Ваши темы для Вебинаров

В Москве:

РФ (звонок бесплатный):

+7 (495) 103-99-88 +7 (800) 600-20-56

Защита от сканирования портов — PSD в mikrotik

17824


В этой статье разберем, как защитить свой MikroTik от сканирования портов.

Port scan detect (PSD) – это опция в фаерволе микротика, которая позволяет определять события сканирования портов.

MikroTik умеет оценивать и блокировать перебор портов, которые обычно осуществляются различными сканерами портов, которые могут использовать злоумышленники.

Базовые исследования безопасности вашего роутера и дальнейшее развитие вектора атаки обычно начинается с того, что злоумышленник запускает какой-нибудь сканер портов, например, Nmap и начинает проверять открытые порты в вашей системе. После того, как он проверит эти порты, он уже может начать развивать те или иные атаки.

  • У PSD есть несколько параметров:
    • Delay Threshold – максимальная задержка между пакетами с разными портами назначения, пришедших с одного адреса.
    • Weight Threshold – при каком значении баллов сработает. Это значит, что есть некая условная единица, условное количество баллов, которые должен набрать злоумышленник. В случае своего сканирования, злоумышленник должен в течение, например, трех секунд просканировать, 7 портов диапазоне от 0 до 1023 или, например, 21 пор в диапазоне 1024 — 65 535. Высокие порты оцениваются условно, как одна единица, низкие порты оцениваются гораздо выше — как три единицы. Port scan detect работает c TCP и UTP.
    • Low Port Weight – сколько при подсчете стоит каждый порт в диапазоне 0-1023 (низкие порты).
    • Hight Port Weight – сколько при подсчете стоит каждый порт в диапазоне 1024 – 65 535 (высокие порты).
  • Пример настройки через WinBox и через CLI.
    1. Создаём новое правило в firewall в цепочке input (входящий трафик).
      New Firewall Rule
    2. Дальше на вкладке Extra мы выбираем PSD (Port scan detect) и можем оставить значения по умолчанию.
      Firewall Rule/Extra
    3. Переходим на вкладку Action. Действия, связанные с этим правилом, обычно это “add src to address list”. То есть добавить ip-адрес источника в какой-нибудь адрес лист, можно так его и назвать «psd», timeout можно оставить в динамическом режиме.
      Firewall Rule/Action

Для настройки через CLI:

>/ip firewall filter add chain=input psd=21,3s,3,1 action=add-src-to-address-list address-list=psd

В атрибуте PSD параметры располагаются в следующем порядке: WeightThreshold, DelayThreshold, LowPortWeight, HighPortWeight.

После этого созданное правило добавляется в конец списка правил в firewall. Вам нужно поднять его в списке правил срабатывания, если требуется (относительно тех правил, что уже у Вас созданы).

Теперь можно проверить, что действительно наше правило отрабатывает — сбросим счетчик данного правила (Reset counters) и запускаем сканер портов.

Terminal/nmap

Наш ip адрес уже попал в адрес лист.

IP/Firewall/Address List

Следующим вариантом может быть добавление в RAW (в prerouting). Например, сделать правило, связанное с PSD:

Raw Rule

New Raw Rule

Настройка через CLI

/ip firewall raw add chain=prerouting src-address-list=psd action=drop

После создания правила в RAW, повторяем попытку сканирования портов и видим, что попытка закончилась неудачно. В счетчиках работы правила видим, что они увеличились – сработали на нашу попытку сканирования портов.

Terminal/nmap scan blocking

Firewall/Raw drop

Вы можете оптимизировать эти правила, чтобы не делать дополнительных и делать общий адрес лист для всех недоброжелательных элементов, которые пытаются как-то навредить Вашему маршрутизатору.

Правила PSD нужно использовать с большой осторожностью. Советуем Вам в список адресов источников для исключения добавить, как минимум, ip-адреса системного администратора, других площадок, ip-адреса шлюза вашего провайдера, DNS серверов и так далее — те ip-адреса, с которыми Вам необходимо постоянно общаться. Это позволит не получить отказ в вашей сети в случае каких-то ошибочных настроек.

Ну и ко всему прочему, как honeypot, так и PSD советуем для начала запускать в режиме обучения, то есть без подавления трафика. Вы просто собираете ip-адреса злоумышленников и осматриваете их. Смотрите не попало ли туда что-то, что может навредить работоспособности вашей сети.

На этом настройка защиты от сканирования портов закончена.


  • MTCNA

    15 - 18 июля 10.00 - 18.00
  • MTCRE

    05 - 08 августа 10.00 - 18.00
  • MTCNA

    12 - 15 августа 10.00 - 18.00
  • MTCNA

    09 - 12 сентября 10.00 - 18.00
  • MTCWE

    16 - 19 сентября 10.00 - 18.00
  • MTCSE

    07 - 10 октября 10.00 - 18.00
  • MTCTCE

    11 - 14 ноября 10.00 - 18.00
  • MTCRE

    16 - 19 декабря 10.00 - 18.00

Курсы Mikrotik-Training.

Знания, которые дают результат.