Как предотвратить атаки сканирования портов?

Порт - это конечная точка связи, которая обеспечивает передачу данных между двумя устройствами или приложением и устройством. Если порт открыт, он используется для определенной службы или приложения и активно прослушивает запросы, отправляемые этому приложению. Если приложения, использующие открытые порты, не имеют надлежащих исправлений, эти порты могут быть использованы злоумышленниками для запуска атак. Сканирование портов - это метод, используемый для обнаружения открытых портов в сети. Сканирование портов позволяет выявить открытые порты в сети и сетевые устройства безопасности, такие как межсетевые экраны, развернутые между отправителем и получателем.

Обычно сканирование портов сети выполняется во время тестирования на проникновение для оценки уровня безопасности сети. Однако киберпреступники также используют этот метод для выявления уязвимых портов в сети и оценки сетевой безопасности цели. В исполнении киберпреступников это называется атакой сканирования портов.

Как происходит атака сканирования портов?

Злоумышленник пытается подключиться к целевому хосту, взаимодействуя со всеми 65536 доступными системными портами. Межсетевые экраны реагируют на эту атаку одним из трех способов в зависимости от статуса порта:

• Если порт открыт, он перенаправляет трафик на определенный хост.
• Если порт закрыт, трафик не перенаправляется. Однако межсетевой экран отвечает уведомлением «Отклонено».
• Если порт заблокирован межсетевым экраном, он не ответит на запрос.

Таким образом, даже если определенный порт закрыт, злоумышленник узнает об устройстве, находящемся за этим портом. Успешное подключение через открытый порт позволит злоумышленникам проникнуть в сеть.

Сканирование портов обычно осуществляется в двух режимах: стробоскопическом и скрытом.

Когда злоумышленник сканирует только несколько портов, скажем, менее 20 портов, за определенный промежуток времени, это называется стробоскопическим режимом сканирования портов. С другой стороны, когда злоумышленник прослушивает порт в течение длительного времени, скажем, одного месяца, и постепенно выполняет сканирование портов, это называется скрытым режимом. В обоих режимах злоумышленник остается незамеченным. Однако сканирование портов в скрытом режиме сравнительно сложно обнаружить, поскольку злоумышленники могут установить соединение с приложением, минуя процесс установления связи.

Как предотвратить атаку сканирования портов?

• Выполните сканирование портов до того, как это сделают злоумышленники. Первым шагом в предотвращении проникновения злоумышленников в сеть с помощью сканирования портов является самостоятельное частое выполнение сканирования портов для выявления уязвимых портов и их блокировки.
• Разверните адаптивные межсетевые экраны. Вы не можете заблокировать все порты из-за правил поведения TCP/IP для брандмауэров. Более того, блокировка всех портов заблокирует необходимую для вашего бизнеса связь. Поэтому мы рекомендуем использовать адаптивный межсетевой экран, который блокирует порты только в том случае, если вредоносный IP-адрес пытается его просканировать.
• Настройте пустые хосты или ловушки. Другой способ - перенаправить вредоносные запросы на ловушки. Когда злоумышленники выполняют сканирование портов, вы можете настроить брандмауэр на перенаправление открытых портов на "пустой хост" или "ловушки". Реализация этого обманного защитного механизма требует больших усилий по настройке, но он очень эффективен.

Краткий совет.

Даже если вы развернули адаптивные межсетевые экраны и настроили ловушки, вам все равно придется проводить анализ источника вредоносного трафика. Таким образом вы сможете заблокировать эти IP-адреса на уровне межсетевого экрана и уменьшить масштаб и влияние атаки.

Какую пользу приносит использование решения по управлению журналами?

EventLog Analyzer - это комплексное решение для управления журналами, которое поможет составить подробный отчет обо всех попытках сканирования портов, а также сообщит в режиме реального времени о ходе сканирования портов с помощью своей системы реагирования на события в режиме реального времени. Узнайте, как это решение помогает бороться с атаками сканирования портов.

Что дальше?