не так. Правильные руководства, установка через AD, удаленное администрирование и поддержка пользователей все эти проблемы сводит к нулю. Единственное что требуется: это воля руководства предприятия и грамотный админ.
Остальное в локалке на другой площадке, домена тоже нет, но там хотя бы VPN.
Грамотным админом себя назвать тоже не могу. Скорее, эникей с опытом.
А пользователи есть за 60, механики по кранам. Их знания и опыт лежат несколько в другой области, и учатся они неохотно. По 5 минут объясняю, как TeamViewer запустить.
Хотя толковая инструкция может помочь, надо написать.
Ситуации разные бывают, не менять же работу каждый раз, когда не поддерживают твои стремления сделать всё идеально. Это у предыдущего комментатора всё идеально сложилось и все условия были, а у кучи других нет, это нормально.
Для удалённого доступа, если не куплена какая-то крутая корпоративная система, можно использовать vnc reverce connection. Один раз поставил, сделал ярлык и человек из любого места подключается к твоему ip без всяких id и паролей.
Так в офисе все в одном часовом поясе. Если кто пришел из другого часового пояса, то высока вероятность, что что-то не так. Конечно, применимо не везде, но вполне применимо.
Конечно, применимо не везде, но вполне применимо.
так что вполне себе. да и каждом офисе свои порядки. моя мать бухгалтер, до текущих событий не ходила через rdp, а приезжала лично даже в выхи, потому что ей было так проще. Так что считаю что вполне применимо.
да и не забываем, что безопасность часто вступает в конфликт с удобством. это как раз тот случай.
Если «Мы не будем ставить впн», «Это слишком сложно для пользователя», «Зачем лишнее городить..», то вот такие костыли точно не хорошее решение. С торчащим наружу рдп и подключение разных пользователей (подбор пароля и т.п.) точно не лучшее решение, правильное дело, если в событиях аудита будут только случайные неудачные входы ваших пользователей, если же есть роботы и явная попытка подбора, то вы что то делаете не так.
По sip, лучше рассмотреть возможность использования впн — вполне работает даже с 11 версией, главное правильно прописать правила NAT.
Не рекламы ради, а чтобы дополнить, что про PortKnocking, микротик и RDP уже есть на хабре.
списки в f2b пустые, но всё равно.
ну и конечно не забываем про обновления, потому что защита от брутфорса != защита от експлойтов. вспомним нашумевший BlueKeep, или недавний CVE-2020-0609 и компания.
Кмк тут как с машинами и противоугонкой — на кой ботнету, если он не целенаправленно именно в эту контору хочет, адаптироваться под эти таймауты, если по соседству в интернетах ещё туева хуча хостов без таких наворотов?
Моя VDS-ка нахрен никому кроме меня не уперлась, но при изменении таймингов на fail2ban подстраиваются в течение дня. Все это уже давно делается автоматически и супостаты умнее, чем хотелось бы.
Абсолютно незачем, но поскольку там не живой человек, а скрипт, то он все таки адаптируется.
2) не использовать таблицу raw — признак непрофессионализма
Первое правило — использовать Remote desktop gateway (желательно с многофакторкой и\или преаутентификацией) и ни в коем случае не выкидывать 3389 наружу даже под другим номером.
>У Вас за Mikrotik спрятан asterisk, естественно не на 5060 udp порту, и через пару дней также начинается перебор паролей
Второе правило — никогда не открывать корпоративную PBX наружу. А если делаете так — то настройте на нем хотя бы TLS.
Ну и третье правило — не раздавайте вредные советы другим людям в Интернете.
Хорошо, когда без проблем выделяют деньги, в большинстве неайтишных контор это не так. Не менять же работу каждый раз, когда требуют сделать быстрее и бесплатно.
А блокировка на неделю всех, кто ломится на закрытые порты у меня отлично работает, брутфорса давно уже нет. И вашим "правилам", кстати, не мешает, в rds тоже уязвимости находят. И vpn тоже могут сломать в будущем, лучше чтоб ботнеты до него не добрались.
Количество уязвимостей в рдс и рдг несравнимо, а если рдс закрыть сертификатом или любой преаутентификацией (хоть AD FS, хоть бесплатный хапрокси) — вас вся NSA будет ломать и не сломает. При этом вся эта история есть даже в официальном майкрософтовском мануале по настройке рдс, её можно было хотя бы открыть и прочитать перед тем, как писать данную статью.
