Правила для настройки Port Knocking

Раздел:

/ip firewall filter

Правила:

add action=add-src-to-address-list address-list=rdp_blacklist \

address-list-timeout=15m chain=forward comment=rdp_to_blacklist \

connection-state=new dst-port=3389 protocol=tcp src-address-list=\

rdp_stage12

add action=add-src-to-address-list address-list=rdp_stage12 \

address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage11

add action=add-src-to-address-list address-list=rdp_stage11 \

address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage10

add action=add-src-to-address-list address-list=rdp_stage10 \

address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage9

add action=add-src-to-address-list address-list=rdp_stage9 \

address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage8

add action=add-src-to-address-list address-list=rdp_stage8 \

address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage4

add action=add-src-to-address-list address-list=rdp_stage7 \

address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage6

add action=add-src-to-address-list address-list=rdp_stage6 \

address-list-timeout=4m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage5

add action=add-src-to-address-list address-list=rdp_stage5 \

address-list-timeout=2m chain=forward connection-state=new dst-port=\

3389 protocol=tcp src-address-list=rdp_stage4

add action=add-src-to-address-list address-list=rdp_stage4 \

address-list-timeout=2m chain=forward connection-state=new dst-port=\

3389 protocol=tcp src-address-list=rdp_stage3

add action=add-src-to-address-list address-list=rdp_stage3 \

address-list-timeout=2m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage2

add action=add-src-to-address-list address-list=rdp_stage2 \

address-list-timeout=2m chain=forward connection-state=new dst-port=3389 \

protocol=tcp src-address-list=rdp_stage1

add action=add-src-to-address-list address-list=rdp_stage1 \

address-list-timeout=2m chain=forward connection-state=new dst-port=3389 \

protocol=tcp

Раздел:

/ip firewall raw

Правила:

add action=drop chain=prerouting in-interface=ether4-wan src-address-list=\

rdp_blacklist

За 4 минуты удаленному клиенту разрешается сделать только 12 новых «запросов» к RDP серверу. Одна попытка входа — это от 1 до 4 «запросов». При 12-ом «запросе» — блокировка на 15 минут. В моем случае злоумышленники сервер взламывать не перестали, подстроились под таймеры и теперь делают это очень медленно, такая скорость подбора сводит эффективность атаки к нулю. Сотрудники предприятия от принятых мер никаких неудобств в работе практически не испытывают.

Можно также блокировать доступ к серверу между 1:00 ночи и 5:00 утра:

/ip firewall filter

add action=add-src-to-address-list address-list=rdp_blacklist \

address-list-timeout=1w0d0h0m chain=forward comment=\

"night_rdp_blacklist" connection-state=new disabled=\

yes dst-port=3389 protocol=tcp src-address-list=rdp_stage8

Уже на 8-ом по счету соединении IP злоумышленника отправляется в черный список на неделю. Красота!

Ну и в довесок к вышесказанному добавлю ссылку на Wiki статью, с рабочей настройкой защиты Микротика от сетевых сканеров. wiki.mikrotik.com/wiki/Drop_port_scanners

Ещё один вариант защиты для портов торчащих внаружу Port Knocking:

https://netflow.by/blog/net/4752-port-knocking-s-ispolzovaniem-icmp-na-mikrotik