منبع اصلی نوشتار زیر در این لینک قرار دارد

شناسایی اسکنر ها و بن کردنشون در RouterOS

سلام دوستان . ابتدا باید بگم که توی این ارسال قصد آموزش کار با فایروال و رول های مختلف میکروتیک رو نداریم بلکه به بررسی یک روش کوچیک برای شناسایی اسکنر ها و در نهایت محدود کردنشون می پردازیم . در واقع از یک ترفند کوچیک برای این منظور استفاده می کنیم . سازمانی رو فرض کنید که گروهی از کارمندان برای انجام کار های خود فقط احتیاج به استفاده و دسترسی به پورت 80 روتر رو دارند ( مثلا روی این پورت روتر یک DST nat رخ می دهد و متصل میشوند به یک سرور داخلی ) یعنی عملا هیچ دلیل و توجیهی برای متصل شدن کارمندان به روتر روی دیگر پورت ها وجود ندارد !

به عنوان مثال دلیلی برای متصل شدن یک کارمند روی پورت 22 و یا 23 به روتر وجود ندارد . مسئله این جاست که اگر یکی از کارمندان اقدام به متصل شدن روی یکی از پورت ها کرد و یا حتی پورت اسکنی بر روی روتر انجام داد , چه طور با در بسته مواجه شود و علاوه بر این که نتایجی اشتباه را رصد کند , آی پی سیستم آن کارمند در روتر log شود و دسترسی او بلافاصله قطع شود . پس یعنی می خواهیم :

الف ) اگه کارمندی پورت 22 رو اسکن کرد ( و یا هر پورت دیگری به جز 80 ) , با بسته بودن پورت مواجه بشه

ب ) همچنین بعد از اسکن بلافصله دسترسیش کامل قطع بشه و آی پی آن هم در روتر log بشه

 

برای این کار از یک ترفند کوچیک در قسمت فایروال استفاده می کنیم . ابتدا سناریو زیر رو با هم فرض می کنیم :

روتر : میکروتیک با آدرس آی پی 10.10.10.1

کلاینت : ویندوز XP با آدرس آی پی 10.10.10.5

miktorik

همان طور که در بالا گفته شد , شبکه ی ما طوری طراحی شده است که دلیلی برای متصل شدن به دیگر پورت های روتر مثل 22 و یا 23 از طرف یکی از کلاینت های نتورک 10.10.10.0/24 وجود ندارد . همچنین گفتیم علاوه بر این که می خواهیم پورت ها برای این کلاینت ها بسته باشد , دسترسی افراد خاطی رو قطع کنیم و آی پی آن ها رو log کنیم . برای این منظور :

[e2ma3n@OSLearn] > ip firewall filter add chain=input dst-address=10.10.10.1 src-address=10.10.10.0/24 protocol=tcp dst-port=!80 action=add-src-to-address-list address-list=Scan

با استفاده از رول بالا گفتیم :

اولا ) تمامی درخواست های input

دوما ) روی آدرس آی پی روتر یعنی 10.10.10.1

سوما ) که روی پورت 80 نیستند را بررسی کن

چهارما ) و آدرس آی پی مبدا کسی که این درخواست ها را فرستاده است را داخل List Address ای با نام Scan بریز

 

حالا یک رول دیگر باید اضافه کنیم و بگیم دسترسی آی پی هایی که داخل List Address ما ( با نام Scan ) قرار دارد را کاملا قطع کن . برای این منظور :

[e2ma3n@OSLearn] > ip firewall filter add chain=input src-address-list=Scan action=drop

توجه : ما در رول اول پروتکل رو tcp انتخاب کردیم , می تونید udp رو هم اضافه کنید تا کسی از این طریق هم نتونه پورت اسکن رو انجام بده و یا می تونید icmp رو هم اضافه کنید و … که همه ی این موارد بستگی به پالیسی های تعیین شده از طرف شما دارد .

توجه : در رول شماره ی دو chain را بر روی input گذاشتیم و گفتیم که تمامی ترافیک ورودی به روتر Drop شود . با استفاده از این رول فرد خاطی فقط دسترسی خود را به روتر از دست می دهد و اگر میکروتیک ما حکم یک مسیر یاب را هم بازی کند ( که قطعا همین طور هم هست ) فرد خاطی همچنان می تواند به دیگر نتورک ها دسترسی داشته باشد . پس می توان برای محدودیت بیش تر برای فرد خاطی , forward chain را هم براش ببندیم . برای این منظور کافیست رول بالا را با forward وارد روتر کنیم . یعنی :

[e2ma3n@OSLearn] > ip firewall filter add chain=forward src-address-list=Scan action=drop

 

حالا کافیه یکی از کلاینت ها سعی کنه روی یکی از پورت ها به روتر متصل بشه . علاوه بر این که نمی تونه نتایج اسکن رو مشاهده کنه , پورت 80 که تا قبل از این بهش دسترسی داشته هم براش بسته میشه و آی پی آدرسش هم داخل روتر در قسمت List Address ثبت می شود ! به عنوان مثال :

002همان طور که مشاهده می کنید تا قبل از تلنت کردن به روتر , سیستم می توانست روتر را پینگ کند و یا روی پورت 80 به روتر متصل شود . اما بعد از تلنت تمامی دسترسی هایش قطع شده و حتی پینگ هم نمی تواند بگیرد .

برای مشاهده ی آی پی هایی که در داخل List Address ما اضافه شده اند , یعنی برای مشاهده ی کارمندان خاطی به شکل زیر عمل می کنیم :

[e2ma3n@OSLearn] > ip firewall address-list print

003

 

منبع : او اس لرن دات آی آر | http://OSLearn.ir

نویسنده :E2MA3N



برچسب ها : , , ,