Налаштування Honeypot на MikroTik RouterOS

Вступ

Honeypot - це механізм активної безпеки, призначений для виявлення, аналізу та фіксації спроб несанкціонованого доступу до мережевої інфраструктури. У контексті MikroTik RouterOS honeypot зазвичай реалізується як набір правил firewall, сервісів та логування, що імітують вразливі точки доступу (SSH, Telnet, WinBox тощо) з метою виявлення зловмисної активності.

MikroTik не має вбудованого класичного honeypot-модуля, однак RouterOS надає достатньо інструментів для створення ефективного low-interaction honeypot.

Цілі реалізації Honeypot на MikroTik

• Виявлення brute-force атак

• Збір IP-адрес зловмисників

• Автоматичне блокування атакуючих

• Аналіз векторів атак

• Підвищення загального рівня безпеки

Базова концепція

Основна ідея полягає у:

1. Відкритті «приманкових» портів або сервісів

2. Логуванні будь-яких спроб підключення

3. Автоматичному додаванні IP-адрес до blacklist

4. Подальшому блокуванні або обмеженні доступу

Крок 1. Створення address-list для зловмисників

/ip firewall address-list
add list=honeypot_blacklist comment="Honeypot detected attackers"

Крок 2. Honeypot для SSH (порт 22)

Логування та блокування спроб підключення

/ip firewall filter
add chain=input protocol=tcp dst-port=22 connection-state=new \
    action=add-src-to-address-list address-list=honeypot_blacklist \
    address-list-timeout=1d log=yes log-prefix="HONEYPOT_SSH"

Рекомендується використовувати нестандартний порт для реального SSH-доступу адміністратора.

Крок 3. Honeypot для WinBox (порт 8291)

/ip firewall filter
add chain=input protocol=tcp dst-port=8291 connection-state=new \
    action=add-src-to-address-list address-list=honeypot_blacklist \
    address-list-timeout=1d log=yes log-prefix="HONEYPOT_WINBOX"

Крок 4. Honeypot для Telnet (порт 23)

Telnet не повинен використовуватись у production, тому його можна залишити виключно як пастку.

/ip firewall filter
add chain=input protocol=tcp dst-port=23 \
    action=add-src-to-address-list address-list=honeypot_blacklist \
    address-list-timeout=1d log=yes log-prefix="HONEYPOT_TELNET"

Крок 5. Блокування атакуючих IP

/ip firewall filter
add chain=input src-address-list=honeypot_blacklist \
    action=drop comment="Drop honeypot attackers"

Це правило повинно знаходитись вище дозволяючих правил у chain input.

Крок 6. Honeypot на закриті порти (Port Scan Detection)

Виявлення сканування портів

/ip firewall filter
add chain=input protocol=tcp psd=21,3s,3,1 \
    action=add-src-to-address-list address-list=honeypot_blacklist \
    address-list-timeout=1d log=yes log-prefix="HONEYPOT_PORTSCAN"

Крок 7. Обмеження доступу до сервісів RouterOS

Рекомендується явно обмежити доступ до сервісів керування:

/ip service
set ssh address=192.168.0.0/24
set winbox address=192.168.0.0/24
set www disabled=yes
set telnet disabled=yes
set ftp disabled=yes

Крок 8. Аналіз логів

Перегляд подій honeypot:

/log print where message~"HONEYPOT"

Для централізованого аналізу доцільно налаштувати remote syslog.

Додаткові рекомендації

• Використовуйте окремий VLAN або loopback IP для honeypot

• Регулярно очищайте address-list або використовуйте timeout

• Не розміщуйте honeypot у management-сегменті

• Поєднуйте з fail2ban на upstream firewall або SIEM

• Не відкривайте реальні сервіси на стандартних портах