Ну и блокировка на уровне маршрутизатора всё равно работает и отсекает автоматические ботнеты ещё на уровне сканирования портов и независимо от используемых сервисов. У меня и vpn и ssh перестали брутфорсить, хоть там шансов и не было, но мало ли, вдруг завтра найдут новую уязвимость.
Публикация отдельного сервера без служб рдс противоречит лицензионному соглашению — обычный терминальный доступ может использоваться только администраторами и только для целей удаленного администрирования. Всё остальное — только через службы рдс.
Интересно насчёт нарушения лицензии, надо будет получить официальный ответ от авторизированных партнёров. Получается я даже погоду не имею права посмотреть через rdp из интернета?
In addition to a Windows Server 2016 CAL, you must acquire a Windows Server 2016 Remote Desktop Services CAL for each user or device that (i) directly or indirectly accesses the Remote Desktop Services functionality, (ii) directly or indirectly accesses the server software to host a graphical user interface (using the Windows Server 2016 Remote Desktop Services functionality or other technology), or (iii) accesses the Multipoint Services functionality. For more information about Windows Server 2016 Remote Desktop Services CALs, visit (aka.ms/windowsrds).
Your CALs permit access to your instances of earlier versions, but not later versions, of the server software. If you are accessing instances of an earlier version, you may also use CALs corresponding to that version. You do not need CALs for:
· any of your servers licensed to run instances of the server software;
· up to two devices or users to access your instances of the server software only to administer those instances;
Подскажите, при port knocking, как rdp должно простукивать, чтобы его пустил микротик? Где в rdp настраивается последовательность простукивания?
для вас отдельная статья есть на хабре — удаленная работа, RDP, port knocking и Микротик
На самом деле я такое решение ввел еще года 2 назад… при этом все, кто попадал в ловушки сразу банились насовсем…
А также ни одного стандартного порта, а также больше 5 подключений туда же.
Так вот татья чрезмерно оптимистична — это все не работает, через некоторое время все равно Вы увидите еак к Вам на рдп порт ломятся раз в минуту, 2,5 идет пепебор паролей… Другое дело что перебирать их так придется лет 100…
И да, "порт-кнокинг" имеет тот же эффект.
Речь, конечно, о непубличных сервисах и пару раз в году приходится добавлять ip в белый список, но отсутствие брутфорса такие мелочи перекрывает.
Но присмотрелся к конфигу — теперь понимаю.
Почему не использовали такую старую фишку в порт кнокинге, как размер пакета?
add action=jump chain=input comment="KnockKnockKnock icmp look" dst-address=\
*.*.*.* in-interface=pppoe-out1 jump-target=KnockKnockKnock log=yes \
log-prefix=RDP packet-size=41-49 protocol=icmp
add action=add-src-to-address-list address-list=RDP_level_1 \
address-list-timeout=5s chain=KnockKnockKnock comment=RDP-level-1 \
dst-address=*.*.*.* in-interface=pppoe-out1 log=yes log-prefix=RDP \
packet-size=48 protocol=icmp
add action=add-src-to-address-list address-list=RDP_level_2 \
address-list-timeout=5s chain=KnockKnockKnock comment=RDP-level-2 \
dst-address=*.*.*.* in-interface=pppoe-out1 log=yes log-prefix=RDP \
packet-size=44 protocol=icmp src-address-list=RDP_level_1
add action=add-src-to-address-list address-list=RDP_level_3 \
address-list-timeout=5s chain=KnockKnockKnock comment=RDP-level-3 \
dst-address=*.*.*.* in-interface=pppoe-out1 log=yes log-prefix=RDP \
packet-size=47 protocol=icmp src-address-list=RDP_level_2
add action=add-src-to-address-list address-list=RDP_allow \
address-list-timeout=10m chain=KnockKnockKnock comment=RDP-level-4 \
dst-address=*.*.*.* in-interface=pppoe-out1 log=yes log-prefix=RDP \
packet-size=42 protocol=icmp src-address-list=RDP_level_3
add action=return chain=KnockKnockKnock log=yes log-prefix=RDP
Что касается port knocking, ИМХО, лучше сделать по-другому. Сделайте условие: Если тип пакета ping и размер пакета Х, то занести src адрес в список доверенных на 1 минуту. У пользователя создайте ярлык "ping -n 1 — l X ip.address.server"
Что получим? Пользователь с любого места может внести себя в доверенный список и сразу зайти на сервис. Через минуту доступ закроется. Т.к. сессия established он будет висеть и работать, остальные в лес.
Много комментариев про port knocking, он всего лишь в довесок, основная идея статьи honeypot.
