pfsenseでネットワークスキャンをブロックする方法
ファイアウォールとしてpfsenseを使用していますが、ネットワークスキャンで開いているサービスとポートが列挙されないようにする方法を教えてください。
この質問に対する2つの回答:
- できません
- ポートノッキング
接続するサービスが存在します。サービスがある場合は、クライアントがそのサービスに接続することを許可する必要があります。これを行うと、「列挙」できるようになります。クライアントがあなたに接続するためのその機能が必要なため、誰かがサービスを試してそれが応答するかどうかを確認することをブロックすることはできません。
...サービスポートを難読化しない限り。ポートノッキングを使用すると、クライアントIPが特定のアクション(通常、特定のシーケンスで特定のポート番号をpingする)を実行した場合にのみ、クライアントIPにサービスポートを開くことができます。これは「安全な」方法ではありませんが、許可されていない「列挙」からポートを効果的に隠します。このスキームの問題は、すべてのクライアントがアクセスを許可される前に秘密のノックを知る必要があることです。これは公共サービスには適していません。
しかし、Port Knockingを使用しても、人々はあなたのポートを列挙しようとすることができます、彼らはサービスの真のポートを取得しないかもしれません。
Pfsenseではわかりませんが、これは psad で可能です。
psadは、Netfilterログメッセージを使用して、ポートスキャンおよびその他の疑わしいトラフィックを検出、警告、および(オプションで)ブロックします。 tcpスキャンの場合、psadはtcpフラグを分析して、スキャンタイプ(syn、fin、xmasなど)と、そのようなスキャンを生成するためにnmapに提供できる対応するコマンドラインオプションを決定します。さらに、psadはSnort侵入検知システムに含まれている多くのtcp、udp、およびicmp署名を利用します。