जानवर बल को दबाने के लिए मिकरोटिक लॉग डेटाबेस का उपयोग करना

शुभ दोपहर

पिछले प्रकाशन में, मैंने बात की थी कि कैसे, आसानी से और स्वाभाविक रूप से, आप एक डेटाबेस में मिकरोटिक राउटर पर नेटवर्क ट्रैफ़िक मेटाडेटा के संग्रह को कॉन्फ़िगर कर सकते हैं।

अब हमारे सर्वर को प्राप्त आंकड़ों का एक प्रारंभिक विश्लेषण करने और वापस कमांड भेजने का समय है।

उद्देश्य: पासवर्ड अनुमान लगाने के साथ नेटवर्क हमलों को दबाने के लिए मिकरोटिक फ़ायरवॉल नियमों का गतिशील नियंत्रण।

मीन्स: rsyslogd v8, crond, mariadb DBMS और मिकरोटिक राउटर के साथ ताजा लिनक्स वितरण।

यांत्रिकी: असाइन किए गए कार्य का उपयोग करते हुए, डेटाबेस में एक SQL क्वेरी को संचित और अद्यतन ट्रैफ़िक डेटा के साथ निष्पादित किया जाता है और आउटगोइंग आईपी पते की एक सूची देता है, मुकुट द्वारा शुरू की गई बैश स्क्रिप्ट मिक्रोटिक कमांड उत्पन्न करती है और, एक ssh कनेक्शन का उपयोग करके, मौजूदा अवरुद्ध नियमों के लिए पते की सूची को फिर से भरती है।

यह खुले टीसीपी पोर्ट की सुरक्षा के बारे में होगा। ये मिकरोटिक में प्रवेश करने वाले बंदरगाह हो सकते हैं और स्थानीय नेटवर्क पर भेजे जा सकते हैं।

शुरू करने के लिए, हम इंगित करते हैं कि कहां कमजोरियां हो सकती हैं:

• Ssh, telnet, web, winbox रूटर के नियंत्रण प्रोटोकॉल
• मेल सेवाएँ smtp, pop, imap
• कोई भी वेब सेवा
• रिमोट डेस्कटॉप एमएस आरडीपी, वीएनसी, आदि।
• अपने विवेक पर कुछ और

जानवर बल की खोज के लिए एक SQL क्वेरी लिखना

हमारे संगठन में गैर-प्राथमिकता वाले बंदरगाहों के माध्यम से टर्मिनल सर्वर बाहर तक खुले हैं।
DNAT मिकरोटिक में मैंने उपसर्ग RDP_DNAT जोड़कर आवश्यक नियमों के लॉगिंग को चालू किया। इस उपसर्ग द्वारा हम खोज करेंगे:

MariaDB [traflog]> select src,dport,count(dport) as ' ' from traffic where datetime>now() - interval 1 day and logpref='RDP_DNAT' group by src having count(dport)>50; +-----------------+-------+---------------------------------------+ | src | dport |   | +-----------------+-------+---------------------------------------+ | 185.156.177.58 | 12345 | 118 | | 185.156.177.59 | 12345 | 267 | | 193.238.46.12 | 12345 | 318 | | 193.238.46.13 | 12345 | 319 | | 193.238.46.99 | 12345 | 342 | | 194.113.106.150 | 12345 | 67 | | 194.113.106.152 | 12345 | 167 | | 194.113.106.153 | 12345 | 190 | | 194.113.106.154 | 12345 | 192 | | 194.113.106.155 | 12345 | 190 | | 194.113.106.156 | 12345 | 216 | | 194.113.106.158 | 12345 | 124 | +-----------------+-------+---------------------------------------+ 12 rows in set (0.06 sec) 

यह अनुरोध आईपी पते (जिसमें से हमला आ रहा है) को दिखाता है, जिस पोर्ट से कनेक्शन बनाया गया है (पोर्ट नंबर बदल गया है) और कनेक्शन के प्रयासों की संख्या, src द्वारा प्रारंभिक समूहन और लाइनों के चयन के साथ, वर्तमान पल, दिन से अतीत में 50 से अधिक प्रयासों की संख्या के साथ।

मेरे मामले में, इन पतों को सुरक्षित रूप से प्रतिबंधित किया जा सकता है, क्योंकि "अच्छे" ग्राहकों के साथ कनेक्शन की संख्या कम है, एक आईपी से प्रति दिन 5-10 से अधिक नहीं।

