Как защитить порты от сканирования

Автор dzhoser, 31 августа 2021, 09:36:14

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

dzhoser

Дорого времени суток форумчане!
Есть ли в Debian 11инструменты для защиты портов от сканирования. Что можно сделать для такой защиты? Есть ли у Вас опыт подобной настройки?
Ubuntu->Linux mint->Astra Linux SE->Debian 11
Для новичков

endru

Настраиваете логирование трафика на нужных портах.
Пишите фильтр для fail2ban
...
profit

На практике подобная защита ни от чего не спасает! Сейчас никто не сканирует систему целенаправленно. Если есть определенная уязвимость - то боты пытаются по этому порту сразу работать. Даже если этот порт закрыт. Вот этот трафик я бы вам и рекомендовал логировать и банить, будет профитней. Только аккуратней, можно рабочие соединения случайно забанить!

dzhoser

Цитата: endru от 31 августа 2021, 10:03:05На практике подобная защита ни от чего не спасает! Сейчас никто не сканирует систему целенаправленно. Если есть определенная уязвимость - то боты пытаются по этому порту сразу работать
Вы не правы. Для определения вектора атаки сканируют порты. Конечно лбом стену тоже можно пробить, но это не профессионально.
Ubuntu->Linux mint->Astra Linux SE->Debian 11
Для новичков

endru

Цитата: dzhoser от 01 сентября 2021, 13:44:35это не профессионально
Сейчас весь даркнет поперхнулся от смеха.  :D

dzhoser

Цитата: endru от 01 сентября 2021, 16:46:15Сейчас весь даркнет поперхнулся от смеха
Речь идёт о целенаправленной атаке, отсечь ботов это не проблема. Как правило для определения вектора атаки нужно сканирование портов. Можно конечно как Вы сказали ломиться на закрытые, но при целенаправленной атаке они не эффективны. Да и будут отсекаться fail2ban. Однако fail2ban не поможет от сканирования и атакующий получит информацию о портах и системе.
Ubuntu->Linux mint->Astra Linux SE->Debian 11
Для новичков

endru

Если вы защищаетесь от сканирования портов - значит вы уже что-то не то делаете!

Цитата: dzhoser от 02 сентября 2021, 09:17:14Однако fail2ban не поможет от сканирования и атакующий получит информацию о портах и системе.
*facepalm*

ogost

Закрываете все ненужные порты и открываете нужные. Желательно отдельным железным фаерволом.
Если идёт речь о веб-приложении, то вешаете WAF, опять же желательно отдельной железякой. Защитит от известных уязвимостей, от кривых конфигураций и типичных атак вроде sql injection и так далее.
Копаетесь в настройках конкретного софта на указанном порту, чтобы не выдавал наружу версию софта. Это чтобы затруднить поиск актуальных уязвимостей.
Можете добавить port knocking по вкусу.
Совсем закрыться от сканирования не выйдет, суть сканирования - поиск открытых портов и версий слушающего этот порт софта. Менять порт на нестандартный не имеет особого смысла, те же боты на ура находят ssh/nginx/apache и прочее распространённое ПО.

dzhoser

Ubuntu->Linux mint->Astra Linux SE->Debian 11
Для новичков

endru

Цитата: dzhoser от 31 августа 2021, 09:36:14Есть ли в Debian 11инструменты для защиты портов от сканирования.
Цитата: dzhoser от 02 сентября 2021, 11:41:11Буду копать в этом направлении

Чтобы защититься от сканирования портов - нужно настроить WAF?.
Тема закрыта.