Comment gérez-vous les analyses de port massives?
Ce matin, je regardais les journaux du pare-feu et j'ai vu qu'il y avait environ 500 paquets marqués comme scan de port. La plage de balayage était de 1000-1200 5000-5200. L'adresse IP est 85.25.217.47 qui semble être quelque part en Allemagne. Et ces gars-là analysent régulièrement nos ports en continu.
Les paquets ont tous été abandonnés par le pare-feu (un Sophos SG125). Ce que je fais normalement, c'est que j'ajoute simplement la plage IP à notre liste de blocage, donc la prochaine fois, il les supprimera simplement selon une règle spécifique.
Comment gérez-vous les attaques de scan de port?
Je les ignore. Et si vous avez une posture de sécurité raisonnable, vous devriez aussi.
Vos serveurs ne devraient pas avoir de ports ouverts au grand public autres que ceux que vous utilisez pour servir le grand public.
Par exemple, votre serveur Web doit avoir le port ouvert 80, 443 et peut-être 22; tout le reste doit être tunnelé par SSH ou VPN autrement si vous devez vous y connecter, à moins que vous ne vous attendiez à ce que des noeuds aléatoires sur Internet utilisent le service d'écoute. Vous voudrez peut-être remapper SSH au port 222 ou à quelque chose dans la plage supérieure pour éviter de remplir vos journaux d'authentification avec des échecs de connexion, et cela devrait être aussi excitant que vos serveurs.
Si, à la place, l'analyse de port frappe votre passerelle corp sortante, l'analyse doit montrer zéro ports ouverts, car votre passerelle corp n'est pas un serveur. Et vous, comme un administrateur informatique avisé, exécutez tous vos serveurs ailleurs sur Internet, pas à l'intérieur de votre réseau d'entreprise, pour toute une série de raisons que je n'entrerai pas ici.
Une analyse de port ne devrait révéler à l'attaquant rien qu'il ne pouvait raisonnablement deviner. Et si ce n'est pas le cas, votre problème n'est pas l'analyse de port, mais les secrets publics que vous essayez de cacher en bloquant les analyses de port.
Je ne crois pas à énumérer la méchanceté. Si vous avez une infrastructure sur Internet, elle sera analysée en permanence par de nombreuses adresses IP.
Par exemple, j'ai créé une application AWS qui active des instances ponctuelles, analyse des blocs d'adresses IP à partir d'une liste et les désactive une fois les résultats envoyés au serveur maître. Si je scannais votre plage quotidiennement, vous bloqueriez chaque jour différentes IP AWS, car je les ai assignées au hasard. Cela signifie que vous pouvez bloquer quelque chose de légitime sur la ligne lorsqu'ils se voient attribuer une IP que j'ai utilisée.
J'utilise Snort ou Suricata on pfSense pour bloquer automatiquement les adresses IP pendant une période de temps.
Sophos UTM semble avoir des fonctionnalités similaires.
Après avoir vu quelqu'un scanner, je fais généralement une petite reconnaissance sur qui ils sont, s'ils sont sur des listes de blocage connues, j'ignore généralement et laisse le pare-feu le supprimer (ASA). S'ils sont une entité inconnue, j'ajouterai une règle pour supprimer les connexions avec notre IPS de cette IP. J'ai utilisé Suricata dans le passé et je donnerai un +1 car cela pourrait aider à une situation comme celle-ci, comme indiqué ci-dessus.