جلوگیری از PortScan با میکروتیک

مشکل

شاید شما به این مشکل برخوردید که روتر میکروتیکتان مورد حمله قرار بگیرد (درصورتی که یک آیپی Valid اختصاصی روی آن ست شده باشد) این حملات میتواند نوع های مختلفی داشته باشد BruteForce,DDoS از معروف ترین آنها میباشند و دلیل آن میتواند باز بودن پورت های خاصی از روتر شما باشد (DNS SSH FTP Telnet Web ) درصورتی که شما به آنها احتیاجی ندارید میتوانید آن هارا بسته و جلوی این حملات را بگیرید ولی اگر به آنجا احتیاج دارید و نمیتوانید آنهارا ببندید باید پورت را عوض کنید شاید این راهکار مدتی شمارا از شر حملات رها کند ولی مشکل اینجاست که بایک پورت اسکن ساده تمام پورت های باز روتر شما پیدا می شود.

حتی اگرشما شامل مورد بالا نباشد شاید کاربران شما (کلاینت های متصل به روتر) درحال انجام PortScan هستند و شما میخواهید جلوی آنهارا بگیرید. پس با ما همراه باشد تا این مشکل هارا حل کنیم.

راه حل

ما برای اینکار از قابلیتی با نام PSD که خود میکروتیک برای تشخیص PortScan قرار داده استفاده میکنیم.

Snapshot_2016-08-20_213454

روش کار به این صورت میباشد که ما آیپی های مورد حمله قرار گرفته یا آیپی هایی که روتر شما را مورد حمله قرار داده راه به آدرس لیست اضافه میکنیم و سپس ارتباطات را با آن آیپی ها می بندیم (توجه داشته باشید روتر ما در این مثال ۲ اینترفیس داشته و یک اینترفیس به اینترنت ودیگری به کلاینت ها (که هرکدام دارای آیپی Valid هستند) متصل شده است ما ۲کار انجام میدهم هم پورت اسکن های که کلاینت ها انجام میدهند میبندیم و هم پورت اسکن های که از بیرون بر روی شبکه ما انجام می شود را بلاک میکنیم برای اینکار لازم است که رول هایمان را در Forward قرار دهیم

مرحله اول (اتک دهنده کلاینت درشبکه ما میباشد و قربانی یک آیپی در اینترنت میباشد) پورت اسکن های خروجی

Snapshot_2016-08-20_222347

Snapshot_2016-08-20_222431

Snapshot_2016-08-20_222509

و بلاک میکنیم

Snapshot_2016-08-20_223223

Snapshot_2016-08-20_223257

Snapshot_2016-08-20_223315

و باید این مراحل را برای پروتکل UDP هم انجام دهیم

مرحله دوم (اتک دهنده یک سیستم داخل اینترنت و قربانی یکی از کلاینت های شما میباشد) پورت اسکن ورودی

Snapshot_2016-08-20_224018

Snapshot_2016-08-20_222431

Snapshot_2016-08-20_224043

و بلاک میکنیم

Snapshot_2016-08-20_224254

Snapshot_2016-08-20_224307

Snapshot_2016-08-20_223315

و دوباره این مراحل را برای پروتکل UDP انجام میدهیم و در نهایت

Snapshot_2016-08-20_224611

دیدگاه ها:

  1. امین گفت:

    سلام ببخشید من یه موردی دارم اون هم این هست که کاربرای ویندوزم که توی شبکه هستن میان پورت اسکن میکنن سایت های دیگه رو و من میخوام اون پورت ها رو ببندم که متاسفانه مال ریموت dns شبکه هستن یعنی وقتی اون ها رو ببندم دیگه هیچ کسی نمیتونه به هیچ سایتی وصل بشه و کار بکنه الان نمیدونم این رو چطوری حل کنم ممنون میشم راهنمایی بکنید.

    1. Ebrahim Mamani Ebrahim Mamani گفت:

      شما یه لیست accept درست کن سرورهایی رو که میخوای رو اضافه کن توش –
      یه رول مینویسی که این لیست رو accept کنه – بالای رولها قرار میدی دیگه تو لیست هم اگه اضافه بشن بلاک نمیشه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

This site uses Akismet to reduce spam. Learn how your comment data is processed.