روشهای جلوگیری از پورت اسکن Port Scan
احتمالا شما فرآیند Port Scan و اطلاعاتی که می تواند در اختیار مهاجمین قرار بدهد را می شناسید و به عنوان یک IT Man می خواهید بدانید که چه کاری می توانیم انجام بدهیم تا Port Scan نشویم!
قطعا یک راهکار جامع و کامل برای جلوگیری از Port Scan شدن وجود ندارد و هنوز روش قطعی برای اینکار معرفی نشده است تنها روشهایی که عنوان می شود احتمال بروز Port Scan های ساده بر روی سیستم های شما را کاهش می دهد. اگر بخواهیم رک صحبت کنیم وقتی شما یک فایروال Statefull با قابلیت های IDS و IPS و نوشتن Rule های پیشرفته نداشته باشید که بخواهید ترافیک ورودی به سیستم را تجزیه و تحلیل کنید تقریبا کار خاصی در برابر پورت اسکن شدن نمی توانید انجام بدهید مگر اینکه امنیت پورت ها و سرویس های خودتان را بیشتر کنید.
امروزه دادگاه های مختص جرائم رایانه ای در دنیا خود فرآیند Port Scan ای که به آدرس های معمول اینترنتی (غیر از آدرس های IP دولتی و ممنوعه) انجام می شود را به عنوان جرم تلقی نمی کنند. در واقع Port Scan به تنهایی نیز چندان جرم محسوب نمی شود مگر اینکه از آسیب پذیری که در آن پورت وجود دارد سوء استفاده و به سیستم مورد نظر حمله شود. اما سوال اصلی ما این است که چگونه اطلاعات کمتری در اختیار مهاجم قرار بدهیم؟
یکی از مهمترین و مرسوم ترین روش هایی که برای محدود سازی اعلام اطلاعات توسط سیستم هدف انجام می شود بستن سرویس ها و پورت های غیر ضروری در سرور مورد نظر است، در واقع فرآیندی که ما آن را معمولا به عنوان OS Hardening یاFirewall Hardening می شناسیم در اینجا می تواند به ما کمک کند. در واقع زمانیکه شما یک وب سرور دارید از بیرون فقط باید پورت http و پورت https باز باشد و ننه چیز اضافه ای، مگر اینکه سرویس اضافه ای ارائه می دهید. در سیستم عامل های خانواده Linux و Unix ساده ترین راهکاری که می توانید با استفاده از آن پورت ها و سرویس های غیر ضروری را از دیده شدن بصورت عمومی محافظت کنید ویرایش کردن فایل /etc/inetd.conf است.
همچنین شما می توانید با ویرایش فایل /etc/init.d به همراه تغییر runlevel ای که برای سیستم شما مناسب است کمی امنیت خودتان را بالاتر ببرید. تمامی سرویس های غیر ضروری و نرم افزارهای غیر ضروری را از روی سیستم عامل حذف کنید. همچنین در خانواده لینوکس مطمئن بشوید که سیستم عامل شما در حالت گرافیکی یا X11 سرویسی ارائه نکند. در واقع یکی از آسیب پذیری هایی که حالت X11 در اینگونه سیستم عامل ها دارد این است که سرویس های خودش را بدون توجه به اینکه شما login شده اید یا خیر broadcast می کند.
در سیستم عامل های خانواده ویندوز نیز سعی کنید از قسمت Windows Firewall تنها ترافیک پورت های مجاز بر روی سیستم را در حالت Inbound بصورت Allow قرار بدهید و باقی ترافیک را Block کنید. از طرفی از قسمت Roles and Features در ویندوز های سرور و کلاینت می توانید سرویس های غیر ضروری را غیرفعال یا حذف کنید. استفاده از ابزاری به نام Security Configuration Manager نیز در چنین حالتی توصیه می شود.
بصورت کلی اگر می خواهید کمی در مقابل فرآیند های Port Scanning امنیت داشته باشید موارد زیر را رعایت کنید:
- از فایروال های سخت افزاری با ماژول های IDS و IPS و همچنین به روز استفاده کنید.
- همیشه Firmware فایروال خود را به آخرین نسخه بسته های بروز رسانی مجهز کنید.
- سرویس ها و پورت های غیر ضروری را بر روی فایروال سیستم عامل خودتان غیرفعال کنید.
- آخرین بسته های بروز رسانی سیستم عامل را نصب کنید.
- از سیستم های تشخیص و جلوگیری از نفوذ استفاده کنید.
- مطمئن بشوید که در روترهای شما Source Routing و مکانیزم های مقابله با جعل IP درست پیاده سازی شده است.
- خودتان مرتب خودتان را با روشهای مختلف تست و اسکن کنید.
اینها تنها احتمالات هستند و شما هیچوقت نمی توانید بصورت قطعی و تضمینی جلوی پورت اسکن را بگیرید.