جلوگیری از netscan در دیتاسنتر هتزنر

Network Scan چیست و راه های جلوگیری از آن 

 

نت اسکن

نت اسکن (Network Scan) به فرآیندی گفته می‌شود که در آن یک سیستم، تعداد زیادی IP یا پورت را بررسی می‌کند تا ببیند کدام سرویس‌ها باز هستند.ابزارهایی مانند Nmap و  Masscan برای این کار استفاده می‌شوند.

نت اسکن با اهدافی مانند شناسایی پورت‌های باز ، پیدا کردن سرویس‌های آسیب‌پذیر ، تست امنیت شبکه و جمع‌آوری اطلاعات برای حمله انجام میشود .

 

چرا نت اسکن مشکل‌ساز است؟

 

در دیتاسنترهایی مانند Hetzner، انجام نت اسکن روی اینترنت یا حتی شبکه داخلی، نقض قوانین استفاده (AUP) محسوب می‌شود. در صورت شناسایی نت اسکن ، هشدار Abuse ارسال و سرور موقتاً مسدود می‌شود . در صورت تکرار، حساب کاربری ممکن است به صورت دائم مسدود خواهد شد .

 

راه های تشخیص NetScan

 

سیستم‌های امنیتی دیتاسنتر رفتارهای زیر را تشخیص می‌دهند:

  • ارسال تعداد زیاد SYN به IPهای مختلف
  • اتصال کوتاه به پورت‌های یکسان روی چندین IP
  • بررسی پیاپی محدوده IP خاص
  • نرخ بالای اتصال در زمان کوتاه

حتی اگر اتصال کامل برقرار نشود، ارسال بسته‌های اولیه (SYN) برای شناسایی کافی و موجب مسدود شدن سرور خواهد شد .

 

راه های جلوگیری از نت اسکن

 

1. استفاده از فایروال خروجی (Outbound Firewall)

مهم‌ترین روش جلوگیری از نت اسکن، محدودسازی ترافیک خروجی است.

به جای باز گذاشتن کامل اینترنت، باید فقط پورت‌های مورد نیاز باز باشند.

 

نمونه تنظیم در Ubuntu:

[php]

iptables -P OUTPUT DROP

iptables -A OUTPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp –dport 80 -j ACCEPT

iptables -A OUTPUT -p tcp –dport 443 -j ACCEPT

iptables -A OUTPUT -p udp –dport 53 -j ACCEPT

[/php]

این تنظیمات باعث می‌شود فقط وب و DNS مجاز باشد و اسکن کل اینترنت غیرممکن شود .

 

 

مسدود کردن شبکه‌های داخلی

 

برای جلوگیری از اسکن شبکه‌های خصوصی:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16
  • 100.64.0.0/10
  • 169.254.0.0/16

نمونه قانون:

[php]

iptables -A OUTPUT -d 10.0.0.0/8 -j REJECT

iptables -A OUTPUT -d 172.16.0.0/12 -j REJECT

iptables -A OUTPUT -d 192.168.0.0/16 -j REJECT

[/php]

3. محدودسازی نرخ ارسال SYN

برای جلوگیری از ابزارهای سریع مانند Masscan:

[php]

iptables -A OUTPUT -p tcp –syn -m limit –limit 20/second –limit-burst 40 -j ACCEPT

iptables -A OUTPUT -p tcp –syn -j DROP

[/php]

این قانون از ارسال هزاران درخواست در ثانیه جلوگیری می‌کند.

 

4. استفاده از سیستم‌های تشخیص رفتار مخرب

ابزارهایی مانند CrowdSec  و Suricata می‌توانند رفتارهای مشکوک را شناسایی و متوقف کنند.

 

رعایت قوانین استفاده از سرویس

هر کاربر باید بداند:

  • انجام هرگونه Port Scan بدون مجوز مقصد غیرقانونی است .
  • تست امنیت فقط روی سیستم‌های متعلق به خود کاربر مجاز است .
  • مسئولیت کامل رفتار شبکه‌ای بر عهده دارنده سرور است .

جمع‌بندی

نت اسکن اگرچه ابزار رایج بررسی امنیت است، اما در محیط‌های ابری و دیتاسنترها بدون مجوز، تخلف محسوب می‌شود.

برای جلوگیری از این امر باید اقداماتی مانند فعالسازی فایروال خروجی ، مسدود کردن شبکه های خصوصی ، محدود کردن نرخ اتصال و استفاده از ابزار های تشخیص رفتار مخرب انجام دهید .

رعایت این موارد باعث می‌شود از دریافت اخطار Abuse و مسدود شدن سرور جلوگیری شود.