Protegendo sua RB dos PORTs SCANNERS!

[guilhermeramires]

Resolvi postar essa receitinha porque ela além de leve é bem eficiente pra proteger sua RB dos famosos SCANNERS que varrem a internet diariamente.
Deixo o lembrete que esse post não é formula mágica e que existem outras regras que podem ser implementadas pra evitar outros tipos de problema.
As regras abaixo são especificas pra proteção contra SCANNERS!!

Aproveito também pra apresentar o famoso "knock knock" que permite a você liberar acesso a algum serviço desejado pelo tempo desejado somente para as pessoas que souberem a combinação correta de portas a serem "batidas".

## Primeiramente vamos detectar quem está tentando scannear seu router ##
/ip firewall filter

add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Port Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp psd=20,3s,3,1

add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Mass Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack

add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Null Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg

## Agora vamos dropar as tentativas de conexão com o router dos ips detectados. ##
add action=drop chain=input comment="Dropa conexoes de scanners" disabled=no protocol=tcp src-address-list=bloqueados


Agora vamos ao knock knock. Vou utilizar, neste exemplo, o serviço da porta 8291 que é o acesso ao winbox. Caso você queira outros serviços basta mudar a porta e/ou protocolo. Vou usar a seguinte sequência de portas: 3002, 2003 e 3200. Utilize portas distantes umas das outras.

## Vamos adicionar a lista o ip do primeiro digito correto por 5 segundos ##
add action=add-src-to-address-list address-list=digito1 address-list-timeout=5s chain=input comment="Digito 1" disabled=no dst-port=3002 protocol=tcp

## Caso o primeiro digito esteja na lista, vamos manter ip do primeiro digito correto, na segunda lista de digito correto por 5 segundos também. ##
add action=add-src-to-address-list address-list=digito2 address-list-timeout=5s chain=input comment="Digito 2" disabled=no dst-port=2003 protocol=tcp src-address-list=digito1

## Por fim, vamos adicionar o ip do terceiro digito correto a lista por 5 segundos também. ##
add action=add-src-to-address-list address-list=digito3 address-list-timeout=5s chain=input comment="Digito 3" disabled=no dst-port=3200 protocol=tcp src-address-list=digito2

## Após confirmar a combinação correta de portas, vamos adicionar o ip a lista de liberados por 1 hora para acesso a porta 8291. ##
add action=add-src-to-address-list address-list=liberados address-list-timeout=1h chain=input comment="Adiciona src ip a lista de liberados por 1h" disabled=no dst-port=8291 protocol=tcp src-address-list=digito3

## Agora precisamos aceitar SOMENTE as conexões dessa lista de ips liberados. ##
add action=accept chain=input comment="Aceita conexoes liberadas p/ Winbox" disabled=no dst-port=8291 protocol=tcp src-address-list=liberados

## Por fim, dropamos o restante. ##
add action=drop chain=input comment="Dropa conexoes nao autorizadas ao Winbox" disabled=no dst-port=8291 protocol=tcp

Alguém pode pensar que o tempo de 5 segundos é pouco, mas pode ter certeza que é suficiente. Você pode gravar no seu winbox a sequência de portas a serem "batidas" pra facilitar. Caso deseje você pode aumentar o tempo também. O mais importante é lembrar que essa regra de "knock knock" só terá eficiência se você implementar antes o filtro contra SCANNERS. Caso contrário, qualquer port scanner entra na lista de liberados com facilidade, ok?

Espero ter ajudado. Qualquer dúvida posta ai.

Abraços a todos.

[mktguaruja]

Muito bom Guilherme parabens otimas regras, quando eu tava migrando de servidor para RB, eu configurei desse jeito, fora outra regras de drop e priorização de pacotes deu uma boa diferença. t+

[guilhermeramires]

Uma prática simples, mas que poucos adotam. Principalmente porque estamos falando de routers de borda. Existem ataques do tipo que chegam a consumir 100% de CPU.

[mktguaruja]

Eu ajudo bastante o pessoal aqui no under por acesso remoto teve um amigo que falou que tava sofrendo ataques e tudo mais, fiquei curioso para saber ele liberou o acesso remoto, e vi os log verifiquei que os caras tava usando bruteforce por ssh, e o nivel de processamento tava alto, simplismente desativei a porta e pronto volto tudo ao normal, são simples coisa como essa porta ssh que sempre é bom desabilitar ou se você ela trocar o número da porta.

[Nando]

só para rbs?

[guilhermeramires]

Pode ser PC também. Porém as regras estão no padrão do Router OS.

