Mam (jeszcze przez chwilę) pod opieką pewien router MikroTik (dokładnie to model RB4011iGS+5HacQ2HnD). Nie przepadam za sprzętem MT, ze względu na jego dość skomplikowaną konfigurację. Owszem, możliwości ma sporo. To fakt. Ale konfiguracja sprzętu MikroTik nie należy do najwygodniejszych (przynajmniej dla mnie). Niedługo będzie (o ile już nie jest – nie interesowałem się tym zbytnio) jak ze sprzętem marki Cisco: szkolenia i kursy, żeby zrobić certyfikaty z obsługi urządzeń sieciowych MiroTik. Ale w sumie wpis nie o tym.
Otóż router ten został skonfigurowany dawno temu (nie przeze mnie). Działa na adresie IP z puli używanej przez poprzedniego klienta operatora sieci. Adres ten ma nawet przypisany wpis revDNS z danymi domeny poprzedniego klienta, więc od długiego czasu widnieje w różnych bazach, rejestrach i jest narażony na ataki z Internetu.
Swego czasu na tym routerze robiłem testy – sprawdzałem jak często ten wystawiony do Internetu sprzęt na stałym adresie IP narażony jest na ataki. A to wszystko dzięki przydatnej funkcji routera MikroTik, która po zalogowaniu się na konto Telnet / SSH admina pokazuje, ile (i jakich) było prób ataku na port usługi Telnet / SSH i jakich loginów próbowali użyć atakujący. Poniżej wycinek z logów konsoli wygląda tak:
[2023-02-15 12:54:29.642] [admin@MikroTik] > [2023-02-15 13:04:26.287] 13:04:26 echo: system,error,critical login failure for user Support from 179.60.147.157 via ssh [2023-02-15 13:05:24.830] 13:05:24 echo: system,error,critical login failure for user root from 198.98.52.86 via ssh [2023-02-15 13:21:18.713] 13:21:18 echo: system,error,critical login failure for user Debian from 179.60.147.157 via ssh [2023-02-15 13:26:35.382] 13:26:35 echo: system,error,critical login failure for user uj from 194.110.203.109 via ssh
Po takim teście, czyli uruchomionej sesji SSH w terminalu i logowanie do pliku zawartości okna sesji wyszło, że liczba prób włamań na samej tylko usłudze SSH wynosiła od kilkuset do kilku tysięcy dziennie. Na domowym routerze mam ich lekko z kilkaset (jak nie lepiej, obstawiam, że nawet ponad tysiąc), każdego dnia.
W ramach utwardzania routera, czy też uszczelniania sieci postanowiłem, że wykonam prosty zabieg, który ograniczy liczbę wizyt botów włamywaczy próbujących wbić się do routera na nieistniejące loginy i/lub podając błędne hasła. Zmiana numeru portu dla wystawionej na zewnątrz usługi SSH na czterocyfrowy spowodowała spadek liczby prób włamań brute force o jakieś 99(,9)% w stosunku do stanu poprzedniego. Czasami są to 1-2 próby dziennie, innym razem bywa, że przez 2-3, 4 dni nie ma żadnej próby włamania.
Oczywiście są to tylko próby włamań przez usługę SSH. Nie mam pojęcia jak to wygląda w przypadku portów innych usług – nie mam tego typu logów (może ktoś wie, gdzie takowych szukać w sprzęcie MikroTik?) Z usług dostępnych na routerze na zewnętrznym IP wystawiony jest jedynie zmieniony port SSH; porty innych usług, czyli zarządzanie przez WWW, czy port API do łączenia się z routerem przez aplikację MikroTik są dostępne jedynie z sieci lokalnej, do której dostęp realizowany jest za pośrednictwem tunelu OpenVPN. Jedynie, gdy połączę się przez OpenVPN z tym routerem to mam możliwość konfigurowania go przez przeglądarkę, czy program MikroTik. Dostęp przez SSH uruchomiony jest jedynie po to, gdyby router zawiesił się, nie działały tunele VPN i niemożliwe byłoby zalogowanie się przez przeglądarkę – przez SSH można wtedy zrobić restart / reboot routera.