HoneyPot – защита MikroTik от злоумышленников
Honeypot — это «ловушка» или приманка для хакеров, созданная для выявления и блокировки попыток несанкционированного доступа.
Принцип работы Honeypot
Идея проста: вы открываете на маршрутизаторе один или несколько неиспользуемых портов и используете их как приманку. Когда злоумышленник пытается подключиться к такому порту, он тем самым раскрывает свой IP-адрес. После этого система автоматически добавляет этот адрес в список блокировки, обеспечивая защиту сети от потенциальных угроз.
РЕКОМЕНДАЦИЯ
Наша команда советует изучить углубленный курс по администрированию сетевых устройств MikroTik.
В курсе много лабораторных работ по итогам которых вы получите обратную связь.
После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.
В курсе много лабораторных работ по итогам которых вы получите обратную связь.
После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.
Настройка Honeypot на MikroTik
- Подключитесь к маршрутизатору и перейдите в IP → Firewall → Filter Rules.
- В качестве примера используем порт TCP 3389 (RDP), но вы можете выбрать любой другой неиспользуемый порт.
- Рекомендуется выбирать популярные порты, так как злоумышленники чаще пытаются их сканировать.
Правило №1 — фиксация злоумышленников
Нажмите «+» и создайте правило:
Присвойте списку имя, например honeypot, и задайте Timeout — срок хранения адреса:
- Chain: input
- Protocol: tcp
- Dst. Port: 3389
- In. Interface: ether1 (интерфейс, подключенный к интернету)
Присвойте списку имя, например honeypot, и задайте Timeout — срок хранения адреса:
- none dynamic — до перезагрузки устройства;
- none static — навсегда, до ручного удаления;
- 14d 00:00:00 — на 14 дней (пример).
Не рекомендуется использовать статическую запись без необходимости — частая запись во Flash-память может ускорить её износ.
Правило №2 — блокировка злоумышленников
- Перейдите в IP → Firewall → Raw.
- Создайте новое правило, которое блокирует пакеты от адресов, внесённых в Src. Address List = honeypot.
Правило №3 — двусторонняя блокировка
- В том же разделе Raw добавьте ещё одно правило.
- Укажите Dst. Address List = honeypot, чтобы заблокировать не только входящий, но и исходящий трафик к этим адресам.
Рекомендации по настройке Honeypot
Добавьте исключения для доверенных IP:
!src-address-list=Admin
В список Admin внесите IP-адреса системных администраторов, провайдера и других разрешённых устройств — это предотвратит случайную блокировку важных адресов.
!src-address-list=Admin
В список Admin внесите IP-адреса системных администраторов, провайдера и других разрешённых устройств — это предотвратит случайную блокировку важных адресов.
После выполнения этих шагов Honeypot будет активно отслеживать и блокировать подозрительные подключения, обеспечивая дополнительный уровень защиты вашего маршрутизатора MikroTik от внешних угроз.
РЕКОМЕНДАЦИЯ
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.