अनुरोध ठीक काम करता है, तेज, लेकिन यह थोड़ा लंबा है। आगे के उपयोग के लिए, मैं एक दृश्य बनाने का प्रस्ताव करता हूं, जो भविष्य में कम कॉपी करेगा:

 MariaDB [traflog]> create or replace view rdp_brute_day as select src, dport, count(dport) from traffic where datetime>now() - interval 1 day and logpref='RDP_DNAT' group by src having count(dport)>50; Query OK, 0 rows affected (0.23 sec) 

आइए देखें कि कैसे काम करता है:

 MariaDB [traflog]> select src,count(dport) from rdp_brute_day; +----------------+--------------+ | src | count(dport) | +----------------+--------------+ | 185.156.177.58 | 11 | +----------------+--------------+ 1 row in set (0.09 sec) 

बहुत बढ़िया।

हम dsa कुंजी द्वारा प्राधिकरण के साथ उपयोगकर्ता मिकरोटिक जोड़ते हैं

Linux कंसोल में, हम dsa कुंजी जेनरेट करते हैं, उस यूजर के तहत, जिसकी ओर से शेड्यूल किया गया टास्क लॉन्च किया जाएगा, मैंने इसे इस प्रकार बनाया है:

 root@monix:~# ssh-keygen -t dsa Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa. Your public key has been saved in /root/.ssh/id_dsa.pub. ... 

पासफ़्रेज़ आवश्यक नहीं है। हम किसी भी तरह से सार्वजनिक कुंजी /root/.ssh/id_dsa.pub को मिकरोटिक में कॉपी कर सकते हैं। मैं इसे बिल्ली कमांड के साथ बाहर लाया, पोटीन विंडो से टेक्स्ट को एक टेक्स्ट फाइल में कॉपी किया, इसे बचाया और इसे विंडबॉक्स फाइल विंडो में खींच लिया।

मुझे नहीं पता कि क्यों, लेकिन विनबॉक्स इंटरफ़ेस के माध्यम से निम्नलिखित संचालन के दौरान कुछ गलत हो गया। सर्वर से ssh के माध्यम से कनेक्ट होने पर, मिकरोटिक ने मुझसे पासवर्ड भी मांगा। जब मैंने बनाए गए उपयोगकर्ता को हटा दिया और कंसोल के माध्यम से सभी ऑपरेशन किए, तो dsa कनेक्शन ने काम किया। यहाँ वर्णित के रूप में लगभग किया था ।

सामान्य तौर पर, मुझे dsa कुंजी का उपयोग करके पासवर्ड के बिना स्वागत प्रविष्टि प्राप्त हुई और सत्यापन आदेश चला गया:

 root@monix:/# ssh rsyslogger@192.168.0.230 /system resource print uptime: 2w1d5h22m43s version: 6.43.2 (stable) ... 

सब ठीक है।

बैश स्क्रिप्ट लिखना

स्क्रिप्ट जटिल नहीं थी:

 mikrotik_cmd_list(){ brute_src_list=$(mysql --skip-column-names traflog -e 'select src from rdp_brute_day') for src in $brute_src_list do echo "ip firewall address-list add address=$src list=rdp_banlist timeout=1d" done } mikrotik_cmd_list | ssh -T rsyslogger@192.168.0.230 

एक ही ssh कनेक्शन के भीतर सभी कमांड्स को ट्रांसफर करने के लिए, मुझे फंक्शन mikrotik_cmd_list () का वर्णन करने की आवश्यकता है, जिसमें पहले brute_src_list वेरिएबल को ip एड्रेस सेव करने के साथ रिक्वेस्ट की जाती है, फिर लूप में यह वेरिएबल क्रमिक रूप से Mikrotik के लिए कमांड जेनरेट करता है। फ़ंक्शन को कॉल करने के बाद, आउटपुट को ssh में पाइप के माध्यम से रूट किया जाता है।

रूट को छोड़कर सभी के लिए स्क्रिप्ट एक्सेस अधिकारों को बंद करने और फ़ाइल को निष्पादन योग्य बनाने के लिए मत भूलना।
स्क्रिप्ट उत्पन्न करने वाली कमांड 1 दिन के लिए ip पते को rdp_banlist में जोड़ देगी, इस समय के बाद इसे सूची से हटा दिया जाएगा। यदि आप इसे हमेशा के लिए छोड़ना चाहते हैं, तो टाइमआउट विकल्प को हटा दें।

फ़ायरवॉल में एक नियम जोड़ें

मैं rdp_banlist का उपयोग करने के लिए दो विकल्पों के साथ आया:

