Защита от сканирования портов - PSD в mikrotik.

Спасибо за подобную серию роликов. С ними стало намного проще находить нужную информацию по сравнению с длинными роликами.

niknav

За улыбку в конце роликов, когда понимаешь что ролик коротки, лайкос. Ну требуем продолжения банкета!

Jorax

Здравствуйте!
Пишу практически от безнадеги. Возможно ли то, что я хотел сделать?
Постараюсь кратко. Есть плоская сеть. Два сегмента удалены друг от друга.
Связаны оптикой, с двух сторон стоят CRS317.
Также на сети есть антенны, которые воткнуты НЕ в 317е микротики, в в другие свитчи, по одной антенне на участке, итого две.
Как было раньше - упала оптика, отключаем оптический порт в том сегменте, что имеет доступ к антеннам и включаем лан-порт на антенне другого сегмента.
Руками.
И вот.. задумал я значит сделать все автоматом.
Через антенны и свитчи протянул vlan между 317ми микротиками. Этакий виртуальный провод чтобы вышел.
И затем сделал бондинг Active Backup, в котором слейвами указаны оптические порты и этот влан на каждой стороне.
Добавил бондинг в бриджи с обеих сторон. В бридж-влан указал его в нужных вланах, чтобы управление ходило...
В итоге.. что странно.. оно заработало, вот только не так, как нужно.
В протянутом через свитчи и радио влане каждый 317й имеет адрес. Запускаю между ними пинги... Идут по оптике..
Гашу оптику - идут по влану. Латентность повышается, интерфейс переключается... Все хорошо, все отлично.
Работает с виду бондинг.
Вот только немаркированный трафик идет обходом, не по оптике, а через резервный канал.
Не могу понять что я упустил... может HW Offload выключать на некоторых портах.. может делать вланы не бриджами, а как в старые времена.
Бондинг-интерфейс все равно не работает с HW Offload.. в общем прямо шайтан-бондинг получился.
Который нормально и выключить то сейчас проблема. Или петли, или связь теряется. Управление тоже пошло через него.
Может у вас выйдет показать как сделать бондинг-бэкап физического интерфейса с вланом?
Может быть прочтете.. и просветите по этому вопросу. Спасибо!

ZakroyGlaza

А если метод сканирования TCP SYN Scan да и сканят сразу на конкретный порт например на 3389

ruslanruslan

В вашем видео в 4:57 какое проникновение произошло, что за девушка прошла? Очень интересно. Дайте пожалуйста её контакт.))

anotherdjmix

И еще один момент. Некоторые секунд 20-30 долбятся в один порт, через паузу также в другой. И перебирают большие номера портов. Так что с учетом коэффициента 1 на 21 порт уйдет не меньше 10 минут. И установленные по умолчанию 3 сек. не вычислят таких сканеров.

alexblack

Спасибо, полезно. А что лучше применять в качестве действия - Drop или другие методы? Планируется туториал на эту тему?

evgenijivanovych

Правила PSD нужно ставить сразу после запрещающих правил? Т.е., каким в списке правил оно должно идти?

Например, у меня идут сначала правила drop-ов DNS Flood, проверки сканирования SSH-портов и только затем всякие разрешающие правила.
Правила PSD нужно ставить сразу после окончания запрещающих правил и перед первым разрешающими?

osada

Спасибо. Реализовал у себя и PSD и HoneyPot. Хотелось бы еще добавить: в практическом плане удобно преобразовывать отловленные адреса в подсети хотя бы /24 и банить подсетями. Тогда количество записей в адрес-листах как правило растет медленнее.

Раз в минуту выполняю скрипт анализа адрес листа "ddoser", куда отправляются src-address от "злоумышленника". Отрабатывает очень быстро:
{
:local a;
:local n;
:foreach i in=[/ip firewall address-list find list="ddoser"] do={
:set a [/ip firewall address-list get $i address];
:if ([:find $a "/24" 0]) do={
} else {
:set n ([:pick $a 0 ([:find $a "." ([:find $a "." ([:find $a "." 0] + 1)] + 1)] + 1)]."0/24");
[/ip firewall address-list set $i address=$n];
}
}
}

mikrotik

Спасибо за данный материал, а есть ли способы определения кто сканирует локальную сеть изнутри?

itjnmcg

К сожалению, эта штука видит не все сканирования. В частности, у меня зарегистрировала за пару часов 11 из 24-х внешних сканирований.

alexblack

"Правила PSD нужно использовать с большой осторожностью. Советуем Вам в список адресов источников для исключения добавить, как минимум, ip-адреса системного администратора, других площадок, ip-адреса шлюза вашего провайдера, DNS серверов и так далее" - а каким образом сделать такое исключение? Нужно создать отдельное правило?

osada

А не лучше засунуть это правило в прероутинг(Raw) для оптимизации нагрузки?!

himikym

Эх, когда же роутерось научится добавлять в адрес листы в6 сразу префиксами

falciloid

У меня почему-то PSD совсем не редактируется. Просто список выпадает и все. Так и должно быть?

ViktorPolyakov

Когда нормальный ролих про dot1x в AD?

kagorfill

Wi Fi клиент создает 1000 запросов на аутентификацию менее чем за минуту на радиус сервер. MAC меняется. Хочется автоматически банить таких клиентов. Возможно это через PSD реализовать?

pavelsgevla

Port security когда завезут, а то как то несерьезно.

network_sw

Баловство всё это. Так в лобовую сканируют только китайцы и один всем известный Интернет-провайдер. Остальные "злыдни" давно хитро-попят, и на PSD их не купишь, а вот проц перегрузить - это запросто.

felis_chaus

погонял в 4 филиалах - за 7 дней тысячи по три IP в бан лист влетело - смысла нет юзать - они меня перспамят -)

SWS-LINK