Как защитить порты от сканирования

dzhoser · 31 августа 2021, 09:36:14

Дорого времени суток форумчане!
Есть ли в Debian 11инструменты для защиты портов от сканирования. Что можно сделать для такой защиты? Есть ли у Вас опыт подобной настройки?

endru · 31 августа 2021, 10:03:05

Настраиваете логирование трафика на нужных портах.
Пишите фильтр для fail2ban
...
profit

На практике подобная защита ни от чего не спасает! Сейчас никто не сканирует систему целенаправленно. Если есть определенная уязвимость - то боты пытаются по этому порту сразу работать. Даже если этот порт закрыт. Вот этот трафик я бы вам и рекомендовал логировать и банить, будет профитней. Только аккуратней, можно рабочие соединения случайно забанить!

dzhoser · 01 сентября 2021, 13:44:35

Цитата: endru от 31 августа 2021, 10:03:05На практике подобная защита ни от чего не спасает! Сейчас никто не сканирует систему целенаправленно. Если есть определенная уязвимость - то боты пытаются по этому порту сразу работать

Вы не правы. Для определения вектора атаки сканируют порты. Конечно лбом стену тоже можно пробить, но это не профессионально.

endru · 01 сентября 2021, 16:46:15

Цитата: dzhoser от 01 сентября 2021, 13:44:35это не профессионально

Сейчас весь даркнет поперхнулся от смеха.

dzhoser · 02 сентября 2021, 09:17:14

Цитата: endru от 01 сентября 2021, 16:46:15Сейчас весь даркнет поперхнулся от смеха

Речь идёт о целенаправленной атаке, отсечь ботов это не проблема. Как правило для определения вектора атаки нужно сканирование портов. Можно конечно как Вы сказали ломиться на закрытые, но при целенаправленной атаке они не эффективны. Да и будут отсекаться fail2ban. Однако fail2ban не поможет от сканирования и атакующий получит информацию о портах и системе.

endru · 02 сентября 2021, 09:53:58

Если вы защищаетесь от сканирования портов - значит вы уже что-то не то делаете!

Цитата: dzhoser от 02 сентября 2021, 09:17:14Однако fail2ban не поможет от сканирования и атакующий получит информацию о портах и системе.

*facepalm*

ogost · 02 сентября 2021, 10:09:42

Закрываете все ненужные порты и открываете нужные. Желательно отдельным железным фаерволом.
Если идёт речь о веб-приложении, то вешаете WAF, опять же желательно отдельной железякой. Защитит от известных уязвимостей, от кривых конфигураций и типичных атак вроде sql injection и так далее.
Копаетесь в настройках конкретного софта на указанном порту, чтобы не выдавал наружу версию софта. Это чтобы затруднить поиск актуальных уязвимостей.
Можете добавить port knocking по вкусу.
Совсем закрыться от сканирования не выйдет, суть сканирования - поиск открытых портов и версий слушающего этот порт софта. Менять порт на нестандартный не имеет особого смысла, те же боты на ура находят ssh/nginx/apache и прочее распространённое ПО.

dzhoser · 02 сентября 2021, 11:41:11

ogost, спасибо за совет. Буду копать в этом направлении. https://linuxfun.org/en/2020/11/19/raspberry-pi-4-mod-security-en/

endru · 02 сентября 2021, 12:23:44

Цитата: dzhoser от 31 августа 2021, 09:36:14Есть ли в Debian 11инструменты для защиты портов от сканирования.

Цитата: dzhoser от 02 сентября 2021, 11:41:11Буду копать в этом направлении

Чтобы защититься от сканирования портов - нужно настроить WAF?.
Тема закрыта.