विकल्प एक: उपसर्ग RDP_DNAT के साथ NAT नियमों के लिए विस्मयादिबोधक चिह्न के साथ rdp_banlist जोड़ें।

 add action=dst-nat chain=dstnat comment="..." dst-address=1.2.3.4 dst-port=12345 log=yes log-prefix=RDP_DNAT protocol=tcp src-address-list=\ !rdp_banlist to-addresses=192.168.200.181 to-ports=3389 

कुछ इस तरह। यही है, हम सब कुछ dnat करते हैं, सिवाय इसके कि rdp_banlist में क्या है।

इस विकल्प में, प्लस और माइनस है।

प्लस यह है कि कनेक्शन तुरंत बंद हो जाएंगे।

नकारात्मक पक्ष यह है कि यह आईपी अब ट्रैफ्लॉग डेटाबेस में नहीं आएगा और एक दिन बाद, जब ब्लैकलिस्ट में स्टोरेज टाइमआउट पारित हो जाएगा, तो यह फिर से चालू हो जाएगा।

विकल्प दो: rdp_banlist को विस्मयादिबोधक चिह्न के साथ आगे की श्रृंखला के फ़ायरवॉल नियम में जोड़ें, जहां हम पहले तरीके से ट्रैफिक को टीसीपी 3389 से गुजरने की अनुमति देते हैं।

 add action=accept chain=forward comment="..." dst-port=3389 log=yes log-prefix=ACCEPT_RDP protocol=tcp src-address-list=\ !rdp_banlist to-ports=3389 

कुछ इस तरह। हम उस सूची को छोड़कर सब कुछ अनुमति देते हैं।

प्लस और माइनस भी है।

प्लस। उपसर्ग RDP_DNAT के साथ लॉग्स को ट्रैफ़्लॉग डेटाबेस में स्ट्रीम किया जाना जारी रहेगा, जिसके द्वारा हम हमले का संकेत निर्धारित करते हैं। नतीजतन, जब एक विशेष मेजबान के लिए प्रतिबंध की समय सीमा जो कि क्रूर बल प्रयासों को जारी रखती है, तो समाप्त हो जाती है, इसे अगले निर्धारित कार्य लॉन्च के बाद फिर से प्रतिबंध सूची में जोड़ दिया जाएगा।

नकारात्मक पक्ष यह है कि यह DSTNAT तालिका में बकवास करना जारी रखता है, प्रत्येक कनेक्शन के साथ एक नया रिकॉर्ड बनाता है, भले ही वह अस्थायी हो।

सामान्य तौर पर, निर्णय आपका है, मैंने दोनों को चुना: (वास्तव में, इस मामले में केवल पहला काम करता है), चूंकि दूसरा एक पहले से चालू था और मैकेनिक्स अलग थे, सूचियों में क्रमिक प्रविष्टियों के आधार पर, स्टेज 2, स्टेज 2, स्टेज 3 banlist ... ठीक है, आपको बात मिल जाएगी। एक पुरानी और बहुत विश्वसनीय चाल नहीं है, यह आसानी से "अच्छे" ग्राहकों पर प्रतिबंध लगा सकता है और एक ही समय में "खराब" लोगों को छोड़ सकता है जिन्होंने विनम्रता से टाइमआउट स्टेज 1 की गणना की थी।

अनुसूचित नौकरी crontab

यह असाइन किए गए कार्य को क्रॉस्टैब में जोड़ना बाकी है:

 root@monix:/root# echo '12 * * * * root /usr/share/traflog/scripts/rdp_brute.sh >/dev/null 2>&1' >> /etc/crontab 

ऐसा रिकॉर्ड स्क्रिप्ट को हर घंटे 12 मिनट में चला देगा।

मुझे स्वीकार करना चाहिए, मैंने आज इस यांत्रिकी पर काम पूरा कर लिया है और उच्च संभावना के साथ, कुछ गलत हो सकता है। परिस्थितियों के अनुसार मैं त्रुटियों को पूरक और सही करूंगा। मैं नए साल की छुट्टियों पर आराम से सोना चाहता हूं, इसलिए मैं खत्म करने की जल्दी में हूं।
शायद यही सब है।

आपका ध्यान और नव वर्ष की शुभकामनाओं के लिए धन्यवाद!

संदर्भ:

मयस्कल दस्तावेज
मिकरोटिक फ़ायरवॉल प्रलेखन
डेसा कनेक्शन के बारे में लेख के लिए एंड्री स्मिरनोव को धन्यवाद।