ћы в Telegram - чате. “ы с нами? :)

ћерион Ќетворкс

5 минут чтени€

¬ последние несколько лет всЄ чаще по€вл€етс€ информаци€ об очередных хакерских атаках, направленных на сетевое оборудование различных производителей. » если оборудование класса Enterprise, такое как Cisco, Juniper, Extreme, HP и так далее, обычно обслуживаетс€ армией высококвалифицированных специалистов, которые посто€нно провод€т обновлени€ и закрывают УдырыФ, то с оборудованием класса SOHO (MikroTik, Netgear, TP-Link, Lynksys) дела, зачастую, обсто€т совсем иначе. ј ведь недостаточное внимание, удел€емое сетевому оборудованию, может нанести вред любому бизнесу.

¬ данной статье мы хотим рассказать о ещЄ одном крайне действенном способе защиты оборудовани€ MikroTik, которое не потребует о вас больших усилий в настройке и будет само автоматически обновл€ть свою конфигурацию без вашего вмешательства.


ѕредыстори€

¬ конце марта 2018 года по€вилась информаци€ о хакерской активности, котора€ как раз направлена на SOHO сегмент. ¬ частности Ц на роутеры MikroTik под управлением RouterOS ниже версии v6.38.5. —уть заключалась в том, что некий хакерский ботнет сканировал множество публичных IP-адресов на предмет открытых портов 80 (www) и 8291 (WinBox), чтобы по ответам оборудовани€ определить, что это RouterOS, а также вы€снить его версию. “огда производитель за€вил, что у€звимость реализации протокола www (80), которую можно было бы использовать, была закрыта ещЄ в марте 2017 версией v6.38.5 и рекомендовал всем обновитьс€, а также отключить небезопасный сервис www. Ќужно отметить, что ботнет только собирал информацию, никаких атак не предпринималось.

¬нимание! ≈сли на вашем роутере MikroTik установлена верси€ прошивки ниже v6.38.5, мы рекомендуем незамедлительно произвести обновление до последней актуальной версии.  ак это сделать, вы можете почитать в нашей статье. “акже, рекомендуем закрыть сервис www и настроить доступ к WinBox только с доверенных IP-адресов более подробно о том как это сделать читайте здесь.

ј совсем недавно на сайте подразделени€ Cisco, которое занимаетс€ кибербезопасностью - Talos, по€вилась информаци€ о вредоносном программном обеспечении, которое использует ту самую у€звимость. ќно получило название VPNFilter, хоть и не имеет ничего общего с VPN туннел€ми. ¬еро€тно потому, что после заражени€ оно создаЄт директории /var/run/vpnfilterw и /var/run/vpnfilterm дл€ дальнейшей работы.

ѕо самым поверхностным оценкам, вредонос способен красть пользовательские данные и данные вэб-приложений, устанавливать без ведома пользовател€ модули, которые взаимодействуют с серверами в сети Tor, а также полностью выводить оборудовани€ из стро€ по средствам изменени€ критически важных файлов прошивки. ƒо конца вредонос ещЄ не изучен и актуальные данные по нему всЄ ещЄ поступают. ѕока известно о том, что у€звимости подвержено всего 3 модели оборудовани€ MikroTik -1016, 1036 и 1072, но защитить другие модели будет не лишним.


Ќастройка

»так, перейдЄм собственно к тому самому универсальному методу защиты, о котором мы упом€нули вначале. ƒанный метод основан на простом блокировании заведомо вредоносных IP-адресов, которые были замечены в подозрительной активности (сканнирование, брутфорс, неудачные попытки доступа к различным сервисам) но только не вручную, а в автоматическом режиме. —уществует много открытых ресурсов, которые собирают информацию о таких УчЄрныхФ IP-адресах и генерируют актуальные списки, которые мы можем просто загружать на наш роутер с помощью нехитрого скрипта.

  таким ресурсам относ€тс€:

  • Blocklist.DE - бесплатный открытый ресурс, созданный специалистами, чьи сервера часто подвергаютс€ различного рода атакам, таким как атаки ssh, почтовых и файловых сервисов, вэб-серверов и другое. IP-адреса атакующих занос€тс€ в список и выкладываютс€ в общий доступ;
  • dshield.org - генерирует списки из топ-20 подсетей, из которых за последние 3-е суток совершалось наибольшее число атак;
  • Spamhaus - генерирует списки IP-адресов, замеченных в УспаммерскойФ активности, а также УугнанныхФ устройств, с помощью которых также осуществл€етс€ вредоносна€ де€тельность;

»так, чтобы нам заблокировать адреса из этих списков, нужно сначала создать блокирующее правило на нашем роутере. ƒл€ этого подключаемс€ к нашему MikroTik и даЄм в консоль следующие команды:

ip firewall raw add chain=prerouting dst-address-list="sbl dshield" action=drop comment="sbl dshield"
ip firewall raw add chain=prerouting dst-address-list="sbl spamhaus" action=drop comment="sbl spamhaus"
ip firewall raw add chain=prerouting dst-address-list="sbl blocklist.de" action=drop comment="sbl blocklist.de"

“ем самым, мы создали 3 правила, которые будут блокировать подключени€ к нашему роутеру из списков каждого ресурса соответственно Ц dshield, spamhaus и blocklist.de.

“еперь нужно настроить автоматический загрузчик, который будет обращатьс€ на данные ресурсы за актуальными списками и загружать их в конфигурацию роутера. ƒл€ этого через WinBox откроем вкладку SystemSheduler+

Sheduler

» создадим задачу на проверку обновлени€ списков вредоносных ресурсов начина€ с полуночи следующего числа каждые 12 часов. ќбращение будет происходить по средствам простого http запроса к ресурсу www.squidblacklist.org/downloads/drop.malicious.rsc. ƒл€ этого в поле On Event напишем простой скрипт:

/tool fetch address=www.squidblacklist.org host=www.squidblacklist.org mode=http src-path=/downloads/drop.malicious.rsc

ћы будем обращатьс€ к ресурсу www.squidblacklist.org, потому что его специалисты любезно скомпоновали списки с dshield, spamhaus и blocklist.de в одном месте и нам не придЄтс€ писать скрипт обращени€ дл€ каждого ресурса.

ƒолжно получитьс€ как то так:

«адача на обновление списков

“еперь создадим ещЄ одну задачу на импорт списка в конфигурацию роутера, спуст€ минуту после того, как отработает проверка актуальности списков из первой задачи. Ќа этот раз в поле On Event напишем:

:log warning УDisabling system LoggingФ:
import drop.malicious.rsc
/system logging enable 0
MikroTik: «адача на импорт списков

“еперь наш роутер будет автоматически запрашивать актуальные списки вредоносных IP-адресов и добавл€ть их в блок. ¬ы так же можете использовать другие открытые ресурсы, на которых публикуютс€ списки опасных IP-адресов.


ѕолезна ли ¬ам эта стать€?


Ёти статьи могут быть вам полезны: