+ Responder ao Tópico



  1. #1
    Alex Rock Avatar de alexrock
    Ingresso
    Jan 2006
    Localização
    S. J. do Rio Preto-SP
    Posts
    834

    Cool Bloquear Portscanners, regra simples.

    A historia é a seguite: precisava de uma regra simples que bloqueasse o engraçadinho que estivesse rodando um port scanner na minha rede. No Wiki do Mikrotik tem uma regra (Bruteforce login prevention - MikroTik Wiki), mas achei demasiada complexa, além de dar muita colher de chá pro cara deixando ele errar a senha várias vezes.
    O que fiz e compartilho com vocês é uma “armadilha”: tentou fuçar na porta 22 vai pro blacklist.
    Nesse caso continuo usado o SSH, mas em uma porta alta (ex: 35669).

    Mas porque a porta 22?
    Quando alguém roda um portscanner, busca as portas que propiciem invasão (21 ftp, 22 ssh). Como tenho um redirecionamento da porta 21 para um servidor interno, não posso usá-la na armadilha. Além da porta 22 ser uma das primeiras válidas .

    Funciona em duas etapas:

    1-Joga o IP do invasor na blacklist por 10 dias depois da primeira tentativa;
    2-Dropa qualquer acesso input dos IPs da blacklist.

    As regras são as seguintes:


    1 - Adiciono o folgado na adress list “hacker”:

    /ip firewall filter
    add action=add-src-to-address-list address-list=hacker address-list-timeout=\
    1w3d chain=input comment="Bloq IPs que tentarem SSH" disabled=no \
    dst-port=22 in-interface=ether2 protocol=tcp
    No meu caso a internet é IP fixo, na ether2


    2 – Bloqueio todos acesso a partir da lista “hacker”:

    /ip firewall filter
    add action=drop chain=input comment="Bloq lista \"hacker\"" disabled=no \
    src-address-list=hacker
    Essa regra eu coloquei entre as primeiras do firewall, para evitar o invasor logo de cara.

    Algumas horas depois de ativar a regra, minha blacklist já está crescendo...

    Como posso testar?

    Muito fácil, rode um portscanner em seu IP. Existem vários sites que fazer isso, recomendo o Open Port Check Tool - Test Port Forwarding on Your Router, simples e eficiente.
    Rodando esse teste na sua porta 22 você já vera o IP do site ir pra a blacklist.



    Cuidado!!!!
    Não faça testes de intrusão de seu IP, sob o risco de ficar “tracando para fora” de seu router, por isso sugeri o site.
    Caso você acesse seu Mikrotik de um IP Fixo, você pode “incrementar” a regra, excluindo você desse bloqueio:


    /ip firewall filter
    add action=add-src-to-address-list address-list=hacker address-list-timeout=\
    1w3d chain=input comment="Bloq IPs que tentarem SSH exceto eu" disabled=no \
    dst-port=22 in-interface=ether2 protocol=tcp src-address=!189.10.52.65
    Sendo o 189.10.52.65 o seu IP, claro.


    Bom galera é isso. É simples mais funcional, espero ter ajudado algum colega.
    Criticas e sugestões são bem-vindas.
    Abraços.

  2. #2

    Padrão Re: Bloquear Portscanners, regra simples.

    Amigo é interessante so que eu prefiro troca o número da porta, evitando processamento desnecessário.

  3. #3
    Alex Rock Avatar de alexrock
    Ingresso
    Jan 2006
    Localização
    S. J. do Rio Preto-SP
    Posts
    834

    Padrão Re: Bloquear Portscanners, regra simples.

    Citação Postado originalmente por mktguaruja Ver Post
    Amigo é interessante so que eu prefiro troca o número da porta, evitando processamento desnecessário.
    Com certeza, como já disse no texto. Essas regras bloqueiam o IP do invasor para todos os serviços, ou vc acha que o invasor vai parar na 22?
    O portscanner é o primeiro passo de uma invasão, depois de scanner portas abertas, ele vai pro ataque. Nesse caso não, ele já foi bloqueado por 10 dias.
    Obrigado pelo comentário.

  4. #4
    André Andrade*MikrotikRio Avatar de interhome
    Ingresso
    Oct 2008
    Localização
    Brasil.
    Posts
    1.116
    Posts de Blog
    15

    Padrão Re: Bloquear Portscanners, regra simples.

    Esse bloqueio vc esta fazendo em seu servidor? Mas o cliente esta associado em um ponto de acesso junto com outros. Essa regra não ira bloquear o mau intecionado. Pois ele fará o ataque direto sem passar pelo server.

  5. #5

    Padrão Re: Bloquear Portscanners, regra simples.

    Se a intenção for proteger o servidor é efetivo; não protege a rede, naturalmente.

  6. #6
    Alex Rock Avatar de alexrock
    Ingresso
    Jan 2006
    Localização
    S. J. do Rio Preto-SP
    Posts
    834

    Padrão Re: Bloquear Portscanners, regra simples.

    Esqueci de falar que eu uso o Mikrotik em um datacenter, não um WISP. O Mikrotik em questão é um bastion host de um pool de servidores.

  7. #7

    Padrão Re: Bloquear Portscanners, regra simples.

    Muito interessante essa regra. Parabéns

  8. #8

    Padrão Re: Bloquear Portscanners, regra simples.

    Não entendo essas pessoas mal intencionadas que se alto nomeiam "Hackers" tentam invadir os servidores, fazendo com que o proprietário crie regras só pra gerar processamento desnecessário, processamento esse que devia ser usado pra outras coisas.

  9. #9
    Alex Rock Avatar de alexrock
    Ingresso
    Jan 2006
    Localização
    S. J. do Rio Preto-SP
    Posts
    834

    Padrão Re: Bloquear Portscanners, regra simples.

    Citação Postado originalmente por ErivNS Ver Post
    Não entendo essas pessoas mal intencionadas que se alto nomeiam "Hackers" tentam invadir os servidores, fazendo com que o proprietário crie regras só pra gerar processamento desnecessário, processamento esse que devia ser usado pra outras coisas.
    Basicamente, montar redes de computadores zumbis para usar ou alugar para ataques ou spam.