Для админов в этом сама суть — вначале закладываем мину замедленного действия, потом успешно решаем проблему — вот и профит — админ при деле и организация — как бы под присмотром. А на деле обычный порт кнокинг — настраивается в два клика и инструкция для пользователя за полчаса пишется, и безопасность на пару порядков выше, но тогда админ когда настроил, то про него и забыть можно и про зарплату ему в карантине.
Если это более менее профессиональный подход: атакующий купил их штук 100, недельку пароли подбирал и эти отдает обратно, покупает другие.
Если не проф подход: то это условный школьник из сети провайдера с динамическим внешним — у него каждый день новый ип.
Поэтому все меньше смысла в статичном списке — он устаревает и лишь бесполезно нагружает оборудование.
Вырезать сетями — занятие опасное. Что делать, если в сети домашнего провайдера одного из ваших пользователей завелось 3 школьника-хакера? Забанить их подсетью?
Ок. Вы забили гвоздь и срезали шляпку.
Да, я знаю, что ботовладельцы пользуются динамическими пулами и даже автоматом ребутают хосты чтобы сменился адрес, да я знаю, что резать сетями не есть совсем-совсем правильно и бла-бла-бла.
Вопрос в другом: вы не предложили альтернативу, но сказали, что "все плохо". А конструктив диалога где?
Я считаю, что сетями можно и нужно резать. Даю 100% вероятность, что по ssh или любому другому менеджмент протоколу к домашнему роутеру или роутеру компании не должно быть доступа из Кореи, Китая или любой другой страны кроме страны владельца.
И в-третьих, я читал, что правило "дропать" следует ставить для 100% направлений. В остальном я считаю, что выходом может служить лишь port-knocking.
Целое( 20 / (ЧислоЗаблокированныхРядом + 1) )
20 — базовое число неудачных попыток входа до бана.
ЧислоЗаблокированныхРядом — другие заблокированные ип адреса из той же подсети /24.
Т.е. если это первый атакующий — то у него 20 попыток. Если второй — то у него 10 попыток. Если третий — то 6 попыток. И т.д.
Есть некий веб-интерфейс, туда заходит пользователь, авторизуется. Веб-интерфейс берет его ип адрес и разрешает соединение к сервисам.
Относительно порткнокинга — не имеем ложных срабатываний от скана портов, не нужно ставить «ярлыки» на комп пользователя, можно настроить персонально сервисы для каждого пользователя (не всем все открывать).
По порт-кнокингу:
Да, у меня была такая схема "веб+авторизация", но я отказался в пользу "ярлык на рабочем столе".
И вот почему: веб по-сути тоже дыра. Пользователь должен куда-то заходить, что-то делать. Сложные пароли на вебе — тоже фигня. Пароли нужно менять, пользователи у меня как и у вас все с амнезией. Короче ерунда.
Ярлык — как бетон. Его можно настроить индивидуально, в правилах фаервол нет нагрузки и прочее, его можно высылать по почте и у пользователя хватает мозгов сохранить на рабочий стол и запустить. Порт-кнокинг считаю лучшая защита против скана портов.
В общем как-то так.
Да, технически можно сделать длинные цепочки порткнокинга — сначала на один порт, потом на другой, потом на третий, а потом уже к нормальному сервису. И это поднимет до адекватного уровня число комбинаций. Но сейчас на уровне фаервола о поддержке такого я не слышал, да и кроме того, встает вопрос «отладки», если что-то пошло не так.
А веб-приложение, находясь выше по уровню модели OSI, позволяет:
1) и пароль нормальной сложности задать
2) и логин добавить, что не сильно усложняет пользователю, но сильно усложняет подбор пароля
3) двухфакторную сделать (письмо с кодом на почту, например)
4) нормально отладить, если что-то не работает
Вы не до конца поняли суть порт-кнокинга.
Суть в том, что порт ВСЕГДА открыт, но только адресам из списка. Задача противника попасть в список. Представьте, что твы очно знаете, что работает 3389 порт, но как попасть в список валидных адресов?
На счёт двуфактрности, логина, сложности и того и другого — это все не так просто и дёшево реализовать. Мы говорим о недорогом и стойком решении.
Я о том, что веб-интерфейс предлагает расширяемую схему. Она от простой до сложной меняется — какую хочешь, такую и делаешь.
Стоп стоп стоп. И что даст nmap?
Нет. Такого не произойдет. Порт 3389 отвечает только адресам из списка. Вы не в списке и вам не ответит. Поэтому такой атакой (syn на все порты) вы ничего не добавьтесь. Будет или timeout или packet drop.
