Защита от сканирования портов - PSD в mikrotik.
HTML-код
- Опубликовано: 10 ноя 2022
- В данном видео мы обсудим опцию firewall port scan detection(PSD), которая позволяет детектировать попытки сканирования портов вашего mikrotik. Обсудим адреса исключений и настроим PSD.
Ссылка на статью mikrotik-training.ru/kb/zashh... 
Наука
Спасибо за подобную серию роликов. С ними стало намного проще находить нужную информацию по сравнению с длинными роликами.
За улыбку в конце роликов, когда понимаешь что ролик коротки, лайкос. Ну требуем продолжения банкета!
В монтаже еще около 50 штук.
как обычно - классный контент
Спасибо.
Новый формат просто Огонь!
Вам спасибо
Инфа бомба!
Пушка!
Спасибо
Спасибо, полезно. А что лучше применять в качестве действия - Drop или другие методы? Планируется туториал на эту тему?
Сильно зависит от эффекта. Обычно drop в цепочке raw. Гораздо реже tarpit. Reject наружу практически никогда.
А если метод сканирования TCP SYN Scan да и сканят сразу на конкретный порт например на 3389
Здравствуйте!
Пишу практически от безнадеги. Возможно ли то, что я хотел сделать?
Постараюсь кратко. Есть плоская сеть. Два сегмента удалены друг от друга.
Связаны оптикой, с двух сторон стоят CRS317.
Также на сети есть антенны, которые воткнуты НЕ в 317е микротики, в в другие свитчи, по одной антенне на участке, итого две.
Как было раньше - упала оптика, отключаем оптический порт в том сегменте, что имеет доступ к антеннам и включаем лан-порт на антенне другого сегмента.
Руками.
И вот.. задумал я значит сделать все автоматом.
Через антенны и свитчи протянул vlan между 317ми микротиками. Этакий виртуальный провод чтобы вышел.
И затем сделал бондинг Active Backup, в котором слейвами указаны оптические порты и этот влан на каждой стороне.
Добавил бондинг в бриджи с обеих сторон. В бридж-влан указал его в нужных вланах, чтобы управление ходило...
В итоге.. что странно.. оно заработало, вот только не так, как нужно.
В протянутом через свитчи и радио влане каждый 317й имеет адрес. Запускаю между ними пинги... Идут по оптике..
Гашу оптику - идут по влану. Латентность повышается, интерфейс переключается... Все хорошо, все отлично.
Работает с виду бондинг.
Вот только немаркированный трафик идет обходом, не по оптике, а через резервный канал.
Не могу понять что я упустил... может HW Offload выключать на некоторых портах.. может делать вланы не бриджами, а как в старые времена.
Бондинг-интерфейс все равно не работает с HW Offload.. в общем прямо шайтан-бондинг получился.
Который нормально и выключить то сейчас проблема. Или петли, или связь теряется. Управление тоже пошло через него.
Может у вас выйдет показать как сделать бондинг-бэкап физического интерфейса с вланом?
Может быть прочтете.. и просветите по этому вопросу. Спасибо!
И еще один момент. Некоторые секунд 20-30 долбятся в один порт, через паузу также в другой. И перебирают большие номера портов. Так что с учетом коэффициента 1 на 21 порт уйдет не меньше 10 минут. И установленные по умолчанию 3 сек. не вычислят таких сканеров.
Трэшхолд - это сильно :)
Я русский немец( иногда такое выдаю.
@@MikrotikTraining ничего страшного, всё понятно, но слово всё же прикольное получилось :)
Правила PSD нужно ставить сразу после запрещающих правил? Т.е., каким в списке правил оно должно идти?
Например, у меня идут сначала правила drop-ов DNS Flood, проверки сканирования SSH-портов и только затем всякие разрешающие правила.
Правила PSD нужно ставить сразу после окончания запрещающих правил и перед первым разрешающими?
А оно вам нужно? У вас действительно есть какие-то выставленные службы наружу? Если что-то такое есть - можно поставить. Запреты лучше делать в raw. Проверки в зависимости от нагрузки, которую дают другие правила. В идеале на самый верх поставить самые нагруженные правила.
Спасибо за данный материал, а есть ли способы определения кто сканирует локальную сеть изнутри?
Так же - просто интерфейс меняйте на правиле
поставил фильтр а потом ломал голову почему не работает интернет на некорорых пк, обязательно нужно указывать интерфейс. оказается антивирус Avg сканировал порты внутри локалки. так же был пойман через Esset smart security
@@user-lq4fy2yu3j так же это хорошо, попались злыдни:)
🥰
давно ваших лекций не было
Сложно сейчас с большими вебинарами, может на следующей неделе, но это не точно.
