+ Responder ao Tópico



  1. #1

    Padrão Protegendo sua RB dos PORTs SCANNERS!

    Resolvi postar essa receitinha porque ela além de leve é bem eficiente pra proteger sua RB dos famosos SCANNERS que varrem a internet diariamente.
    Deixo o lembrete que esse post não é formula mágica e que existem outras regras que podem ser implementadas pra evitar outros tipos de problema.
    As regras abaixo são especificas pra proteção contra SCANNERS!!

    Aproveito também pra apresentar o famoso "knock knock" que permite a você liberar acesso a algum serviço desejado pelo tempo desejado somente para as pessoas que souberem a combinação correta de portas a serem "batidas".

    ## Primeiramente vamos detectar quem está tentando scannear seu router ##
    /ip firewall filter

    add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Port Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp psd=20,3s,3,1

    add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Mass Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack

    add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Null Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg

    ## Agora vamos dropar as tentativas de conexão com o router dos ips detectados. ##
    add action=drop chain=input comment="Dropa conexoes de scanners" disabled=no protocol=tcp src-address-list=bloqueados


    Agora vamos ao knock knock. Vou utilizar, neste exemplo, o serviço da porta 8291 que é o acesso ao winbox. Caso você queira outros serviços basta mudar a porta e/ou protocolo. Vou usar a seguinte sequência de portas: 3002, 2003 e 3200. Utilize portas distantes umas das outras.

    ## Vamos adicionar a lista o ip do primeiro digito correto por 5 segundos ##
    add action=add-src-to-address-list address-list=digito1 address-list-timeout=5s chain=input comment="Digito 1" disabled=no dst-port=3002 protocol=tcp

    ## Caso o primeiro digito esteja na lista, vamos manter ip do primeiro digito correto, na segunda lista de digito correto por 5 segundos também. ##
    add action=add-src-to-address-list address-list=digito2 address-list-timeout=5s chain=input comment="Digito 2" disabled=no dst-port=2003 protocol=tcp src-address-list=digito1

    ## Por fim, vamos adicionar o ip do terceiro digito correto a lista por 5 segundos também. ##
    add action=add-src-to-address-list address-list=digito3 address-list-timeout=5s chain=input comment="Digito 3" disabled=no dst-port=3200 protocol=tcp src-address-list=digito2

    ## Após confirmar a combinação correta de portas, vamos adicionar o ip a lista de liberados por 1 hora para acesso a porta 8291. ##
    add action=add-src-to-address-list address-list=liberados address-list-timeout=1h chain=input comment="Adiciona src ip a lista de liberados por 1h" disabled=no dst-port=8291 protocol=tcp src-address-list=digito3

    ## Agora precisamos aceitar SOMENTE as conexões dessa lista de ips liberados. ##
    add action=accept chain=input comment="Aceita conexoes liberadas p/ Winbox" disabled=no dst-port=8291 protocol=tcp src-address-list=liberados

    ## Por fim, dropamos o restante. ##
    add action=drop chain=input comment="Dropa conexoes nao autorizadas ao Winbox" disabled=no dst-port=8291 protocol=tcp

    Alguém pode pensar que o tempo de 5 segundos é pouco, mas pode ter certeza que é suficiente. Você pode gravar no seu winbox a sequência de portas a serem "batidas" pra facilitar. Caso deseje você pode aumentar o tempo também. O mais importante é lembrar que essa regra de "knock knock" só terá eficiência se você implementar antes o filtro contra SCANNERS. Caso contrário, qualquer port scanner entra na lista de liberados com facilidade, ok?

    Espero ter ajudado. Qualquer dúvida posta ai.

    Abraços a todos.

  2. #2

    Padrão Re: Protegendo sua RB dos PORTs SCANNERS!

    Muito bom Guilherme parabens otimas regras, quando eu tava migrando de servidor para RB, eu configurei desse jeito, fora outra regras de drop e priorização de pacotes deu uma boa diferença. t+

  3. #3

    Padrão Re: Protegendo sua RB dos PORTs SCANNERS!

    Uma prática simples, mas que poucos adotam. Principalmente porque estamos falando de routers de borda. Existem ataques do tipo que chegam a consumir 100% de CPU.

  4. #4

    Padrão Re: Protegendo sua RB dos PORTs SCANNERS!

    Eu ajudo bastante o pessoal aqui no under por acesso remoto teve um amigo que falou que tava sofrendo ataques e tudo mais, fiquei curioso para saber ele liberou o acesso remoto, e vi os log verifiquei que os caras tava usando bruteforce por ssh, e o nivel de processamento tava alto, simplismente desativei a porta e pronto volto tudo ao normal, são simples coisa como essa porta ssh que sempre é bom desabilitar ou se você ela trocar o número da porta.

  5. #5

    Padrão Re: Protegendo sua RB dos PORTs SCANNERS!

    só para rbs?

  6. #6

    Padrão Re: Protegendo sua RB dos PORTs SCANNERS!

    Pode ser PC também. Porém as regras estão no padrão do Router OS.

  7. #7

    Padrão Re: Protegendo sua RB dos PORTs SCANNERS!

    ta ok

  8. #8

    Padrão Re: Protegendo sua RB dos PORTs SCANNERS!

    un dia desses minha rb 450 parou, fui verificar e e vi que os nomes das interfaces estavam mudados, das cinco interfaces tinhas duas com o mesmo nome: ether1, e todas foras de suas posiçoes, nao sei se foi alguma pani na rb, ou se alguem fez de proposito, mas com essas regras acredito que va melhorar muito.

    Obrigado.

