جلوگیری از Port Scan توسط میکروتیک

نویسنده: علیرضا کریمی
اسفند 21, 1398

port scan چیست؟

یکی از اولین روشهایی که attackerها برای به دست آوردن اطلاعات درباره شبکه هدف خود از آن استفاده میکنند انجام port scan است. توسط این کار attacker میتواند متوجه شود که چه سرویسهایی و بر روی چه پورتهایی در حال ارائه هستند. با استفاده از این اطلاعات attacker میتواند به دنبال ضعفهای امنیتی بر روی سرویسهای ارائه شده و پورتهای باز بگردد. در این مطلب قصد داریم به نحوه انجام port scan و چگونگی جلوگیری از آن در روتر میکروتیک بپردازیم.

نرم افزار nmap

یکی از ابزارهای ساده و در عین حال قدرتمند برای انجام port scan نرم افزار nmap است. این نرم افزار علاوه بر انجام port scan بر روی پورتهای TCP و UDP امکانات دیگری مانند تشخیص سیستم عامل، تشخیص شرکت سازنده سخت افزار از روی آدرس MAC (در صورت داشتن ارتباط لایه دو با آن وسیله) و … را نیز دارد. این نرم افزار را میتوانید از آدرس زیر دانلود و نصب کنید.

https://nmap.org/download.html

نکته: نرم افزار nmap دارای یک Graphical User Interface به نام xenmap است که استفاده از آن را ساده‌تر میکند. امکان استفاده از این نرم افزار در خط فرمان نیز وجود دارد.

انجام port scan با nmap قبل از مسدود کردن port scan در میکروتیک

port scan میتواند بر روی آدرسهای IP ست شده بر روی خود روتر میکروتیک انجام شود. همچنین ممکن است بر روی آدرسهای ست شده بر روی سیستمهای قرار گرفته در پشت روتر میکروتیک انجام شود. در اینجا ما آن را بر روی آدرسی که بر روی خود روتر میکروتیک ست شده است انجام میدهیم.
برای این کار پس از نصب نرم افزار nmap مانند شکل زیر در قسمت Target آدرس IP یا نامی که میخواهیم port scan را برای انجام دهیم وارد میکنیم. در قسمت Profile نیز مدل اسکنی که میخواهیم انجام دهیم را مشخص میکنیم. در نهایت بر روی دکمه Scan کلیک میکنیم.

همانطور که مشاهد میکنید انجام این تست بر روی میکروتیک پورتهای باز روتر و سرویسهای ارائه شده بر روی این پورتها، سیستم عامل و نسخه آن و بسیاری از اطلاعات دیگر را در اختیار attacker قرار میدهد. خوشبختانه در میکروتیک به راحتی میتوان انجام port scan را تشخیص و ترافیک آن را بلاک کرد.

نکته: در حالت پیش فرض بسیاری از سرویسها بر روی میکروتیک فعال میباشند. در صورت عدم استفاده از آنها بهتر است این سرویسها غیر فعال شوند. در صورت استفاده نیز باید دسترسی به آنها محدود به آدرسهای مجاز گردد.

نحوه مسدود کردن port scan در میکروتیک

برای جلوگیری از port scan این کار را در دو مرحله انجام میدهیم:
شناسایی آدرس مبدا انجام دهنده port scan: برای این کار یک rule در فایروال میکرویک به صورت زیر مینویسیم. این rule آدرس مبدایی که از آن عمل port scan در حال انجام شدن است را شناسایی کرده و در یک address list قرار میدهد.
در تب General به دلیل اینکه آدرس IP بر روی خود روتر ست شده است و هدف ما محافظت از خود روتر است Chain را input انتخاب میکنیم. در صورتی که هدف محافظت از سیستمهای قرار گرفته در پشت میکروتیک (شبکه داخلی) بود chain را forward انتخاب میکردیم. همچنین در قسمت In. Interface اینترفیسی که ترافیک port scan احتمالا از روی آن به سمت شما میاید را انتخاب کنید. در صورتی که این قسمت را خالی بگذارید این rule به ترافیک ورودی از همه اینترفیسهای اعمال میشود.

در تب Extra بر روی گزینه PSD که مخفف Port Scan Detection است کلیک کنید تا این قابلیت فعال شود.

در نهایت در تب Action عمل add src to address list را انتخاب کنید. در قسمت Address List یک نام برای address list در نظر بگیرید و در قسمت Timeout مدت زمان ماندن آدرسها در این آدرس لیست را مشخص کنید.

بلوک کردن ترافیک ارسالی از port scanner: برای انجام این کار یک rule دیگر در فایروال به صورت زیر مینویسید تا ترافیک ارسالی از آدرسهای مبدایی که در قسمت قبل شناسایی کردید را drop کند.

انجام port scan با nmap بعد از مسدود کردن port scan

پس از انجام تنظیمات لازم برای جلوگیری از port scan دوباره پورت اسکن را بر روی آدرس ست شده بر روی میکروتیک انجام میدهیم. همانطور که در شکلهای زیر مشاهده میکنید روتر آدرس port scanner را شناسایی و آن را در یک address list قرار داده است و ترافیک ارسالی از سمت آن را بلاک کرده است.