Чаще всего атаки начинаются со сканирования портов на IP-адресе потенциальной жертвы взлома. Рассмотрим вариант защиты от сканера портов на нашем RouterOS.
Данная настройка потенциально опасна. Будьте внимательны и осторожны.
Что такое PSD?
PSD это аббревиатура от Port Scan Detection на русский это можно перевести, как «Обнаружение сканирования порта».
В RouterOS это штатная функция FireWall. Никаких дополнительных пакетов ставить не надо.
Настройка PSD на RouterOS
Общий план настройки выглядит следующим образом:
- Подготавливаем список IP адресов, которые нельзя блокировать, впоследствии мы его назовем WhiteList. Это могу быть адреса откуда мы удаленно подключаемся, разных филиалов сети и даже какие-то доменные имена;
- Настройка PSD-правила на RouterOS и ожидаем накопление информации;
- Проверяем, какие IP-адреса попали в список заблокированных. Если в списке есть ошибочные адреса, которые не надо блокировать, то добавляем их WhiteList;
- Включаем блокировку пойманных адресов в BlackList_PSD;
Создание WhiteList
WhiteList (Белый список) — это список доверенных адресов, которые не должны попасть в блокировку. Какие адреса включать в этот список каждый администратор решает для себя сам, но общие рекомендации такие: адреса технической поддержки, сам адрес RouterOS (опционально), шлюз провайдера.
От теории к практике. Мы рассмотрим вариант настройки в Winbox.
Для создания Addreses List переходим в раздел IP -> FireWall -> Addreses List, нажимаем на плюсик.
Задаем название WhiteList и указываем первый адрес.
Совет: Adresses List в RouterOS поддерживает DNS-имена. Вы можете создать домен вида office.site.com с А-записью на Ваш IP адрес и RouterOS автоматически его конвертирует в IP-адрес.
Заполняем поля:
- Название нашего списка адресов;
- IP адрес или DNS-имя;
- Подписываем, чтобы не забыть чей это адрес;
Создаем правило PSD
Для создания правила PSD выполняем следующие действия.
Переходим в IP -> FireWall и создаем правило.
Выбираем цепочку направление input, т.к. мы работаем с входящим трафиком и укажем интерфейс провайдера. В данному примере это ethernet1.
На вкладке Extra активируем Port Scaner Detector. Тут есть небольшой ряд настроек.
Рассмотрим какой пункт за что отмечает:
- Weight Threshold — пороговое значение накопленных «баллов», при превышении которого срабатывает обнаружение подозрительной активности. Баллы присваиваются событиям сканирования портов: высокие (системные или общеизвестные порты от 1 до 1023. С полным списком можно ознакомиться на Википедии) порты оцениваются как 1 единица, низкие порты — как 3 единицы. Если злоумышленник за заданный интервал (например, 3 секунды) набирает значение, равное или выше порога, генерируется срабатывание нашего правила;
- Delay Threshold — максимально допустимый интервал между пакетами, отправленными с одного IP-адреса на различные порты назначения;
- Low Port Weight — количество балов за сканирование низких портов;
- Hight Port Weight — количество балов за сканирование высоких портов;
В принципе, стоковые параметры не требуют дополнительной корректировки. Можно оставить так, как придумали инженеры RouterOS.
Далее на вкладке Action указываем действие. Добавляем пойманные ip адреса в список, который мы назовем BlackList_PSD. Тут есть вариативность действий. Мы можем сделать записи в список либо с таймаутом, например, блок на сутки. Или постоянную запись, которую может разблокировать лишь администратор. В данном примере сделаем перманентную блокировку.
После того как активирован PSD нам потребуется время на сбор IP-адресов сетевых сканеров. По опыту можно сказать, что 1-2 суток достаточно, чтобы боты попались.
Но мы можем проверить, что правило работает. Например, с помощью сервиса сканирования портов онлайн.
Вставляем наш ip адрес RouteOS и запускаем сканер. После этого проверяем.
Вот наш первый «бот» и попался.
Активация блокировки BlackList_PSD
Теперь активируем блокировку такого трафика. В данном примере мы будем блокировать не через вкладку NAT, а через вкладку RAW. Цепочка RAW обрабатывается раньше, чем INPUT и экономит нам ресурсы оборудования на дальнейшую обработку.
Сначала сделаем правило, которое разрешает проводить сканирование для разрешенных IP адресов.
Переходим IP -> FireWall -> RAW и создаем правило.
Выбираем цепочку prerouting.
Выбираем наш белый список.
И пропускаем трафик с этого списка.
Теперь создаем правило, которые блокирует адреса скан ботов.
Все в той же цепочки prerouting.
Выбираем источник адресов список, который формируется из FireWall.
И запрещаем трафик от этих адресов.
Все, сканер боты будут терять с нами связь. Нам остается только наблюдать какое количество мы сможем поймать.
Правила размещаем так: сначала разрешающий, потом запрещающий.
Для проверки можно запустить еще раз сервис сканирования портов онлайн и если все настроено правильно, то сервис не найдет ни одного порта.
Пример из практики
Данный метод защиты неплохо работает. За год работы мы поймали свыше 1800 адресов. И ни одного тикета от клиентов, что что-то не работает.
Есть боты, которые сканируют целыми подсетями.
