بستن پورت اسکن در میکروتیک

پورت اسکن چیست؟

بستن پورت اسکن در میکروتیک| امروزه استفاده از روتز های میکروتیک در همه شرکت های بزرگ و کوچک یا کسب و کار هایی که صرفا اینترنت دارند بسیار زیاد شده.روتر های میکروتیک به دلیل کارایی بسیار بالا و قیمت مناسب بسیار مورد استفاده قرار میگیرند و همین استفاده زیاد در سرتاسر دنیا باعث شده تا هکر ها ازین فرصت استفاده کنند تا استفاده از آسیب پذیری ها به شبکه شما نفوذ کنند.یکی از اولین و مبتدی ترین روش های بررسی امنیت یک شبکه جهت نفوذ به شبکه،استفاده از ابزار های پورت اسکنر هست که به این صورت عمل میکنند که هکر ابتدا آی پی شبکه شما را با استفاده از ابزار های پورت اسکنر مانند nmap یا advance port scanner یا ابزار های متعدد دیگری که وجود دارد اسکن میکند تا بفهمد چه پورت هایی روی آی پی شما باز هستند.مثلا فرض کنید که شما یک سایت روی پورت 80 و 443 و یک سرویس voip روی یک مجموعه پورت دیگه از یک آی پی دارید.هکر بعد از اسکن متوجه میشود چه پورت هایی از آی پی شما باز هست.توی این مرجله ابزار هایی جهت شناسایی سرویس فعال پشت پورت نیز وجود دارد که اگر شما از پورت های دیفالت یک سرویس استفاده کنید،خطر شناسایی سرویس فعال پشت آن پورت را چندین برابر میکتد.

/ip firewall filter

add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”Port scanners to list ” disabled=no

add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”NMAP FIN Stealth scan”

add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”SYN/FIN scan”

add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”SYN/RST scan”

add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”FIN/PSH/URG scan”

add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”ALL/ALL scan”

add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”NMAP NULL scan”

پس از انحام دادن مرحله بالا در فیلتر میکروتیک قانون های زیر اضافه میشوند

این rule ها فقط آی پی هایی که قصد اسکن شبمه را دارند شناسایی میکند و در یک لیست ذخیره میکند.با دستور زیر تمام آی پی ها موجود در لیست را drop میکنیم


add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no

به همین سادگی تونستیم پورت اسکنر رو روی شبکه ببندیم و یک پله شبکه خودمون رو ایمن تر کنیم.

این روش کارساز هست اما اصولی نیست.این روش در سازمان ها و شبکه های بزرگ باعث افزایش استفاده سی پی یو میشود.