Wpis z mikrobloga

Skopiuj link

03.02.2021, 07:48:59

#siecikomputerowe #mikrotik

elo poratuje ktoś dobrymi regułami firewalla przeciw skanerom portów? cały czas ktoś mi się dobija.

teraz mam standardową regułę:

add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=4w2d chain=input comment="Port Scanner Detect" log=yes log-prefix=Port_Scanner protocol=tcp psd=21,3s,3,1

spevil

03.02.2021, 08:29:22

@fabek:
/ip firewall filter
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=none-dynamic chain=input comment="Port scanners to list " in-interface=ether1-WAN protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" in-interface=ether1-WAN protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" in-interface=ether1-WAN protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" in-interface=ether1-WAN

Mecenaso

03.02.2021, 08:36:29

@fabek: zerknij sobie na skrypty: https://rickfreyconsulting.com/downloads/

houk

03.02.2021, 19:56:40

@fabek: Przestaw na poczatek czasy w tej regule bo dzisiaj mało kto robi portscana na wiele portów w krótkim czasie.
Ja zrobiłem tak i coś się zaczeło łapać :D

fabek

03.02.2021, 22:43:08

@houk: dzięki spróbuje. A co z tym low port i high port weight?

houk

03.02.2021, 22:50:22

@fabek: Te dwa parametry to waga dla portów niskich do 1000 i wysokich powyżej 1000
Jak nie masz nic wystawione na świat ponad 1000 to możesz podnieść weight high na 3.
Wtedy jako portscan będzie traktowane 19/3 czyli 7 prób uderzeń na porty wysokie w czasie 5 minut
Jak dasz 4 to 19/4 to 5 prób i tak dalej...
Tu jest to dobrze opisane
https://forum.mikrotik.com/viewtopic.php?t=108749

fabek

04.02.2021, 10:24:40

@houk: ok testuje 19/2/2 na 5 min, zobaczymy ile zlapie.

fabek

05.02.2021, 07:34:21

@houk: złapało tyle 2 w dni co przez całe zeszłe 2 miesiace. dziekuje serdecznie za pmoc.

houk

05.02.2021, 08:06:54

@fabek: Jak chcesz by było jeszcze skuteczniej to na firewallu dopisuj do listy portscan ludzi co pukają w typowe porty a których nie używasz. np
Nie wystawiasz na świat 445 czy 22 to dopisz je przed regułą drop na input w regule add to list portscan i ich blokuj całkiem przed innymi usługami też np na tydzień
Bardzo dobrze to się spisuje w wyłapywaniu tych co pukają np jeden port

fabek

05.02.2021, 08:10:58

@houk: z fail2ban ciekawy pomysł, zawsze ogarniczałem go do pracy na serwerze. w tym momencie skanery blokuje na 4 tyg. szukam jeszcze fajnego rozwiazania ograniczenia atakow na vpn cos jak tu -> https://forum.mikrotik.com/viewtopic.php?t=149234

houk

05.02.2021, 08:17:28

@fabek: Postaw sobie ELK stack na dockerze, ja sobie napisałem regułe do logstash rozszywajacą logi z mikrotika syslogowe i mam piękny dashboard do podglądu co się dzieje na firewallu z przypisywaniem lokalizacji do państwa i miasta po podsieciach z geoip oraz nazwy dostawcy skad idzie ruch. Troche pracy mnei to kosztowało ale działa wspaniale.

fabek

05.02.2021, 08:21:14

@houk: robi wrażenie, pieknie sobie zautomatyzowałes prace.

L3stko

07.02.2021, 12:48:21

@houk: złapało tyle 2 w dni co przez całe zeszłe 2 miesiace. dziekuje serdecznie za pmoc.

@fabek: u mnie 3 skany. Serio aż tak dużo u Ciebie łapie?

houk

07.02.2021, 13:20:50 via Wykop Mobilny (Android)

@L3stko: u mnie łapie się ok 10 skanujących tygodniowo na tą regułe i ok 40-50 na regułe po konkretnych portach np 22 23 389 3389 itd.

L3stko

07.02.2021, 14:24:26

@houk: ooo poka tą drugą regułę. ( ͡º ͜ʖ͡º)

houk

07.02.2021, 14:37:22 via Wykop Mobilny (Android)

@L3stko: wszystko co popularne a ja tego nie używam np jeszcze 445, 8080, 2323, 3128, 5000 i jeszcze jakiś parę się znajdzie np na udp 1434, 5061 :)

fabek

07.02.2021, 18:50:29

@L3stko: sam byłem w szoku, po wygooglowaniu tych ipkow ludzie tez się skarżą ze im porty skanuje. mam dosyć często (raz dziennie) atak typu bogons i od razu wrzucam na ban listę takiego pacjenta.

fabek

10.02.2021, 08:23:00

@houk : przez te kilka dni złapało mi na listę koło 70 skanerów, dzienna ilość zbanowań nie zmniejsza się. także robi robotę to ustawienie filtra.

Aktywne Wpisy

blackghost

blackghost +9

6 godz. i 13 min temu

Cześć, mam taki dylemat i trochę zagwostkę..jako prosty chłopak ze wsi wyjechałem do miasta..za bardzo nie znam się na motoryzacji a szukam pierwszego samochodu.

Mam odłóżone 25/30 tys. Upatrzyłem sobie Porshe Cayen I gen. napęd 4x4 silnik 3.5 ponad 300km z 2003 roku. Nawet nie wyobrażam sobie jaka to koc i jak to może targać. Do tego napęd na cztery buty. Dobrze wiem że Porshe to synonim luksusu i prestiżu i jak

blackghost - Cześć, mam taki dylemat i trochę zagwostkę..jako prosty chłopak ze wsi w... — **źródło:** temp_file2878000313148168703
Pobierz

Werchm96new

Werchm96new +4

4 godz. i 35 min temu

#hotelparadise otwieram nitkę na taką zabawę. (Sami sobie musicie to szybko zrobić). Wypisujemy od 1 do 9 (allstars też) edycji po kolei, pierwsze osoby z danej edycji, które przychodzą Wam na myśl. Ja zacznę:

1. Remiziak
2. Ata
3. Ola
4. Klapessa

Aktywne Wpisy

Aktywne Znaleziska

Piękna śmierć Władysława Jagiełły. "Umarł w sposób godny swojego życia"

Innowacyjny pomysł na stolik do salonu

Relacja paralotniarza porwanego przez burzę na 7374 m n.p.m.

SA: Ksiądz Salcesoniarz wyjdzie na wolność po wpłaceniu 350 tys. zł kaucji

86 tys. ludzi już bez pracy. Tak umiera europejska motoryzacja

Popularne tagi