понедельник, 23 октября 2017 г.

MikroTik. Защита роутера от сканирования портов.

Всем привет. Нынче в глобальной паутине какого только трафика не ходит, причём большая его часть — это трафик злоумышленников, нацеленный на совершение тех или иных злодеяний. Если провайдер вам выдаёт белый IP, то ваш роутер должен быть готов к борьбе с ненужным, а порой и вредоносным трафиком приходящем из Интернета. Первое правило которое вы должны были настроить в своём фаерволе это запрет доступа из интернета к вашему DNS (TCP\UDP 53) и NTP (TCP 123) дабы ваш роутер не участвовали в DDoS атаках. Для того чтобы злоумышленнику сломать ваш роутер ему нужно получить информацию с него. Эта информация может быть разной, в основном достаточно получить MAC адрес чтобы узнать производителя вашего роутера, а когда знаешь производителя можно подбирать софт для взлома. Также злоумышленник будет пытаться просканировать ваши уязвимости и порты, например совершенно легальным софтом NMAP. Так вот что бы запретить сканировать ваш внешний IP адрес нужно добавить некоторые правила в фаервол вашего роутера, а именно:
/ip firewall filter add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment=\ "Port scanners to list" protocol=tcp psd=21,3s,3,1 src-address=!10.3.0.0/16 add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment=\ "NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment=\ "SYN/FIN scan" protocol=tcp tcp-flags=fin,syn add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment=\ "SYN/RST scan" protocol=tcp tcp-flags=syn,rst add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment=\ "FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment=\ "ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment=\ "NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg add action=drop chain=input comment="dropping port scanners" src-address-list=port_scanners
Вместо 10.3.0.0/16 должна быть ваша локальная сеть. Добавив эти правила, роутер будет добавлять в address list с названием port_scanners те IP адреса которые попались на сканировании портов и потом дропать весь трафик, приходящий с этих IP адресов. Данные правила фаервола конечно можно доработать под свои нужды и прихоти. Всё упирается в ваши возможности и желания. Мне вполне достаточно и этого.