  9. #9

    Padrão Re: Protegendo sua RB dos PORTs SCANNERS!

    nao seria mais interessante dropar os enderecos somente qdo tentarem algo desse tipo?
    no restante, deixar livre?

    vamos supor... vc tem um cliente que esteja com virus ou por acaso foi testar determinada ferramenta
    isso faria com que ele fosse adicionado na lista "bloqueados", na qual, existe uma regra no final que bloqueia todo o endereco que estiver nessa lista...
    isso vai acabar acarretando um monte de chamado.... cliente que nao esta conseguindo navegar, etc...

    uma saida seria... enviar o endereco para uma lista: bloqueados
    bloquear apenas o determinado trafego (trafego gerado por virus ou ferramentas ao fazer scann) desses enderecos
    exemplo:

    add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment=\
    "Adiciona Port Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp psd=20,3s,3,1
    add action=drop chain=input comment="Dropa Port Scanners" disabled=no protocol=tcp psd=20,3s,3,1 src-address-list=bloqueados

    add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment=\
    "Adiciona Mass Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
    add action=drop chain=input comment="Dropa Mass Scanners" disabled=no protocol=tcp src-address-list=bloqueados tcp-flags=fin,psh,urg,!syn,!rst,!ack

    add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment=\
    "Adiciona Null Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
    add action=drop chain=input comment="Dropa Null Scanners" disabled=no protocol=tcp src-address-list=bloqueados tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg


    o que vcs acham?
    Última edição por AndrioPJ; 30-05-2010 às 12:28.

  10. #10

    Padrão Re: Protegendo sua RB dos PORTs SCANNERS!

    Amigo parece interessante, eu uso algo semelhante ao do Guilherme vou tenta adaptar o que você postou para testar aqui no mk. obrigado pelas dicas

  11. #11
    Avatar de JuniorLinux
    Ingresso
    Mar 2010
    Localização
    São José do Vale do Rio Preto
    Posts
    26

    Padrão Re: Protegendo sua RB dos PORTs SCANNERS!

    Legal! Não sei se foi mensionado no tópico, mas existe uma solução bem interessante também, que é o PSAD (Port Scan Attack Detector) que detecta e bloqueia ataques port-scan em tempo real.

  12. #12

    Padrão Re: Protegendo sua RB dos PORTs SCANNERS!

    Como funciona isso junior, posta aqui para gente o funcionamento ?

    Citação Postado originalmente por JuniorLinux Ver Post
    Legal! Não sei se foi mensionado no tópico, mas existe uma solução bem interessante também, que é o PSAD (Port Scan Attack Detector) que detecta e bloqueia ataques port-scan em tempo real.

  13. #13

    Padrão Re: Protegendo sua RB dos PORTs SCANNERS!

    Citação Postado originalmente por JuniorLinux Ver Post
    Legal! Não sei se foi mensionado no tópico, mas existe uma solução bem interessante também, que é o PSAD (Port Scan Attack Detector) que detecta e bloqueia ataques port-scan em tempo real.
    como é isso?

  14. #14

    Padrão Re: Protegendo sua RB dos PORTs SCANNERS!

    no mk?

  15. #15
    Avatar de JuniorLinux
    Ingresso
    Mar 2010
    Localização
    São José do Vale do Rio Preto
    Posts
    26

    Padrão Re: Protegendo sua RB dos PORTs SCANNERS!

    Tem um artigo no Viva o Linux escrito pelo Anderson L. Tamborim, bem completo mesmo.

    Segue o link do artigo explicativo:

    Linux: PSAD: Port Scan Attack Detector [Artigo]

  16. #16

    Padrão Re: Protegendo sua RB dos PORTs SCANNERS!

    interessante o artigo ele usa o suse para instalar esse pacote, vo tentar rodar em VM para ver se da tudo certo, esse tutorial.

    Citação Postado originalmente por JuniorLinux Ver Post
    Tem um artigo no Viva o Linux escrito pelo Anderson L. Tamborim, bem completo mesmo.

    Segue o link do artigo explicativo:

    Linux: PSAD: Port Scan Attack Detector [Artigo]

  17. #17

    Padrão Re: Protegendo sua RB dos PORTs SCANNERS!

    Mas esse filtro do Mikrotik também é em tempo real. Quem quiser pode testar. Abre um terminal e fica pingando a RB. Depois dispara o port scan e verifica em quantos segundos seu ping vai parar. Não demora 5 segundos.

    Abs.

  18. #18

    Padrão Re: Protegendo sua RB dos PORTs SCANNERS!

    Guilherme como faço pra acessar minha rede com essas regras pelo winbox, aqui é adsl, uso ddns pra acessar minha rede, como vou usar essa sequência de portas pelo winbox.

  19. #19

    Padrão Protegendo sua RB dos PORTs SCANNERS!

    desculpe, sou leigo to com uma rb aki, funcionando ok, mas de curiosidade implementei a regra de " guilhermeramires" e agora n consigo acessar mais a minha rb!!! era para eu ter colocados na lista de ips permitidos a minha range dos permitidos??..sera q alguem pode me ajudar. desde já agradeço a atenção e desculpem-me pela ignorância.

    aguardo



  20. #20
    Avatar de BThiagoR
    Ingresso
    Jan 2010
    Localização
    Vitória da Conquista - BA
    Posts
    36

    Padrão Re: Protegendo sua RB dos PORTs SCANNERS!

    Tentei aplicar as regras e deu erro, apenas uma regra foi adicionada...

    /ip firewall filter
    add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Port Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp psd=20,3s,3,1
    add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Mass Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!a ck
    add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Null Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack ,!urg

    minha rb é a 750 versão 5.9, acredito que tem que adaptar os códigos... alguém pode ajudar?