راه اندازی Port Scan Detection در میکروتیک
راه اندازی Port Scan Detection در میکروتیک
در این مقاله آموزشی قصد داریم:
با ابزار Port Scan Detection که در قسمت Firewall میکروتیک قرار دارد آشنا شویم.
معمولاً تجهیزات میکروتیک که دارای IP Public اینترنتی می باشند
مورد حملات مختلفی اعم از DDOS و Brute Force و… قرار می گیرند
که در واقع این حملات به روی پورت های معروف سرویس های مختلف انجام می گیرد
ولی در صورتی که پورت پیش فرض این سرویس ها را تغییر دهیم
ممکن است بتوانیم تا حدودی از روتر خود در برابر این نوع حملات محافظت کنیم.
نرم افزارهای پورت اسکن:
ولی برخی از نرم افزارهای پورت اسکن می توانند،
با بررسی پورت های مختلف بر روی هر IP، اطلاعاتی درباره سرویسی که روی آن پورت ارائه می شود و… به دست آورند
که این مورد می تواند مجدد روتر ما را در برابر حملات مذکور دچار آسیب پذیری کند.
در این مقاله:
به بررسی روشی برای جلوگیری از انجام اسکن پورت های میکروتیک شما، در برابر نفوذگرها می پردازیم.
-
قابلیت PSD:
بصورت پیش فرض در قسمت فایروال میکروتیک قرار داده شده است
که در ادامه به بررسی پارامترهای آن می پردازیم.
این ابزار در قسمت IP Firewall Filter در تب Extra قابل مشاهده می باشد:
-
Threshold:
این پارامتر، مشخص کننده حداکثر فرصت (چوب خط) است
که در صورت اسکن شدن توسط یک آدرس IP، در بازه زمانی مشخص که در قسمت Delay Threshold تعیین شده است
آن آدرس را به عنوان یک Port Scanner تشخیص داده شود.
در این مثال:
دو گزینه Low Port Weight (پورت های بین ۰ تا ۱۰۲۴) و High Port Weight (پورت های بعد از ۱۰۲۴) قرار داده شده است
که اعداد ۳ و ۱ نمایانگر امتیاز، به معنای این است که اگر سیستمی پورت های بین ۰ تا ۱۰۲۴ را اسکن کند
به میزان ۳ پوینت چوب خط خود را پر می کند
و اگر این اسکن برای پورت های بالای ۱۰۲۴ باشد،
به میزان یک پوینت چوب خط خود را پر می کند
و در صورت رسیدن به حداکثر فرصت یا چوب خط آن آدرس به عنوان یک پورت اسکنر تشخصی داده شود.
-
-
برای ایجاد این قابلیت به ترتیب از دستورات زیر استفاده می کنیم:
-
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”Port scanners to list ” disabled=no
-
-
در صورتی که بخواهیم بصورت حرفه ای تر این رول ها را ایجاد کنیم
-
می توانیم به بررسی TCP flags ها بپردازیم:
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”NMAP FIN Stealth scan”
-
-
نرم افزار nmap یک ابزار حرفه ای در لینوکس برای Port Scan بوده
-
که قابلیت های زیادی را در اختیار Scanner ها قرار می دهد
که در این رول ها متدهای مختلف این اسکن را مسدود می کنیم:
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”SYN/FIN scan”
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”SYN/RST scan”
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”FIN/PSH/URG scan”
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”ALL/ALL scan”
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”NMAP NULL scan”
-
-
در نهایت با استفاده از دستور زیر دسترسی Port Scanner به شبکه خود را مسدود می کنیم:
-
add chain=input src-address-list=”port scanners” action=drop comment=”dropping port scanners” disabled=no
برای محافظت از سیستم های داخل شبکه نیز می توانید همین رول ها را با chain=forward استفاده نمایید
جهت مشاهده فیلم های آموزشی میکروتیک بر روی این لینک کلیک نمایید.
جدیدترین اخبار مجموعه فراز نتورک را در صفحات اجتماعی دنبال کنید.
راه اندازی Port Scan Detection در میکروتیک – نویسنده: مهندس بهداد رحمانی
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.