Спасибо. Реализовал у себя и PSD и HoneyPot. Хотелось бы еще добавить: в практическом плане удобно преобразовывать отловленные адреса в подсети хотя бы /24 и банить подсетями. Тогда количество записей в адрес-листах как правило растет медленнее.
Раз в минуту выполняю скрипт анализа адрес листа "ddoser", куда отправляются src-address от "злоумышленника". Отрабатывает очень быстро:
{
:local a;
:local n;
:foreach i in=[/ip firewall address-list find list="ddoser"] do={
:set a [/ip firewall address-list get $i address];
:if ([:find $a "/24" 0]) do={
} else {
:set n ([:pick $a 0 ([:find $a "." ([:find $a "." ([:find $a "." 0] + 1)] + 1)] + 1)]."0/24");
[/ip firewall address-list set $i address=$n];
}
}
}
Тут стоит обратить внимание, если у тебя есть внешние сервисы, если нет, то отключи обработку внех внешних запросов если нет сессии и настрой тук-тук. Этого будет достаточно.
Поддерживаю.
Большой вопрос, что в таком случает в лист могут попасть и вполне добропорядочные клиенты. В целом подобный подход имеет место быть.
@@lCooLRusHl Да, конечно. Эти моменты учтены.
@@MikrotikTraining В основной своей массе блокируются забугорные обращения, которые используются мало. Сделать фильтрацию вида "подключаться только с РФ" тоже не совсем удобно - слишком много сетей + список динамически постоянно изменяется. В каждом случае применения HoneyPot и PSD приходится учитывать специфику применения.
А не лучше засунуть это правило в прероутинг(Raw) для оптимизации нагрузки?!
"Правила PSD нужно использовать с большой осторожностью. Советуем Вам в список адресов источников для исключения добавить, как минимум, ip-адреса системного администратора, других площадок, ip-адреса шлюза вашего провайдера, DNS серверов и так далее" - а каким образом сделать такое исключение? Нужно создать отдельное правило?
Например в правилах psd - кроме src адрес-листа с важными ip, особенно касается psd на udp.
К сожалению, эта штука видит не все сканирования. В частности, у меня зарегистрировала за пару часов 11 из 24-х внешних сканирований.
Эх, когда же роутерось научится добавлять в адрес листы в6 сразу префиксами
Напишите запрос на support@mikrotik.com
У меня почему-то PSD совсем не редактируется. Просто список выпадает и все. Так и должно быть?
Нужно сначала выбрать tcp или udp protocol.
@@MikrotikTraining так надо правила создавать по каждому протоколу?
В винбоксе серое, а командой легко редактируется:
/ip/firewall/filter> set 16 psd=21,5s,3,1
Когда нормальный ролих про dot1x в AD?
А что было ненормального в вебинаре? Будет короткий про dot1x и usermanager - когда, сложно сказать.
Wi Fi клиент создает 1000 запросов на аутентификацию менее чем за минуту на радиус сервер. MAC меняется. Хочется автоматически банить таких клиентов. Возможно это через PSD реализовать?
Это что-то в сторону защиты Wi-Fi думать. И со стороны radius копать.
@@MikrotikTraining У радиуса вроде нет такого функционала и в CAPsMAN только руками банить. Остается только через FIREWALL как то. Проблема актуальна, судя по мас Xiaomi телефоны не очень дружат с Radius авторизацией. Так как запросы идут через CAPsMAN сильно нагружает устройство и забивает логи.
Баловство всё это. Так в лобовую сканируют только китайцы и один всем известный Интернет-провайдер. Остальные "злыдни" давно хитро-попят, и на PSD их не купишь, а вот проц перегрузить - это запросто.
И флешку заполнит и память) в целом так все и есть. Может помочь узнать, когда к вам в компанию пришел аудитор, а совместно с логом на email, еще и оповестит)
погонял в 4 филиалах - за 7 дней тысячи по три IP в бан лист влетело - смысла нет юзать - они меня перспамят -)
Port security когда завезут, а то как то несерьезно.
Он есть - есть привязка портов по Mac. Нет port base security. В теории можно совместить с dot1x и правилами switch rules из radius.
я так понимаю и тут РФ под санкциями?
В целом да.
😂яб сказал нафиг микротик нам смертным он нафиг не нужэн завтро откажусь.мне порты открыть надо если нельзя прога гавно