محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

آموزش جلوگیری از پورت اسکن : روشهای جلوگیری از Port Scan

خوب به احتمال زیاد شما فرآیند Port Scan و اطلاعاتی که می تواند در اختیار مهاجمین قرار بدهد را می شناسید و به عنوان یک متخصص شبکه می خواهید بدانید که چه کاری می توانیم انجام بدهیم تا Port Scan نشویم !! در ابتدای کار باید این موضوع را خدمت دوستان عرض کردم

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

که قطعا یک راهکار جامع و کامل برای جلوگیری از Port Scan شدن وجود ندارد و هنوز روش قطعی برای اینکار معرفی نشده است تنها روشهایی که عنوان می شود احتمال بروز Port Scan های ساده بر روی سیستم های شما را کاهش می دهد. اگر بخواهیم رک صحبت کنیم وقتی شما یک فایروال Statefull با قابلیت های IDS و IPS و نوشتن Rule های پیشرفته نداشته باشید که بخواهید ترافیک ورودی به سیستم را تجزیه و تحلیل کنید تقریبا کار خاصی در برابر پورت اسکن شدن نمی توانید انجام بدهید مگر اینکه امنیت پورت ها و سرویس های خودتان را بیشتر کنید.

امروزه دادگاه های مختص جرائم رایانه ای در دنیا خود فرآیند Port Scan ای که به آدرس های معمول اینترنتی ( غیر از آدرس های IP دولتی و ممنوعه ) انجام می شود را به عنوان جرم تلقی نمی کنند. در واقع Port Scan به تنهایی نیز چندان جرم محسوب نمی شود مگر اینکه از آسیب پذیری که در آن پورت وجود دارد سوء استفاده و به سیستم مورد نظر حمله شود. اما سئوال اصلی ما در این مقاله از ITPRO این است که چگونه اطلاعات کمتری در اختیار مهاجم قرار بدهیم ؟

یکی از مهمترین و مرسوم ترین روش هایی که برای محدود سازی اعلام اطلاعات توسط سیستم هدف انجام می شود بستن سرویس ها و پورت های غیر ضروری در سرور مورد نظر است ، در واقع فرآیندی که ما آن را معمولا به عنوان OS Hardening یا Firewall Hardening می شناسیم در اینجا می تواند به ما کمک کند. در واقع زمانیکه شما یک وب سرور دارید از بیرون فقط باید پورت http و پورت https باز باشد و ننه چیز اضافه ای ، مگر اینکه سرویس اضافه ای ارائه می دهید. در سیستم عامل های خانواده Linux و Unix ساده ترین راهکاری که می توانید با استفاده از آن پورت ها و سرویس های غیر ضروری را از دیده شدن بصورت عمومی محافظت کنید ویرایش کردن فایل //etc//inetd.conf است.

همچنین شما می توانید با ویرایش فایل //etc//init.d به همراه تغییر runlevel ای که برای سیستم شما مناسب است کمی امنیت خودتان را بالاتر ببرید. تمامی سرویس های غیر ضروری و نرم افزارهای غیر ضروری را از روی سیستم عامل حذف کنید. همچنین در خانواده لینوکس مطمئن بشوید که سیستم عامل شما در حالت گرافیکی یا X11 سرویسی ارائه نکند. در واقع یکی از آسیب پذیری هایی که حالت X11 در اینگونه سیستم عامل ها دارد این است که سرویس های خودش را بدون توجه به اینکه شما login شده اید یا خیر broadcast می کند.

در سیستم عامل های خانواده ویندوز نیز سعی کنید از قسمت Windows Firewall تنها ترافیک پورت های مجاز بر روی سیستم را در حالت Inbound بصورت Allow قرار بدهید و باقی ترافیک را Block کنید. از طرفی از قسمت Roles and Features در ویندوز های سرور و کلاینت می توانید سرویس های غیر ضروری را غیرفعال یا حذف کنید. استفاده از ابزاری به نام Security Configuration Manager نیز در چنین حالتی توصیه می شود.

راهکار دیگری که برای سیستم عامل های خانواده Unix وجود دارد پیاده سازی و استفاده از TCP Wrapper است. البته در صورتیکه امکان استفاده از آن وجود داشته باشد. TCP Wrapper ها این انعطاف پذیری را به مدیر سیستم می دهد که دسترسی یا عدم دسترسی به یک پورت یا یک سرویس را بر اساس آدرس IP یا Domain Name درخواستی صادر یا مسدود کند. البته TCP Wrapper ها در کنار تنظیمات inetd.conf هستند که نتیجه مناسب را خواهند داشت.

TCP Wrapper ها اجازه یا عدم اجازه دسترسی را با نگاه کردن به فایل های hosts.allow و hosts.deny انجام می دهند. البته این در صورتی است که موجودیت یا Rule ای در این فایل ها برای TCP Wrapper نوشته شده باشد در غیر اینصورت بصورت خودکار این ابزار دسترسی را مسدود می کند. در عین حال TCP Wrapper ها برای IP Spoofing ها یا فرآیند جعل آدرس IP نیز اصلا مناسب نیستند. بصورت کلی اگر می خواهید کمی در مقابل فرآیند های Port Scanning امنیت داشته باشید موارد زیر را رعایت کنید :

  1. از فایروال های سخت افزاری با ماژول های IDS و IPS و همچنین به روز استفاده کنید
  2. همیشه Firmware فایروال خود را به آخرین نسخه بسته های بروز رسانی مجهز کنید
  3. سرویس ها و پورت های غیر ضروری را بر روی فایروال سیستم عامل خودتان غیرفعال کنید
  4. آخرین بسته های بروز رسانی سیستم عامل را نصب کنید
  5. از سیستم های تشخیص و جلوگیری از نفوذ استفاده کنید
  6. مطمئن بشوید که در روترهای شما Source Routing و مکانیزم های مقابله با جعل IP درست پیاده سازی شده است
  7. خودتان مرتب خودتان را با روشهای مختلف تست و اسکن کنید

اینها تنها احتمالات هستند و شما هیچوقت نمی توانید بصورت قطعی و تضمینی جلوی پورت اسکن را بگیرید.


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات