Páginas

quinta-feira, 21 de junho de 2012

MIKROTIK - Bloqueando Port Scanners

Para se proteger de scanners de portas, você pode gravar os IPs dos "hackers" que tentam analisar as portas abertas do seu firewall.Com as regras abaixo você pode bloquear as tentativas de scanner em seu firewall gravando o IP de quem estiver tentando fazer isto.


/ip firewall filter
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Port scanners to list " disabled=no
 
Várias combinações de flags TCP também pode indicar atividade scanner de porta.
 
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan"
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan"
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/RST scan"
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan"
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan"
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan"
add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
 
 OBS: Oberserve que a expressão  "address-list-timeout=2w" vai deixar o ip do agressor preso por duas semanas, você pode alterar este valor para mais ou para menos........ no meu caso eu coloquei para nunca sair da lista, eu tenho que retirar manualmente, mas vai de cada um escolher a melhor estratégia para sua segurança.

Grande Abraço a todos.

2 comentários:

  1. Olá amigão, muito bom post.
    Tenho uma duvida, essas regras vão bloquear scanners de portas no mikrotik e vai GRAVAR AONDE O IP do invasor onde ???

    Agradeço.

    ResponderExcluir
    Respostas
    1. Olá Fabiano..... obrigado..... vai ser criado em IP->FIREWALL->ADRESS LISTS um lista de IPS que forem bloqueados........ cahamado port scanners.... Grande Abraço.

      Excluir