Come gestisci enormi scansioni di porte?

Li ignoro. E se hai un atteggiamento di sicurezza ragionevole, dovresti farlo anche tu.

I tuoi server non dovrebbero avere porte aperte al pubblico diverse da quelle che utilizzi per servire il pubblico in generale.

Ad esempio, il tuo server web dovrebbe avere porte aperte 80, 443 e forse 22; tutto il resto dovrebbe essere SSH-tunnelling o altrimenti VPN se è necessario connettersi ad esso, a meno che non si aspettino che su Internet si utilizzino in modo casuale il servizio di ascolto. Forse potresti voler rimappare SSH sulla porta 222 oo qualcosa nella parte superiore del campo per evitare di riempire i tuoi registri di autenticazione con accessi non riusciti, e questo dovrebbe essere eccitante come i tuoi server.

Se invece il port scan sta colpendo il tuo gateway corp in uscita, allora la scansione dovrebbe mostrare le porte zero aperte, perché il tuo gateway corp non è un server. E tu, come un saggio amministratore IT, esegui tutti i tuoi server altrove su Internet, non all'interno della tua rete aziendale, per una serie di motivi per cui non entrerò qui.

Una scansione delle porte dovrebbe rivelare al malintenzionato niente che non potevano ragionevolmente indovinare. E se questo non è il caso, allora il tuo problema non è la scansione delle porte, sono i segreti pubblici che stai cercando di nascondere bloccando le scansioni delle porte.

Non credo nell'enumerazione della cattiveria. Se si dispone di un'infrastruttura che si trova su Internet, verrà sottoposta a scansione per tutto il tempo da numerosi IP.

Ad esempio, ho creato un'app AWS che attiva le istanze spot, analizza i blocchi di IP da un elenco e li disattiva non appena i risultati vengono inviati al server master. Se eseguissi la scansione del tuo intervallo quotidianamente, bloccherai diversi IP AWS ogni giorno poiché li assegno casualmente. Ciò significa che puoi bloccare qualcosa di legittimo lungo la linea quando viene assegnato un IP che ho usato.

Uso Snort o Suricata su pfSense per bloccare automaticamente gli IP per un periodo di tempo.

Sophos UTM sembra avere funzionalità simili.

Dopo aver visto qualcuno che esegue la scansione, di solito faccio un po 'di ricognizione su chi sono, se sono su blocklist conosciute, di solito ignoro e lascia che il firewall lo faccia cadere (ASA). Se sono un'entità sconosciuta, aggiungo una regola per eliminare le connessioni con il nostro IPS da quell'IP. Ho usato suricata in passato e darò un +1 come potrebbe aiutare in una situazione come questa come il commento sopra indicato.

Scrivi un programma che è in ascolto su una porta comune come la porta 21 o 25. Se qualcuno si connette al programma, il programma si disconnette da loro, quindi aggiunge quell'indirizzo IP al firewall per bloccarli su tutte le porte.

Ho anche un sito web che dice solo Coming Soon. Viene visualizzato solo se si accede al mio server Web direttamente con l'indirizzo IP, invece di utilizzare un nome dot com. In quella pagina, aggiungo il loro indirizzo IP alla lista dei ban del firewall. Aggiungo anche il loro indirizzo IP a una tabella in un database. Altri server controllano la tabella per le nuove voci e vietano il loro indirizzo IP anche da lì.

Inoltre, non mostro pietà. Gli indirizzi IP sono vietati per sempre. Di questi tempi, probabilmente è un indirizzo IP statico appartenente a un governo straniero. Ho finora 260 indirizzi IP.

Le persone / i governi dispongono di strumenti automatizzati per provare automaticamente ogni buco di sicurezza che conoscono. Hai bisogno di strumenti automatici per bandire il loro indirizzo IP quando vengono scoperti, invece di sperare che tutte le tue difese siano al 100%. Se aspetti il giorno successivo a guardare i tuoi registri, guarderai un giorno e troverai tutti i log che sono stati cancellati e c'è questa nuova cartella con un programma al suo interno che nemmeno l'amministratore può cancellare.

Se speri che sia sufficiente che il tuo router li fermi, dovresti leggere su come la CIA può hackerare il tuo router.