بستن پورت اسکن در میکروتیک
پورت اسکن چیست؟
بستن پورت اسکن در میکروتیک| امروزه استفاده از روتز های میکروتیک در همه شرکت های بزرگ و کوچک یا کسب و کار هایی که صرفا اینترنت دارند بسیار زیاد شده.روتر های میکروتیک به دلیل کارایی بسیار بالا و قیمت مناسب بسیار مورد استفاده قرار میگیرند و همین استفاده زیاد در سرتاسر دنیا باعث شده تا هکر ها ازین فرصت استفاده کنند تا استفاده از آسیب پذیری ها به شبکه شما نفوذ کنند.یکی از اولین و مبتدی ترین روش های بررسی امنیت یک شبکه جهت نفوذ به شبکه،استفاده از ابزار های پورت اسکنر هست که به این صورت عمل میکنند که هکر ابتدا آی پی شبکه شما را با استفاده از ابزار های پورت اسکنر مانند nmap یا advance port scanner یا ابزار های متعدد دیگری که وجود دارد اسکن میکند تا بفهمد چه پورت هایی روی آی پی شما باز هستند.مثلا فرض کنید که شما یک سایت روی پورت 80 و 443 و یک سرویس voip روی یک مجموعه پورت دیگه از یک آی پی دارید.هکر بعد از اسکن متوجه میشود چه پورت هایی از آی پی شما باز هست.توی این مرجله ابزار هایی جهت شناسایی سرویس فعال پشت پورت نیز وجود دارد که اگر شما از پورت های دیفالت یک سرویس استفاده کنید،خطر شناسایی سرویس فعال پشت آن پورت را چندین برابر میکتد.
پورت اسکنر تا چه حد خطرناک میباشد؟
با استفاده از پورت اسکنر ها میتوان تمام پورت های فعال در شبکه را پیدا کرد.هدف هکر از این اسکن میتواند مخربانه باشد و قصد نفوذ به شبکه را داشته باشد یا میتواند صرفا جهت اضافه کردن بار بیشتر روی شبکه باشد که معمولا باعث کند شدن روتر،افزایش سی پی روتر و کند شدن شبکه میشود.روش جلوگیری از تهدیدات در شبکه استفاده از فایروال های سخت افزاری مانند فورتی نت و فورتی گت هست اما به دلیل هزینه زیاد این سخت افزار در دسترس همه نیست.پس بستن پورت اسکن در میکروتیک باعث افزایش امنیت شبکه میشود.
هکر ها بعد از پیدا کردن پورت های باز روی آی پی شما اقدام به نفوذ به شبکه میکنند که با توجه به شرایط شبکه ممکن هست موفق شوند.پس بهترین کار برای پنهان ماندن از دست هکر ها و افراد سواستفاده گر مخفی کردن شبکه از دست هکر هاست که یکی از اقدامات مورد نیاز برای این کار،بستن پورت اسکنر ها در میکروتیک هست.
بستن پورت اسکن در میکروتیک
(بهتره قبل از بستن پورت اسکن در میکروتیک ،روتر میکروتیک خودتون رو ایران اکسس کنید توی مقاله آموزش ایران اکسس کردن میکروتیک کامل در این مورد توضیح دادیم)
مراحل بستن پورت اسکن در میکروتیک به صورت زیر میباشد:
-
مرحله اول شناسایی پورت اسکنرها
-
مرحله دوم مسدود کردن آیپیهای شناساییشده
-
مسدود کردن درخواستهای ICMP مشکوک
-
محدود کردن تعداد اتصالات همزمان
سناریو به این صورت میباشد که ما با استفاده از فلگ های پروتوکل TCP آی پی هایی که قصد دارند پورت های شبکه را اسکن کنند شناسایی میکنیم و همه این آی پی ها را در یک لیست نگه داری میکنیم. سپس در مرحله بعد تمام درخواست های ورودی از طرف آی پی ها موجود در لیست به میکروتیک را DROP میکنیم.
برای این کار دستورات زیر را به صورت یکجا کپی کرده و در ترمینال روتر خود پیست کنید.
/ip firewall filter
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”Port scanners to list ” disabled=no
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”NMAP FIN Stealth scan”
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”SYN/FIN scan”
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”SYN/RST scan”
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”FIN/PSH/URG scan”
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”ALL/ALL scan”
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”NMAP NULL scan”
پس از انحام دادن مرحله بالا در فیلتر میکروتیک قانون های زیر اضافه میشوند
این rule ها فقط آی پی هایی که قصد اسکن شبمه را دارند شناسایی میکند و در یک لیست ذخیره میکند.با دستور زیر تمام آی پی ها موجود در لیست را drop میکنیم
add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
به همین سادگی تونستیم پورت اسکنر رو روی شبکه ببندیم و یک پله شبکه خودمون رو ایمن تر کنیم.
این روش کارساز هست اما اصولی نیست.این روش در سازمان ها و شبکه های بزرگ باعث افزایش استفاده سی پی یو میشود.
Submit your first comment