سلام دوستان . ابتدا باید بگم که توی این ارسال قصد آموزش کار با فایروال و رول های مختلف میکروتیک رو نداریم بلکه به بررسی یک روش کوچیک برای شناسایی اسکنر ها و در نهایت محدود کردنشون می پردازیم . در واقع از یک ترفند کوچیک برای این منظور استفاده می کنیم . سازمانی رو فرض کنید که گروهی از کارمندان برای انجام کار های خود فقط احتیاج به استفاده و دسترسی به پورت 80 روتر رو دارند ( مثلا روی این پورت روتر یک DST nat رخ می دهد و متصل میشوند به یک سرور داخلی ) یعنی عملا هیچ دلیل و توجیهی برای متصل شدن کارمندان به روتر روی دیگر پورت ها وجود ندارد !

به عنوان مثال دلیلی برای متصل شدن یک کارمند روی پورت 22 و یا 23 به روتر وجود ندارد . مسئله این جاست که اگر یکی از کارمندان اقدام به متصل شدن روی یکی از پورت ها کرد و یا حتی پورت اسکنی بر روی روتر انجام داد , چه طور با در بسته مواجه شود و علاوه بر این که نتایجی اشتباه را رصد کند , آی پی سیستم آن کارمند در روتر log شود و دسترسی او بلافاصله قطع شود . پس یعنی می خواهیم :

الف ) اگه کارمندی پورت 22 رو اسکن کرد ( و یا هر پورت دیگری به جز 80 ) , با بسته بودن پورت مواجه بشه

ب ) همچنین بعد از اسکن بلافصله دسترسیش کامل قطع بشه و آی پی آن هم در روتر log بشه

 

برای این کار از یک ترفند کوچیک در قسمت فایروال استفاده می کنیم . ابتدا سناریو زیر رو با هم فرض می کنیم :

روتر : میکروتیک با آدرس آی پی 10.10.10.1

کلاینت : ویندوز XP با آدرس آی پی 10.10.10.5

miktorik

همان طور که در بالا گفته شد , شبکه ی ما طوری طراحی شده است که دلیلی برای متصل شدن به دیگر پورت های روتر مثل 22 و یا 23 از طرف یکی از کلاینت های نتورک 10.10.10.0/24 وجود ندارد . همچنین گفتیم علاوه بر این که می خواهیم پورت ها برای این کلاینت ها بسته باشد , دسترسی افراد خاطی رو قطع کنیم و آی پی آن ها رو log کنیم . برای این منظور :

با استفاده از رول بالا گفتیم :

اولا ) تمامی درخواست های input

دوما ) روی آدرس آی پی روتر یعنی 10.10.10.1

سوما ) که روی پورت 80 نیستند را بررسی کن

چهارما ) و آدرس آی پی مبدا کسی که این درخواست ها را فرستاده است را داخل List Address ای با نام Scan بریز

 

حالا یک رول دیگر باید اضافه کنیم و بگیم دسترسی آی پی هایی که داخل List Address ما ( با نام Scan ) قرار دارد را کاملا قطع کن . برای این منظور :

توجه : ما در رول اول پروتکل رو tcp انتخاب کردیم , می تونید udp رو هم اضافه کنید تا کسی از این طریق هم نتونه پورت اسکن رو انجام بده و یا می تونید icmp رو هم اضافه کنید و … که همه ی این موارد بستگی به پالیسی های تعیین شده از طرف شما دارد .

توجه : در رول شماره ی دو chain را بر روی input گذاشتیم و گفتیم که تمامی ترافیک ورودی به روتر Drop شود . با استفاده از این رول فرد خاطی فقط دسترسی خود را به روتر از دست می دهد و اگر میکروتیک ما حکم یک مسیر یاب را هم بازی کند ( که قطعا همین طور هم هست ) فرد خاطی همچنان می تواند به دیگر نتورک ها دسترسی داشته باشد . پس می توان برای محدودیت بیش تر برای فرد خاطی , forward chain را هم براش ببندیم . برای این منظور کافیست رول بالا را با forward وارد روتر کنیم . یعنی :

 

حالا کافیه یکی از کلاینت ها سعی کنه روی یکی از پورت ها به روتر متصل بشه . علاوه بر این که نمی تونه نتایج اسکن رو مشاهده کنه , پورت 80 که تا قبل از این بهش دسترسی داشته هم براش بسته میشه و آی پی آدرسش هم داخل روتر در قسمت List Address ثبت می شود ! به عنوان مثال :

002همان طور که مشاهده می کنید تا قبل از تلنت کردن به روتر , سیستم می توانست روتر را پینگ کند و یا روی پورت 80 به روتر متصل شود . اما بعد از تلنت تمامی دسترسی هایش قطع شده و حتی پینگ هم نمی تواند بگیرد .

برای مشاهده ی آی پی هایی که در داخل List Address ما اضافه شده اند , یعنی برای مشاهده ی کارمندان خاطی به شکل زیر عمل می کنیم :

003

 

منبع : او اس لرن دات آی آر | http://OSLearn.ir

نویسنده :E2MA3N

از این مطلب راضی هستید ؟ می خواهید به سایت کمک کنید ؟ رضایت خودتون رو با دونیت به ما به مبلغ 1,500 تومان اعلام کنید .

برای دونیت روی خرید کلیک کنید . با تشکر

[parspalpaiddownloads id=”8″]

درباره نویسنده :

ایمان همایونی هستم، از سال 2009 با گنو لینوکس فعالیت خودم رو در زمینه ی کامپیوتر و IT شروع کردم و تا الان موفق به گذروندن دوره هایLPIC 1 / LPIC 2 / VCP5-DCV / MCITP / CCNA / MTCNA شدم . مدتی در زمینه امنیت فعالیت هایی داشتم اما در حال حاضر تمرکز خودم رو بر روی مجازی سازی و لینوکس گذاشته ام .

تمام پست های من - وب سایت من