[Nando]

ta ok

[wesleydialmeida]

un dia desses minha rb 450 parou, fui verificar e e vi que os nomes das interfaces estavam mudados, das cinco interfaces tinhas duas com o mesmo nome: ether1, e todas foras de suas posiçoes, nao sei se foi alguma pani na rb, ou se alguem fez de proposito, mas com essas regras acredito que va melhorar muito.

Obrigado.

[AndrioPJ]

nao seria mais interessante dropar os enderecos somente qdo tentarem algo desse tipo?
no restante, deixar livre?

vamos supor... vc tem um cliente que esteja com virus ou por acaso foi testar determinada ferramenta
isso faria com que ele fosse adicionado na lista "bloqueados", na qual, existe uma regra no final que bloqueia todo o endereco que estiver nessa lista...
isso vai acabar acarretando um monte de chamado.... cliente que nao esta conseguindo navegar, etc...

uma saida seria... enviar o endereco para uma lista: bloqueados
bloquear apenas o determinado trafego (trafego gerado por virus ou ferramentas ao fazer scann) desses enderecos
exemplo:

add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment=\
"Adiciona Port Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp psd=20,3s,3,1
add action=drop chain=input comment="Dropa Port Scanners" disabled=no protocol=tcp psd=20,3s,3,1 src-address-list=bloqueados

add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment=\
"Adiciona Mass Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=drop chain=input comment="Dropa Mass Scanners" disabled=no protocol=tcp src-address-list=bloqueados tcp-flags=fin,psh,urg,!syn,!rst,!ack

add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment=\
"Adiciona Null Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Dropa Null Scanners" disabled=no protocol=tcp src-address-list=bloqueados tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg


o que vcs acham?

[mktguaruja]

Amigo parece interessante, eu uso algo semelhante ao do Guilherme vou tenta adaptar o que você postou para testar aqui no mk. obrigado pelas dicas

[JuniorLinux]

Legal! Não sei se foi mensionado no tópico, mas existe uma solução bem interessante também, que é o PSAD (Port Scan Attack Detector) que detecta e bloqueia ataques port-scan em tempo real.

[mktguaruja]

Como funciona isso junior, posta aqui para gente o funcionamento ?

Legal! Não sei se foi mensionado no tópico, mas existe uma solução bem interessante também, que é o PSAD (Port Scan Attack Detector) que detecta e bloqueia ataques port-scan em tempo real.

[AndrioPJ]

Legal! Não sei se foi mensionado no tópico, mas existe uma solução bem interessante também, que é o PSAD (Port Scan Attack Detector) que detecta e bloqueia ataques port-scan em tempo real.

como é isso?

[Nando]

no mk?

[JuniorLinux]

Tem um artigo no Viva o Linux escrito pelo Anderson L. Tamborim, bem completo mesmo.

Segue o link do artigo explicativo:

Linux: PSAD: Port Scan Attack Detector [Artigo]

[mktguaruja]

interessante o artigo ele usa o suse para instalar esse pacote, vo tentar rodar em VM para ver se da tudo certo, esse tutorial.

Tem um artigo no Viva o Linux escrito pelo Anderson L. Tamborim, bem completo mesmo.

Segue o link do artigo explicativo:

Linux: PSAD: Port Scan Attack Detector [Artigo]

[guilhermeramires]

Mas esse filtro do Mikrotik também é em tempo real. Quem quiser pode testar. Abre um terminal e fica pingando a RB. Depois dispara o port scan e verifica em quantos segundos seu ping vai parar. Não demora 5 segundos.

Abs.

[limacbl]

Guilherme como faço pra acessar minha rede com essas regras pelo winbox, aqui é adsl, uso ddns pra acessar minha rede, como vou usar essa sequência de portas pelo winbox.

[newcore]

desculpe, sou leigo to com uma rb aki, funcionando ok, mas de curiosidade implementei a regra de " guilhermeramires" e agora n consigo acessar mais a minha rb!!! era para eu ter colocados na lista de ips permitidos a minha range dos permitidos??..sera q alguem pode me ajudar. desde já agradeço a atenção e desculpem-me pela ignorância.

aguardo

[BThiagoR]

Tentei aplicar as regras e deu erro, apenas uma regra foi adicionada...

/ip firewall filter
add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Port Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp psd=20,3s,3,1
add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Mass Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!a ck
add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Null Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack ,!urg

minha rb é a 750 versão 5.9, acredito que tem que adaptar os códigos... alguém pode ajudar?