معرفی روشهای مقابله با پورت اسکن (Port Scan) در اینترنت

همه افرادي كه در حوزه امنيت فعاليت دارند، از بحث مهندسی امنيت گرفته تا مديريت امنيت ، با مفهوم port scan اشنا هستند. به طور خلاصه در يك مرور سطحی، پورت اسكن بخشي از عمليات هك یک نفوذ محسوب می شود كه در آن شخص نفوذ گر سعی می كند تا با اسكن كردن يك سيستم پورت باز روي يك هاست شبكه اي را شناسايی كند تا پس از پیدا کردن این پورت ، سرويسی كه بروي پورت فعال است را شناسايی كرده و به آن نفوذ كند.براي مقابله با پورت اسكن، همواره در راهكار هاي دفاعی پيشنهاد استفاده از فايروال در بستن پورت غيرضروري داده شده است. اينطوري ديگر امكان دسترسي به پورت نخواهد بود.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

اما خوب فرض كنيد كه شما يك سرويس بسيار مهم داريد و از يك فايروال استفاده كرده ايد تا در برابر آن محافظت كند .حالا يك هكر قصد نفوذ به شبكه شما را دارد. هكر ما نزم افرار nmap رو بر مي دارد و شبكه شما رو اسكن مي كند...طبق انتظار ، با توجه به نوع و زماني كه هكر ما صرف می كند موفق می شود پورت هاي باز هاست ما را شناسايی كند و حالا .... به نظر شما نقش ما به عنوان كارشناسان و طراحان دفاع سايبري در مقابله با پورت اسكن چيست ؟ براي جواب اين سوال نكات مهمی هست كه بايد به ان ها توجه ويژه كرد:

  1. اسكن شدن پورت ها در اينترنت يك امر بسيار عادي است كه نمی شود از ان اجتناب كرد.
  2. شناسايی شدن پورت هاي باز يك سيستم شايد در چرخه حملات بسيار اهميت دارد ، اما يادمان ياشد كه هاست ما بر روي اينترنت قرار دارد و پورت هاي از قابل دسترسی هستند ،پس شناسايی شدن ان بسيار هم عجيب نيست .
  3. در بسياري از موارد توان زيادي از تجهيزات تحليلی (مانند siem) و دفاعي ( مانند ips) گرفته می شود تا اين حملات به ترتیب شناسايی شده و يا بلاك شود. اما به ياد داشته باشيم كه در انتها يك نفوذگر با كمی زحمت بيشتر به هدف خود مي رسد
  4. در بسياري از گزارش هاي امنيتی ديده كه شده پورت اسكن به عنوان يك رخداد امنيتي در نظر گرفته شده و پيشنهاد بلاك كردن ادرس اسكنر داده مي شود. يادمان باشد كه اين امر دسترسي كل كاربرانی كه به سمت اينترنت از طريق اين ادرسNAT مي شوند را قطع می كند. به علاوه ، نفوذگران با تجربه ادرس IP خود را دائما عوض می كنند تا امكان شناسايی ، رديابی و يا بلاك كردن انها ميسر نباشد

پس با اين تكنيك در شبکه اینترنتی خود چه كنيم ؟؟؟

  1. در صورتی که از یک IP اینترنتی به صورت دائمی پورت اسکن شناسایی می شود آن را بلاک کنید.
  2. آدرس اسکنر را در Watch list قرار داهید و فعالیت های آن را زیر نظر قرار دهید. اما یادمان باشد، هکر های با تجربه آدرس های شبکه ای خود را عوض می کنند.

نظرات