Вы предлагаете honeypot с портом 31336 (гарантированно неиспользующимся клиентами) — отличный способ.
Срок бана мне не нравится — повыше в обсуждениях я писал, что статичные (или долго действующие) баны бесполезно нагружают оборудование, а самого атакующего на заблокированном ип адресе скорее всего уже и нет.
порт-кнокинг проще по мануалу — тут. Я себе в двух организациях настроил и ни один юзер (из 40) не переспросил как подключаться, один только спросил как мультимонитор отключить. Вначале за часик настроил, написал инструкцию, разослал юзерам и спишь спокойно и вообще никто не ломится в сеть кроме своих. Ляпота!
Просто для данных целей микротик не катит, никто же мне покупает велосипед чтобы привезти тонну песка. Почему бы не внедрить нормальный вариант ngfw? Вариантов на рынке куча, с полным спектром покрытия угроз.
С одной стороны схема отличная, но с другой списки только пухнут и наступит время когда оборудование 100% ляжет. Да и до этого времени уже начнутся вопросики «чего все так медленно при том что на роутере никого», а ответ простой ОЧЕНЬ длинные листы.
На всякий случай, RB4011iGS влёгкую перенёс разбухание трёх чёрных списков до примерно 50000 адресов в каждом. Никакого особого увеличения нагрузки ЦП и замедления работы при этом не наблюдал. Это ж не циска какая-нибудь, которую NAT немедленно ставит на колени. Понятно, конечно, что приглядывать за списками надо, чтобы сильно не разрастались, но, чтобы забить ими память микротика до отказа, надо очень сильно постараться.
В случае сканирования drop подходит больше. Причем именно в таблице RAW, в цепочке prerouting. Это позволяет перехватывать соединения до их попадания в conn-track.
Возможно имеет смысл комбинировать эти подходы.
Хорошая статья про firewall в микротике
Ведь тот же Яндекс по IP умеет определять расположение компа с точностью до области/крупного города
P.S. И почему-то часто забывают, что к впн также подбирают пароли. И также торгуют доступом в корпоративные сети, подобрав пароль. И его также нужно защищать — и примерно теми же мерами.
remote 1.1.1.1 1234
…
route 2.2.2.2
route-nopull
где 2.2.2.2 — IP-адрес RDP-сервера
При соединении с VPN (пароль, ключ, ключ/пароль) создается маршрут на клиентах, что в тоннель надо только для доступа к 2.2.2.2. OpenVPN клиент очень стабильный и всеядный в плане разных провайдеров, мобильных сетей и прочего. А на микротике разрешить к RDP только с IP 1.1.1.1. Все. Никаких проблем подбора паролей в принципе. Надо блокирнуть юзера — просто отзовите его сертификат на сервере OpenVPN, сам юзер может приехать в офис и работать.
Я обожаю эти все истории с количеством попыток, потому что это отличный способ отстрелить себе руку и ногу. Поставишь много — толку от защиты не будет. Поставишь мало — например, 5 раз, а потом случайно введешь пароль и сам себя заблокируешь.
Проблема на самом деле редкая — я для себя использую 20 неудачных попыток в день. Этого более чем достаточно, чтобы отделить нормального пользователя от атакующего. За 4 мес было 1 ложное срабатывание: когда в офисе массово начали пароли менять (а весь офис за 1 ип конечно же).
Но все довольно легко решается белыми списками. На ип адрес админа, на ип адрес офиса и т.д.
Вопрос - а чем плоха встроенная в Windows блокировка после нескольких неудачных попыток входа? Переносим сервисы на нестандартные порты - если ну совсем не на чем VPN поднять (неужели ну ни каком оборудовании нет возможности поднять VPN-сервер в компании на 100 человек?) и включаем встроенную блокировку - вроде как всё. И зачем получать список адресов с которых пытались ломать? Они же постоянно меняются - зффективнее отслеживать попытки подбора паролей и блокировать.
Вот для примера — увольняется любой сотрудник, берет список пользователей (а чаще всего он общедоступен), запускает на коленке написанную подбиралку паролей и все, сервер как будто бы умер и никто не может им пользоваться.
Она плоха тем, что подвержена подбору пароля и уязвимостям в ОС/протоколе. А пароли сейчас перебирают ботнеты, причем меняя, как пароли, так и логины. От этого не защитит блокировка учётной записи после неудачных попыток входа.
Легкий способ защитить свой Mikrotik от атак