Come gestisci enormi scansioni di porte?

29

Questa mattina stavo controllando i log del firewall e ho visto che c'erano circa 500 pacchetti contrassegnati come port scan. L'intervallo di scansione era compreso tra 1000-1200 5000-5200. L'indirizzo IP è 85.25.217.47, che sembra essere da qualche parte in Germania. E questi ragazzi scansionano continuamente i nostri porti su base regolare.

I pacchetti sono stati tutti abbandonati dal firewall (un Sophos SG125). Quello che faccio normalmente è semplicemente aggiungere l'intervallo IP alla nostra lista di blocco in modo che la prossima volta li cada con una regola specifica.

Come gestite gli attacchi di port scan?

    
posta PaddyKim 09.02.2016 - 05:23
fonte

5 risposte

53

Li ignoro. E se hai un atteggiamento di sicurezza ragionevole, dovresti farlo anche tu.

I tuoi server non dovrebbero avere porte aperte al pubblico diverse da quelle che utilizzi per servire il pubblico in generale.

Ad esempio, il tuo server web dovrebbe avere porte aperte 80, 443 e forse 22; tutto il resto dovrebbe essere SSH-tunnelling o altrimenti VPN se è necessario connettersi ad esso, a meno che non si aspettino che su Internet si utilizzino in modo casuale il servizio di ascolto. Forse potresti voler rimappare SSH sulla porta 222 oo qualcosa nella parte superiore del campo per evitare di riempire i tuoi registri di autenticazione con accessi non riusciti, e questo dovrebbe essere eccitante come i tuoi server.

Se invece il port scan sta colpendo il tuo gateway corp in uscita, allora la scansione dovrebbe mostrare le porte zero aperte, perché il tuo gateway corp non è un server. E tu, come un saggio amministratore IT, esegui tutti i tuoi server altrove su Internet, non all'interno della tua rete aziendale, per una serie di motivi per cui non entrerò qui.

Una scansione delle porte dovrebbe rivelare al malintenzionato niente che non potevano ragionevolmente indovinare. E se questo non è il caso, allora il tuo problema non è la scansione delle porte, sono i segreti pubblici che stai cercando di nascondere bloccando le scansioni delle porte.

    
risposta data 09.02.2016 - 09:13
fonte
18

Non credo nell'enumerazione della cattiveria. Se si dispone di un'infrastruttura che si trova su Internet, verrà sottoposta a scansione per tutto il tempo da numerosi IP.

Ad esempio, ho creato un'app AWS che attiva le istanze spot, analizza i blocchi di IP da un elenco e li disattiva non appena i risultati vengono inviati al server master. Se eseguissi la scansione del tuo intervallo quotidianamente, bloccherai diversi IP AWS ogni giorno poiché li assegno casualmente. Ciò significa che puoi bloccare qualcosa di legittimo lungo la linea quando viene assegnato un IP che ho usato.

    
risposta data 09.02.2016 - 07:28
fonte
4

Uso Snort o Suricata su pfSense per bloccare automaticamente gli IP per un periodo di tempo.

Sophos UTM sembra avere funzionalità simili.

    
risposta data 09.02.2016 - 06:27
fonte
0

Dopo aver visto qualcuno che esegue la scansione, di solito faccio un po 'di ricognizione su chi sono, se sono su blocklist conosciute, di solito ignoro e lascia che il firewall lo faccia cadere (ASA). Se sono un'entità sconosciuta, aggiungo una regola per eliminare le connessioni con il nostro IPS da quell'IP. Ho usato suricata in passato e darò un +1 come potrebbe aiutare in una situazione come questa come il commento sopra indicato.

    
risposta data 09.02.2016 - 07:29
fonte
-3

Scrivi un programma che è in ascolto su una porta comune come la porta 21 o 25. Se qualcuno si connette al programma, il programma si disconnette da loro, quindi aggiunge quell'indirizzo IP al firewall per bloccarli su tutte le porte.

Ho anche un sito web che dice solo Coming Soon. Viene visualizzato solo se si accede al mio server Web direttamente con l'indirizzo IP, invece di utilizzare un nome dot com. In quella pagina, aggiungo il loro indirizzo IP alla lista dei ban del firewall. Aggiungo anche il loro indirizzo IP a una tabella in un database. Altri server controllano la tabella per le nuove voci e vietano il loro indirizzo IP anche da lì.

Inoltre, non mostro pietà. Gli indirizzi IP sono vietati per sempre. Di questi tempi, probabilmente è un indirizzo IP statico appartenente a un governo straniero. Ho finora 260 indirizzi IP.

Le persone / i governi dispongono di strumenti automatizzati per provare automaticamente ogni buco di sicurezza che conoscono. Hai bisogno di strumenti automatici per bandire il loro indirizzo IP quando vengono scoperti, invece di sperare che tutte le tue difese siano al 100%. Se aspetti il giorno successivo a guardare i tuoi registri, guarderai un giorno e troverai tutti i log che sono stati cancellati e c'è questa nuova cartella con un programma al suo interno che nemmeno l'amministratore può cancellare.

Se speri che sia sufficiente che il tuo router li fermi, dovresti leggere su come la CIA può hackerare il tuo router.

    
risposta data 17.01.2018 - 17:22
fonte

Leggi altre domande sui tag