Sto usando pfsense come firewall e vorrei sapere come posso impedire alle scansioni di rete di enumerare servizi e porte aperte.
Due risposte a questa domanda:
I servizi esistono per essere connessi a. Se si dispone di un servizio, è necessario consentire ai client di connettersi ad esso e, una volta fatto, è possibile "enumerarlo". Non è possibile impedire a qualcuno di provare un servizio per vedere se risponde perché è necessario che i client si connettano con te.
... A meno che non si offuschi la porta del servizio. Port Knocking consente di aprire una porta di servizio su un IP client solo se l'IP client esegue determinate azioni (in genere il ping su determinati numeri di porta in una particolare sequenza). Questo non è un metodo "sicuro", ma nasconde effettivamente una porta da "enumerazione" non autorizzata. Il problema con questo schema è che tutti i client devono conoscere il knock secret prima che gli venga consentito l'accesso, il che non va bene per i servizi pubblici.
Ma anche con Port Knocking, le persone possono ancora provare ad enumerare le tue porte, semplicemente non potrebbero ottenere le vere porte dei servizi.
Non sono sicuro con pfsense, ma questo è possibile con psad :
psad makes use of Netfilter log messages to detect, alert, and (optionally) block port scans and other suspect traffic. For tcp scans psad analyzes tcp flags to determine the scan type (syn, fin, xmas, etc.) and corresponding command line options that could be supplied to nmap to generate such a scan. In addition, psad makes use of many tcp, udp, and icmp signatures contained within the Snort intrusion detection system.
Leggi altre domande sui tag firewalls nmap ids network-scanners