Защита от сканирования портов — PSD в mikrotik

В этой статье разберем, как защитить свой MikroTik от сканирования портов.

Port scan detect (PSD) – это опция в фаерволе микротика, которая позволяет определять события сканирования портов.

MikroTik умеет оценивать и блокировать перебор портов, которые обычно осуществляются различными сканерами портов, которые могут использовать злоумышленники.

Базовые исследования безопасности вашего роутера и дальнейшее развитие вектора атаки обычно начинается с того, что злоумышленник запускает какой-нибудь сканер портов, например, Nmap и начинает проверять открытые порты в вашей системе. После того, как он проверит эти порты, он уже может начать развивать те или иные атаки.

• У PSD есть несколько параметров:
  • Delay Threshold – максимальная задержка между пакетами с разными портами назначения, пришедших с одного адреса.
  • Weight Threshold – при каком значении баллов сработает. Это значит, что есть некая условная единица, условное количество баллов, которые должен набрать злоумышленник. В случае своего сканирования, злоумышленник должен в течение, например, трех секунд просканировать, 7 портов диапазоне от 0 до 1023 или, например, 21 пор в диапазоне 1024 — 65 535. Высокие порты оцениваются условно, как одна единица, низкие порты оцениваются гораздо выше — как три единицы. Port scan detect работает c TCP и UTP.
  • Low Port Weight – сколько при подсчете стоит каждый порт в диапазоне 0-1023 (низкие порты).
  • Hight Port Weight – сколько при подсчете стоит каждый порт в диапазоне 1024 – 65 535 (высокие порты).

• Пример настройки через WinBox и через CLI.
  1. Создаём новое правило в firewall в цепочке input (входящий трафик).
     
  2. Дальше на вкладке Extra мы выбираем PSD (Port scan detect) и можем оставить значения по умолчанию.
     
  3. Переходим на вкладку Action. Действия, связанные с этим правилом, обычно это “add src to address list”. То есть добавить ip-адрес источника в какой-нибудь адрес лист, можно так его и назвать «psd», timeout можно оставить в динамическом режиме.
     

Для настройки через CLI:

>/ip firewall filter add chain=input psd=21,3s,3,1 action=add-src-to-address-list address-list=psd

В атрибуте PSD параметры располагаются в следующем порядке: WeightThreshold, DelayThreshold, LowPortWeight, HighPortWeight.

После этого созданное правило добавляется в конец списка правил в firewall. Вам нужно поднять его в списке правил срабатывания, если требуется (относительно тех правил, что уже у Вас созданы).

Теперь можно проверить, что действительно наше правило отрабатывает — сбросим счетчик данного правила (Reset counters) и запускаем сканер портов.

Наш ip адрес уже попал в адрес лист.

Следующим вариантом может быть добавление в RAW (в prerouting). Например, сделать правило, связанное с PSD:

Настройка через CLI

/ip firewall raw add chain=prerouting src-address-list=psd action=drop

После создания правила в RAW, повторяем попытку сканирования портов и видим, что попытка закончилась неудачно. В счетчиках работы правила видим, что они увеличились – сработали на нашу попытку сканирования портов.

Вы можете оптимизировать эти правила, чтобы не делать дополнительных и делать общий адрес лист для всех недоброжелательных элементов, которые пытаются как-то навредить Вашему маршрутизатору.

Ну и ко всему прочему, как honeypot, так и PSD советуем для начала запускать в режиме обучения, то есть без подавления трафика. Вы просто собираете ip-адреса злоумышленников и осматриваете их. Смотрите не попало ли туда что-то, что может навредить работоспособности вашей сети.

На этом настройка защиты от сканирования портов закончена.