Не стандартная защита от скана портов на Mikrotik

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
User123
Сообщения: 0
Зарегистрирован: 09 дек 2014, 21:54

Не так давно приобрел микротик, можно сказать по работе, к сожалению опыта работы с ним нет, а проблемы решать нужно уже сейчас :-) Счастью моему не было предела ибо тут я нашел все то о чем мечтал в своих недосисадминских мечтах :-)
Но тут встал вопрос безопасности и начал я с малого, сначала озаботился тупым дропом пакетов на мой IP, нашлось решение, запилил, если пакетов больше 50 в секунду - блочить спамера на 10 мин и вносить в лист. Далее я озаботился портами, нашел сайты по скану портов и действительно 2 порта были видны, далее нашел защиту от скана портов, прописал в свой микротик, сканил и действительно, больше ничего открытого не нашло, как я не извращался, но все порты были закрыты. И тут же вылезла очередная проблема. Как я понимаю метод просто отбрасывает каждый скан порта, т.е. он получает пакеты, отвечает, мол чувак тут никого нет, но вот диллема, обработка пакетов работает как DDoS, когда запускаю скан не с 1, а с 5-10 и более вкладок начинает тупить инет, т.е. по сути если на комп пустят скан с 10 IP то да, порты они не найдут, но какой никакой DDoS получится, я уже молчу что будет, если мне 100 закинут, думаю встанет все колом.

Результат работы всего каких-то 5 старничек с последовательным сканом портов:
Изображение

После отключения всех сканов:
Изображение

Вопрос, как мне отрубать вот таких сканеров портов на корню, что бы даже пакеты от них не шли, т.е. смотрим, что идет скан 10 портов с 1 го IP за последние N минут - блочим на N минут по IP и вносим их в свой IP лист (желательно с пометкой), т.е. что бы он вообще мне на порты не стучались и не "морозили" мне комп?

Привожу настройки, той приблуды что закрывает порты от скана:
/ip firewall filter
add chain=input in-interface=Internet protocol=tcp tcp-flags=syn action=reject reject-with=icmp-network-unreachable
add chain=input in-interface=Internet protocol=tcp tcp-flags=fin,syn,ack action=reject reject-with=icmp-network-unreachable

В итоге получил:
Интерфейсы:
Изображение
1)
Изображение

Изображение

Изображение

2)
Изображение

Изображение

Изображение


summit
Сообщения: 64
Зарегистрирован: 14 мар 2014, 07:20

User123 писал(а):Вопрос, как мне отрубать вот таких сканеров портов на корню, что бы даже пакеты от них не шли, т.е. смотрим, что идет скан 10 портов с 1 го IP за последние N минут - блочим на N минут по IP и вносим их в свой IP лист (желательно с пометкой), т.е. что бы он вообще мне на порты не стучались и не "морозили" мне комп?


Наверное с помощью ножниц - приходите к отправляющему и обрезаете кабель или еще чего....

А если серьезно, то либо договоритесь с провайдером что бы он это резал (что мало вероятно), либо примите как есть. Если пакет вам отправлен, то микротик его примет, а что он с ним сделает это уже другой вопрос.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну например лимит на кол-во соединений в секунду с одного внешнего источника


Есть интересная задача и бюджет? http://mikrotik.site
User123
Сообщения: 0
Зарегистрирован: 09 дек 2014, 21:54

summit писал(а):
User123 писал(а):Вопрос, как мне отрубать вот таких сканеров портов на корню, что бы даже пакеты от них не шли, т.е. смотрим, что идет скан 10 портов с 1 го IP за последние N минут - блочим на N минут по IP и вносим их в свой IP лист (желательно с пометкой), т.е. что бы он вообще мне на порты не стучались и не "морозили" мне комп?


Наверное с помощью ножниц - приходите к отправляющему и обрезаете кабель или еще чего....

А если серьезно, то либо договоритесь с провайдером что бы он это резал (что мало вероятно), либо примите как есть. Если пакет вам отправлен, то микротик его примет, а что он с ним сделает это уже другой вопрос.

Да мне как бы это не только для себя, но и по работе. Т.е. невозоможно заблокировать прием пакетов на уровне микротика? Я правильно понимаю? А что-то вообще можно с таким трафиком сделать?

(провел ориентировочное тестирование, опрос идет 24 порта в час, от неизвестных источников)


-user-
Сообщения: 30
Зарегистрирован: 21 мар 2013, 10:05

User123 писал(а):Т.е. невозоможно заблокировать прием пакетов на уровне микротика?

можно только купить железку по мощнее и канал пошИрше...
пакеты Вы заблокировать можете, хоть все... но чтобы на порт Вашего Микротика не лился "вредный" трафик - тут Вы сделать ничего не сможете (как на улице: можете зонтиком от дождя прикрыться, а зонтик от дождя защищать уже нечем :a_g_a: )...
как вариант: собрать доказательную базу того, что этим трафиком спамят Вас и то, если с постоянных IP адресов - и тогда можно попытаться поговорить с провайдером... а если сыпится с постоянно меняющихся/разных IP - то тут и провайдер Вам весь инет заблокировать не может :-):

И дело тут не в Микротике, что он не может чего-то, такая ситуация действенна для любой железки.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

TS, у Вас неправильное представление работы сети. Провод это не водопроводная труба, где перекрыв кран у потребителя поток остановиться и у источника. Если пакет был отправлен, то он обязательно дойдёт до адреса, что-бы Вы не пытались сделать с этим (я не рассматриваю ситуации потери, - это другая ситуация). Единственный способ, как сказали выше, - найти хулигана и отрезать ему кабель интернета.
Что касается провайдера, - он не будет нагружать своё оборудование и резать конкретно для Вас трафик.. А вот другой момент более реальный. Если атака идёт с конкретного IP, то достаточно предоставить фотографии (не скриншоты) и в большинстве случаев провайдер принимает меры, и достаточно быстро.
Когда у меня был инет не достаточно быстрым, и роутер стоял Длинк, меня часто атаковали, в частности мои игровые сервера и почти всегда, после отправки фотографии логов подключений и разговора по телефону с провайдером, атака прекращалась в течении несколько десятков минут. Уж не знаю что они делали, отключали абонента до выяснения обстоятельств, или просто резали трафик на мой IP, но факт остаётся фактом. Главное при разговоре показать что Вы не чайник :hi_hi_hi:

А вообще, если это атака <1000 пакетов в секунду, лично я привык не замечать, ибо они постоянны, и режу подобное фаерволом.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Ответить