Bloquear scaneamento

1. Bloquear scaneamento

Leoeu
leojb

(usa Ubuntu)

Enviado em 10/05/2024 - 11:00h

Bom dia gente...

Resolvi usar um NMAP em um IP de um firewall fisico da Sophos e ele não me retornou nada, entao fiquei com a seguinte pergunta:

Consigo fazer alguma configuração (pode ser por iptables ou algum programa) q impeça q programas de escaneamento como o NMAP analisem o meu servidor de firewall linux?




  


2. Re: Bloquear scaneamento

aguamole
aguamole

(usa KUbuntu)

Enviado em 10/05/2024 - 11:49h


leojb escreveu:

Bom dia gente...

Resolvi usar um NMAP em um IP de um firewall fisico da Sophos e ele não me retornou nada, entao fiquei com a seguinte pergunta:

Consigo fazer alguma configuração (pode ser por iptables ou algum programa) q impeça q programas de escaneamento como o NMAP analisem o meu servidor de firewall linux?


esses programas escaneiam as portas abertas no computador alvo, se o firewall fechar todas as portas não tem como eles achar porta aberta né.


3. Re: Bloquear scaneamento

Leoeu
leojb

(usa Ubuntu)

Enviado em 10/05/2024 - 12:55h


esses programas escaneiam as portas abertas no computador alvo, se o firewall fechar todas as portas não tem como eles achar porta aberta né.


Muito obrigado por responder...

No Firewall fisico da Sophos tem muito mais portas abertas do que no Servidor LInux.....mas msm assim o NMAP não encontrou!!!


5. Re: Bloquear scaneamento

leandro peçanha scardua
leandropscardua

(usa Ubuntu)

Enviado em 10/05/2024 - 13:34h


leojb escreveu:


esses programas escaneiam as portas abertas no computador alvo, se o firewall fechar todas as portas não tem como eles achar porta aberta né.


Muito obrigado por responder...

No Firewall fisico da Sophos tem muito mais portas abertas do que no Servidor LInux.....mas msm assim o NMAP não encontrou!!!

Se não me engano o comportamento padrão do nmap não é escanear todas as 65 mil e tantas portas. Para isso vc tem de passar o range pela linha de comando.



6. Re: Bloquear scaneamento

Leoeu
leojb

(usa Ubuntu)

Enviado em 10/05/2024 - 13:36h

Muito obrigado por responder amarildosertorio

Isso, eh algo desse tipo que eu gostaria de instalar em um Servidor Linux, conhece alguma regra ou programa que seja eficaz tanto quanto essa da Sophos?


7. Re: Bloquear scaneamento

Amarildo Sertorio dos Santos
amarildosertorio

(usa Fedora)

Enviado em 10/05/2024 - 13:38h

O elemento precisa ser UTM. O bloqueio deve ser baseado no comportamento.


8. Re: Bloquear scaneamento

Leoeu
leojb

(usa Ubuntu)

Enviado em 10/05/2024 - 13:41h



Se não me engano o comportamento padrão do nmap não é escanear todas as 65 mil e tantas portas. Para isso vc tem de passar o range pela linha de comando.


Sim....eu fiz o teste com as portas 80-65000



9. Re: Bloquear scaneamento

Leoeu
leojb

(usa Ubuntu)

Enviado em 10/05/2024 - 13:42h


O elemento precisa ser UTM. O bloqueio deve ser baseado no comportamento.


Algum programa que vc recomenda contra o NMAP?


10. Re: Bloquear scaneamento

Amarildo Sertorio dos Santos
amarildosertorio

(usa Fedora)

Enviado em 10/05/2024 - 13:44h


leojb escreveu:

Muito obrigado por responder amarildosertorio

Isso, eh algo desse tipo que eu gostaria de instalar em um Servidor Linux, conhece alguma regra ou programa que seja eficaz tanto quanto essa da Sophos?


Eu sou um grande fã do Wazuh. Você pode usá-lo para detectar portscans e automatizar o bloqueio no firewall. No entanto, se o firewall for UTM, você pode integrar essa funcionalidade diretamente nele.




11. Re: Bloquear scaneamento

Amarildo Sertorio dos Santos
amarildosertorio

(usa Fedora)

Enviado em 10/05/2024 - 14:12h

O Wazuh é uma plataforma de segurança cibernética de código aberto que oferece detecção de ameaças, monitoramento de integridade e resposta a incidentes em tempo real. Ele integra várias ferramentas de segurança, como detecção de intrusões, análise de logs, integridade do sistema e gerenciamento de conformidade, em uma única solução.



12. Re: Bloquear scaneamento

Amarildo Sertorio dos Santos
amarildosertorio

(usa Fedora)

Enviado em 10/05/2024 - 15:57h

leojb escreveu:

Muito obrigado por responder amarildosertorio

Isso, eh algo desse tipo que eu gostaria de instalar em um Servidor Linux, conhece alguma regra ou programa que seja eficaz tanto quanto essa da Sophos?


Seus servidores Linux não estão atrás desse firewall Sophos? Se você está executando o scan dentro do mesmo seguimento então não passa pelo Firewall, né?!

Vi você mencionando o iptables.

O iptables e um IDS (Intrusion Detection System) são duas ferramentas diferentes, com finalidades distintas, mas complementares em uma estratégia de segurança de rede.

O iptables é usado para definir regras de filtragem de pacotes de rede, permitindo ou bloqueando o tráfego com base em várias condições, como endereço IP de origem, destino, porta, protocolo, entre outros.

Um IDS é uma ferramenta que monitora e analisa o tráfego de rede ou atividades do sistema em busca de possíveis intrusões ou atividades maliciosas. Ele pode detectar ataques ou comportamentos anômalos, como varreduras de portas, tentativas de login suspeitas, tráfego de malware, entre outros.

Um IDS é mais reativo do que o iptables, identificando e alertando sobre possíveis ameaças, mas geralmente não toma medidas diretamente para bloquear o tráfego.



01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts