Port scanner

Origem: Wikipédia, a enciclopédia livre.
Ir para: navegação, pesquisa

Um port scanner (scanner de porta) são ferramentas com o objetivo de mapear as portas TCP e UDP. Neste teste ele identifica o status das portas, se estão fechadas, escutando ou abertas. Pode-se explicitar o range de portas que o aplicativo irá scanear, por ex: 25 a 80. Geralmente, os port scanners são usados por pessoas mal intencionadas conheicdas como hackers para identificar portas abertas e planejar invasões. Pode também ser usado também por empresas de segurança para análise de vulnerabilidades (pen test). Um dos port scanners mais conhecidos é o nmap. para bloquear o port scanner é assim A historia é a seguite: precisava de uma regra simples que bloqueasse o engraçadinho que estivesse rodando um port scanner na minha rede. No Wiki do Mikrotik tem uma regra (Bruteforce login prevention - MikroTik Wiki), mas achei demasiada complexa, além de dar muita colher de chá pro cara deixando ele errar a senha várias vezes. O que fiz e compartilho com vocês é uma “armadilha”: tentou fuçar na porta 22 vai pro blacklist. Nesse caso continuo usado o SSH, mas em uma porta alta (ex: 35669).

Mas porque a porta 22? Quando alguém roda um portscanner, busca as portas que propiciem invasão (21 ftp, 22 ssh). Como tenho um redirecionamento da porta 21 para um servidor interno, não posso usá-la na armadilha. Além da porta 22 ser uma das primeiras válidas .

Funciona em duas etapas:

1-Joga o IP do invasor na blacklist por 10 dias depois da primeira tentativa; 2-Dropa qualquer acesso input dos IPs da blacklist.

As regras são as seguintes:Adiciono o folgado na adress list “hacker”:

/ip firewall filter add action=add-src-to-address-list address-list=hacker address-list-timeout=\ 1w3d chain=input comment="Bloq IPs que tentarem SSH" disabled=no \ dst-port=22 in-interface=ether2 protocol=tcp No meu caso a internet é IP fixo, na ether2


2 – Bloqueio todos acesso a partir da lista “hacker”:

/ip firewall filter add action=drop chain=input comment="Bloq lista \"hacker\"" disabled=no \ src-address-list=hacker Essa regra eu coloquei entre as primeiras do firewall, para evitar o invasor logo de cara.

Algumas horas depois de ativar a regra, minha blacklist já está crescendo...

Como posso testar?

Muito fácil, rode um portscanner em seu IP. Existem vários sites que fazer isso, recomendo o Open Port Check Tool - Test Port Forwarding on Your Router, simples e eficiente. Rodando esse teste na sua porta 22 você já vera o IP do site ir pra a blacklist.


Cuidado!!!! Não faça testes de intrusão de seu IP, sob o risco de ficar “tracando para fora” de seu router, por isso sugeri o site. Caso você acesse seu Mikrotik de um IP Fixo, você pode “incrementar” a regra, excluindo você desse bloqueio:


/ip firewall filter add action=add-src-to-address-list address-list=hacker address-list-timeout=\ 1w3d chain=input comment="Bloq IPs que tentarem SSH exceto eu" disabled=no \ dst-port=22 in-interface=ether2 protocol=tcp src-address=!189.10.52.65 Sendo o 189.10.52.65 o seu IP, claro. [1]

Notas e Referências

  1. Nakamura, Emilio Tissato; Paulo Licio de Geus. In: Novatec. Segurança em redes cooperativos. 1 ed. São Paulo: [s.n.]. 9788575221365
Ícone de esboço Este artigo sobre Informática é um esboço. Você pode ajudar a Wikipédia expandindo-o.