今朝、私はファイアウォールのログを調べていて、ポートスキャンとしてマークされたパケットが約500あることがわかりました。スキャン範囲は1000-1200 5000-5200でした。 IPアドレスは85.25.217.47で、ドイツのどこかにあるようです。そして、これらの人たちは定期的に定期的にポートをスキャンしています。
パケットはすべてファイアウォール(Sophos SG125)によってドロップされました。私が通常行うことは、IP範囲をブロッキングリストに追加するだけなので、次回は特定のルールによってIP範囲をドロップするだけです。
どのように皆さんはポートスキャン攻撃に対処しますか?
無視します。妥当なセキュリティ体制があれば、それもすべきです。
サーバーには、一般の人々にサービスを提供するために使用するポート以外の一般の人々に開かれたポートがあってはなりません。
たとえば、Webサーバーのポート80、443、およびmaybe22が開いている必要があります。インターネット上のランダムなボディがリスニングサービスを使用していると予想しない限り、接続する必要がある場合は、他のすべてをSSHトンネリングするか、VPNに接続する必要があります。おそらく、SSHをポート222などの上限に再マップして、認証ログが失敗したログインでいっぱいにならないようにすることができます。これは、サーバーと同じくらいエキサイティングなはずです。
代わりに、ポートスキャンが送信のCorpゲートウェイにヒットしている場合、Corpゲートウェイはサーバーではないため、スキャンはzeroポートが開いていることを示します。そして、賢明なIT管理者のように、企業ネットワーク内ではなく、インターネット上の他の場所ですべてのサーバーを実行します。理由は、ここでは説明しません。
ポートスキャンでは、攻撃者が合理的に推測できなかったことが何も明らかにされます。これが当てはまらない場合、問題はポートスキャンではなく、ポートスキャンをブロックすることで隠そうとしているパブリックシークレットです。
私は悪を列挙することを信じていません。インフラストラクチャがインターネット上にある場合は、多数のIPによって常にスキャンされます。
たとえば、スポットインスタンスを表示し、リストからIPのブロックをスキャンし、結果がマスターサーバーに送信されるとそれらをオフにするAWSアプリを作成しました。私が毎日範囲をスキャンしている場合、ランダムに割り当てられているため、毎日異なるAWS IPをブロックすることになります。つまり、私が使用したIPが割り当てられたときに、正当なものをブロックすることができます。
Snort または Suricata on pfSense を使用して、一定期間IPを自動的にブロックします。
Sophos UTM にも同様の機能があるようです。
誰かがスキャンしているのを見た後、私は通常、彼らが誰であるかについて少し偵察します、彼らが既知のブロックリストにある場合、私は通常無視してファイアウォールにそれをドロップさせます(ASA)。それらが不明なエンティティである場合は、IPSをそのIPから使用して接続をドロップするルールを追加します。過去にスリカタを使用したことがあり、それを助けるために+1を提供します上記のコメントのように、このような状況。