Любой владелец выделенного IP адреса рано или поздно сталкивается с необходимостью обеспечить защиту своей сети. В корпоративном сегменте я часто работаю с активным оборудованием производителя Mikrotik (мнения об этом производителя могут быть самые разные, но вряд ли кто-то станет отрицать, что Mikrotik предоставляет лучшие решения по соотношению функционала, цены и качества). Предположим, что у нас есть роутер Mikrotik, а провайдер предоставляет нам канал с выделенным адресом. Давайте защищать свою цифровую крепость.
Будем считать, что базовые правила файрволла вы уже создали ранее, сменили дефолтные порты, отключили неиспользуемые сервисы. Honeypot ни в коем случае не замещает базовые настройки файрволла, только лишь дополняет. Что такое вообще «Honeypot»? Honeypot представляет из себя некий сервис, взаимодействие с которым оповещает администратора сети о возможном вторжении. Перед непосредственно атакой на сетевую инфраструктуру обычно проводят разведку, в т.ч. ищут открытые порты, а Honeypot обыгрывает этот сценарий. В серьезных конторах поднимают фейковые ресурсы и сервисы, специально сделанные для того, чтобы на них ломились всяких сомнительные личности, а служба безопасности могла изучать и систематизировать применяемые злоумышленниками методы, готовить против них контрмеры. Типичный Honeypot несложно настроить и запустить, он, как правило, не требует больших ресурсов, а в случае если еще и является одной из вновь вводимых мер мероприятий по обеспечению информационной безопасности, то он же «не отходя от кассы» наглядно и показывает насколько необходимо выстраивать IT-оборону.
Безусловно, если вдруг сам факт использования Honeypot будет раскрыт (например, по инсайдерской информации), то он становится бесполезен. Для «домашнего» использования я предлагаю ограничиться самой простой конфигурацией роутера, блокируя всех клиентов, что будут стучаться на определенные порты. Заходим в Mikrotik, раздел «IP», далее выбираем «Firewall». Создаем новое правило со следующими значениями полей:
General
Chain: input
Protocol: 6 (tcp)
Dst. Port: 22,3306,3389,5900
In. Interface: ether1 (т.е. ISP)
Action
Action: add src to address list
Address List: Hackerman
Timeout: 30d 00:00:00
Что мы здесь делаем — если кто-то извне по TCP стучится на определенные порты роутера, то мы вносим адреса стучащихся в список с именем «Hackerman» на месяц. Список портов я указал примерный, тут необходимо каждому самостоятельно решить на каких портах будет реализован Honeypot. Можно составить аналогичное правило и для UDP:
General
Chain: input
Protocol: 17 (udp)
Dst. Port: 53,200
In. Interface: ether1 (т.е. ISP)
Action
Action: add src to address list
Address List: Hackerman
Timeout: 30d 00:00:00
Далее мы переходим на вкладку «Raw» и создаем следующее правило:
General
Chain: prerouting
In. Interface: ether1 (т.е. ISP)
Advanced
Src. Address List: Hackerman
Action
Action: drop
Что мы делаем здесь — просто сбрасываем все подключения если адрес клиента присутствует в списке Hackerman. Использование raw вкупе с prerouting позволяет существенно (до 3х раз) экономить ресурсы CPU нашего роутера при обработке нежелательных соединений.
Имейте в виду, что если вдруг кто-нибудь из ваших «партнеров» будет ломиться на Honeypot-порты без всякой на то причины, то он будет заблокирован роутером. Часто я слышу о том, что подобным грешит VoIP провайдер Mango Telecom, мол, хлебом не корми, дай отсканировать доступные порты на роутере. Чтобы избежать нарушения работоспособности вы можете добавить разрешающие правила в «Raw», расположив их выше запрещающего. Я рекомендую создать 2 правила которые позволят проигнорировать ограничения Honeypot если стучаться будут из определенных подсетей:
General
Chain: prerouting
Src. Address: 81.88.86.0/24
Action
Action: accept
и
General
Chain: prerouting
Src. Address: 81.88.88.0/24
Action
Action: accept
После этого, несмотря на то, что адреса Mango Telecom попадут в список Hackerman, разрешающие правила позволяет проходить трафику без проблем. По образу и подобию вышеперчисленных настроек вы можете делать свои конфигурации Honeypot.