roeggi
Goto Top

Portscan übers Internet Blockieren bei der Mikrotik

Hallo Zusammen

gibt es die Möglichkeit die Mikrotik so einzustellen dass Sie Portscanns von Aussen blockiert? Wenn ich mit dem Programm Zenmap die Öffentliche IP Abscanne kommen sehr viele Infos heraus die ich nicht gern Preisgebe.

Bin über einen Tip dankbar.

Content-Key: 392040

Url: https://administrator.de/contentid/392040

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: SlainteMhath
SlainteMhath 08.11.2018 um 11:02:36 Uhr
Goto Top
Moin,

darf ich fragen was das für "sensible" Infos sind?

lg,
Slainte

PS: 3 Sekunden Google Suche: https://wiki.mikrotik.com/wiki/Drop_port_scanners
Mitglied: Penny.Cilin
Penny.Cilin 08.11.2018 um 11:13:00 Uhr
Goto Top
Die IP-Adresse, Freigaben, usw.
Mitglied: NetzwerkDude
NetzwerkDude 08.11.2018 um 11:34:39 Uhr
Goto Top
Bedenke jedoch das Regeln gegen Portscans auch nicht alles abdecken können, sind Sie zu aggressiv, werden auch legitime Verbindungen geblockt, ergo false postiives. Sind Sie zu lasch, hast du keine Schutzwirkung.

Viele eingebaute "ein klick lösungen" von WAN Geräten sind in etwa auf das default Scanverhalten von nmap gepolt - jedoch lässt sich gerade nmap sehr feingranular einstellen das eben portscans als solche nicht erkannt werden.

Daher werden Firewallregeln nur gegen simpe Bots helfen, aber nicht gegen ausgefallene Ansätze die Ports zu scannen - was nicht heißt das du nichts machen solltest - war eher nur so eine Randnotiz zu dem Thema.
Mitglied: 137443
137443 08.11.2018 aktualisiert um 11:39:31 Uhr
Goto Top
kommen sehr viele Infos heraus die ich nicht gern Preisgebe.
Dann öffne nicht so viele Ports :-P.

p.s. Grausige Firewall Einstellungen hast du da, da kommt ja jeder Hinz rein face-smile.
Mitglied: roeggi
roeggi 08.11.2018 um 11:40:53 Uhr
Goto Top
Danke für den Link.

Ich habe nichts zu verstecken aber es sollte nicht gleich jeder sehen welche Ports Offen sind und vorallem was sich dahinter befindet.
Mitglied: 137443
137443 08.11.2018 aktualisiert um 11:46:04 Uhr
Goto Top
Zitat von @roeggi:
Ich habe nichts zu verstecken aber es sollte nicht gleich jeder sehen welche Ports Offen sind
Das wirst du nie ganz verhindern können, du befindest dich mit deinem Gerät im öffentlichen Raum.
und vorallem was sich dahinter befindet.
Dann nutze ein VPN!

Das was die Scanner anzeigen ist wohl bekannt hinter und unter welchen Ports sich per Default welche Anwendungen verbergen.

Willst du das nicht zieh das Netzwerkkabel oder mach deine Firewall dicht.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 08.11.2018 um 11:44:38 Uhr
Goto Top
Zitat von @roeggi:

Danke für den Link.

Ich habe nichts zu verstecken aber es sollte nicht gleich jeder sehen welche Ports Offen sind und vorallem was sich dahinter befindet.

Dann mach passende Firewall-Regeln. (oder nutze gleich ein VPN).

lks

PS. Wenn Ports offensind, sieht man die auch. Wenn Du Deine Haustür offenläßt, damit Deine Freunde rein können, kannst Du nicht verhindern daß Fremde reinkommen, wenn Du nicht eine Filter (auch Türsteher genannt) an die Tür stellst.
Mitglied: SlainteMhath
SlainteMhath 08.11.2018 um 12:09:29 Uhr
Goto Top
Ich habe nichts zu verstecken aber es sollte nicht gleich jeder sehen welche Ports Offen sind und vorallem was sich dahinter befindet.
Dann bleibt dir nur VPN. Oder mach die Ports zu face-smile

Selbst wenn die FW die offensichtlichen Portscans blockt... wie willst du dich gegen "slow-scans" mit einem Port pro Stunde/Tag/Woche "verteidigen"? Security by Obscurity hat noch nie funktioniert!

Also: Freigegebene Dienste zeitnah patchen, nur vetschlüsselte Protokolle einsetzen und wenn dir selbst das nicht ausreicht, dann VPN
Mitglied: aqui
aqui 08.11.2018 aktualisiert um 15:01:16 Uhr
Goto Top
Außer
https://wiki.mikrotik.com/wiki/Drop_port_scanners
hilft auch noch
https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
https://mum.mikrotik.com/presentations/KH17/presentation_4162_1493374113 ...
https://www.manitonetworks.com/networking/2017/7/25/mikrotik-router-hard ...
usw.
zum Härten des WAN / Internet Interfaces.
VPN ist natürlich wie immer ein Muss wenn man nicht interne Komponenten permanent für die Öffentlichkeit exponieren muss im Internet !