Drop port scanners

Базовая функциональность RouterOS
chas99
Сообщения: 94
Зарегистрирован: 10 фев 2017, 08:52

Re: Drop port scanners

Сообщение chas99 » 23 дек 2018, 16:50

Так как есть открытые порты, то не хочется, чтобы зловреды занимались подбором паролей на сервере...

chas99
Сообщения: 94
Зарегистрирован: 10 фев 2017, 08:52

Re: Drop port scanners

Сообщение chas99 » 23 дек 2018, 17:02

На сколько я понимаю, зловреды сначала сканируют все порты, а уже после того как определяют какие порты "отвечают", начинают атаки на эти открытые порты...
Поэтому я подумал, что если дать отбой сканерам портов, то снизиться вероятность взлома RDP, да и нагрузка на сам сервер, как то так :)

Аватара пользователя
Chupaka
Сообщения: 1757
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Drop port scanners

Сообщение Chupaka » 23 дек 2018, 20:52

Проще всё же непосредственно закрыть порт каким-нибудь PortKnocking'ом.

Также PSD можно реализовать непосредственно в правилах NAT, которые будут сканеры заносить в Address-List, затем ниже делать Accept для сканеров - и уже потом пробрасывать порты для более легитимных пользователей, например.

chas99
Сообщения: 94
Зарегистрирован: 10 фев 2017, 08:52

Re: Drop port scanners

Сообщение chas99 » 24 дек 2018, 05:58

Chupaka писал(а):
23 дек 2018, 20:52
Также PSD можно реализовать непосредственно в правилах NAT, которые будут сканеры заносить в Address-List, затем ниже делать Accept для сканеров - и уже потом пробрасывать порты для более легитимных пользователей, например.
такое правило ?
chain=dstnat action=add-src-to-address-list protocol=tcp psd=21,3s,3,1 address-list=block_rdp address-list-timeout=10m in-interface=interne>
dst-port="" log=no log-prefix=""
затем ниже делать Accept для сканеров
это не понял, зачем Accept для сканеров ?

Аватара пользователя
Chupaka
Сообщения: 1757
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Drop port scanners

Сообщение Chupaka » 24 дек 2018, 15:08

Да, типа такого.

Accept для того, чтобы прервать обработку правил dstnat. Альтернатива — в каждом правиле проброса дописать src-address-list=!block_rdp. При большом количестве пробросов неудобно и путь к дальнейшей путанице :)

chas99
Сообщения: 94
Зарегистрирован: 10 фев 2017, 08:52

Re: Drop port scanners

Сообщение chas99 » 26 дек 2018, 15:22

Chupaka писал(а):
24 дек 2018, 15:08
При большом количестве пробросов неудобно и путь к дальнейшей путанице :)
а чем плохо использовать использовать Src.Address List ?
по моему вполне наглядно :)
Screenshot_1.jpg
Screenshot_1.jpg (101.56 КБ) 333 просмотра

Аватара пользователя
Chupaka
Сообщения: 1757
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Drop port scanners

Сообщение Chupaka » 26 дек 2018, 16:23

Да, именно такого я стараюсь избегать без надобности =)

chas99
Сообщения: 94
Зарегистрирован: 10 фев 2017, 08:52

Re: Drop port scanners

Сообщение chas99 » 26 дек 2018, 16:49

Вы рекомендуете в NAT делать только "проброс порта", а уже в Filter Rules обрабатывать (фильтровать) так ?
а чем кроме красивости/наглядности в NAT этот прием лучше?

Аватара пользователя
Chupaka
Сообщения: 1757
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Drop port scanners

Сообщение Chupaka » 26 дек 2018, 17:30

Просто красивость/наглядность. Которая потом не даст повода где-нибудь недосмотреть и ошибиться.

Про рекомендации не совсем понял... Я рекомендую "пробрасывать" только легитимные источники, а block_rdp не пробрасывать, чтобы они приземлились в input, а не forward. Где их и заблокировать окончательно, например.

chas99
Сообщения: 94
Зарегистрирован: 10 фев 2017, 08:52

Re: Drop port scanners

Сообщение chas99 » 27 дек 2018, 10:43

Chupaka писал(а):
26 дек 2018, 17:30

Я рекомендую "пробрасывать" только легитимные источники, а block_rdp не пробрасывать, чтобы они приземлились в input, а не forward. Где их и заблокировать окончательно, например.
Что-то я запутался, подскажите, плиз, а как из forward переделать в input ?

а можете поделиться как вы делаете проброс порта с блокировкой "левых" ?

Ответить