Portscan übers Internet Blockieren bei der Mikrotik
Hallo Zusammen
gibt es die Möglichkeit die Mikrotik so einzustellen dass Sie Portscanns von Aussen blockiert? Wenn ich mit dem Programm Zenmap die Öffentliche IP Abscanne kommen sehr viele Infos heraus die ich nicht gern Preisgebe.
Bin über einen Tip dankbar.
gibt es die Möglichkeit die Mikrotik so einzustellen dass Sie Portscanns von Aussen blockiert? Wenn ich mit dem Programm Zenmap die Öffentliche IP Abscanne kommen sehr viele Infos heraus die ich nicht gern Preisgebe.
Bin über einen Tip dankbar.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 392040
Url: https://administrator.de/forum/portscan-uebers-internet-blockieren-bei-der-mikrotik-392040.html
Ausgedruckt am: 23.12.2024 um 00:12 Uhr
9 Kommentare
Neuester Kommentar
Moin,
darf ich fragen was das für "sensible" Infos sind?
lg,
Slainte
PS: 3 Sekunden Google Suche: https://wiki.mikrotik.com/wiki/Drop_port_scanners
darf ich fragen was das für "sensible" Infos sind?
lg,
Slainte
PS: 3 Sekunden Google Suche: https://wiki.mikrotik.com/wiki/Drop_port_scanners
Bedenke jedoch das Regeln gegen Portscans auch nicht alles abdecken können, sind Sie zu aggressiv, werden auch legitime Verbindungen geblockt, ergo false postiives. Sind Sie zu lasch, hast du keine Schutzwirkung.
Viele eingebaute "ein klick lösungen" von WAN Geräten sind in etwa auf das default Scanverhalten von nmap gepolt - jedoch lässt sich gerade nmap sehr feingranular einstellen das eben portscans als solche nicht erkannt werden.
Daher werden Firewallregeln nur gegen simpe Bots helfen, aber nicht gegen ausgefallene Ansätze die Ports zu scannen - was nicht heißt das du nichts machen solltest - war eher nur so eine Randnotiz zu dem Thema.
Viele eingebaute "ein klick lösungen" von WAN Geräten sind in etwa auf das default Scanverhalten von nmap gepolt - jedoch lässt sich gerade nmap sehr feingranular einstellen das eben portscans als solche nicht erkannt werden.
Daher werden Firewallregeln nur gegen simpe Bots helfen, aber nicht gegen ausgefallene Ansätze die Ports zu scannen - was nicht heißt das du nichts machen solltest - war eher nur so eine Randnotiz zu dem Thema.
kommen sehr viele Infos heraus die ich nicht gern Preisgebe.
Dann öffne nicht so viele Ports :-P.p.s. Grausige Firewall Einstellungen hast du da, da kommt ja jeder Hinz rein .
Zitat von @roeggi:
Ich habe nichts zu verstecken aber es sollte nicht gleich jeder sehen welche Ports Offen sind
Das wirst du nie ganz verhindern können, du befindest dich mit deinem Gerät im öffentlichen Raum.Ich habe nichts zu verstecken aber es sollte nicht gleich jeder sehen welche Ports Offen sind
und vorallem was sich dahinter befindet.
Dann nutze ein VPN!Das was die Scanner anzeigen ist wohl bekannt hinter und unter welchen Ports sich per Default welche Anwendungen verbergen.
Willst du das nicht zieh das Netzwerkkabel oder mach deine Firewall dicht.
Zitat von @roeggi:
Danke für den Link.
Ich habe nichts zu verstecken aber es sollte nicht gleich jeder sehen welche Ports Offen sind und vorallem was sich dahinter befindet.
Danke für den Link.
Ich habe nichts zu verstecken aber es sollte nicht gleich jeder sehen welche Ports Offen sind und vorallem was sich dahinter befindet.
Dann mach passende Firewall-Regeln. (oder nutze gleich ein VPN).
lks
PS. Wenn Ports offensind, sieht man die auch. Wenn Du Deine Haustür offenläßt, damit Deine Freunde rein können, kannst Du nicht verhindern daß Fremde reinkommen, wenn Du nicht eine Filter (auch Türsteher genannt) an die Tür stellst.
Ich habe nichts zu verstecken aber es sollte nicht gleich jeder sehen welche Ports Offen sind und vorallem was sich dahinter befindet.
Dann bleibt dir nur VPN. Oder mach die Ports zu Selbst wenn die FW die offensichtlichen Portscans blockt... wie willst du dich gegen "slow-scans" mit einem Port pro Stunde/Tag/Woche "verteidigen"? Security by Obscurity hat noch nie funktioniert!
Also: Freigegebene Dienste zeitnah patchen, nur vetschlüsselte Protokolle einsetzen und wenn dir selbst das nicht ausreicht, dann VPN
Außer
https://wiki.mikrotik.com/wiki/Drop_port_scanners
hilft auch noch
https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
https://mum.mikrotik.com/presentations/KH17/presentation_4162_1493374113 ...
https://www.manitonetworks.com/networking/2017/7/25/mikrotik-router-hard ...
usw.
zum Härten des WAN / Internet Interfaces.
VPN ist natürlich wie immer ein Muss wenn man nicht interne Komponenten permanent für die Öffentlichkeit exponieren muss im Internet !
https://wiki.mikrotik.com/wiki/Drop_port_scanners
hilft auch noch
https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
https://mum.mikrotik.com/presentations/KH17/presentation_4162_1493374113 ...
https://www.manitonetworks.com/networking/2017/7/25/mikrotik-router-hard ...
usw.
zum Härten des WAN / Internet Interfaces.
VPN ist natürlich wie immer ein Muss wenn man nicht interne Komponenten permanent für die Öffentlichkeit exponieren muss im Internet !