¿Cómo maneja los escaneos de puertos masivos?

Los ignoro. Y si tiene una postura de seguridad razonable, también debería hacerlo.

Sus servidores no deben tener puertos abiertos al público en general que no sean los que utiliza para atender al público en general.

Por ejemplo, su servidor web debe tener puertos abiertos 80, 443 y tal vez 22; todo lo demás debe ser SSH-tunneled o VPN si no necesita conectarse a él, a menos que espere que nadie al azar en Internet utilice el servicio de escucha. Quizás desee volver a asignar SSH al puerto 222 o algo en el rango superior para evitar llenar sus registros de autenticación con inicios de sesión fallidos, y eso debería ser tan emocionante como sus servidores.

Si, en cambio, el escaneo de puertos está afectando a su pasarela de salida de corp, entonces el escaneo debería mostrar cero puertos abiertos, porque su pasarela de corp no es un servidor. Y usted, como un sabio administrador de TI, ejecuta todos sus servidores en cualquier otro lugar de Internet, no dentro de su red corporativa, por una serie de razones por las que no voy a entrar aquí.

Un escaneo de puerto debería revelar al atacante nada que no podrían adivinar razonablemente. Y si este no es el caso, entonces su problema no es el escaneo de puertos, sino los secretos públicos que intenta ocultar al bloquear los escaneados de puertos.

No creo en enumerar maldad. Si tiene una infraestructura en Internet, será escaneada todo el tiempo por numerosas direcciones IP.

Por ejemplo, creé una aplicación AWS que activa instancias puntuales, escanea bloques de IP de una lista y las desactiva una vez que los resultados se envían al servidor maestro. Si estuviera escaneando su rango diariamente, estaría bloqueando diferentes direcciones IP de AWS todos los días, ya que me asignan de forma aleatoria. Eso significa que puede bloquear algo legítimo en la línea cuando se les asigna una IP que utilicé.

Yo uso Snort o Suricata en pfSense para bloquear automáticamente las direcciones IP durante un período de tiempo.

Sophos UTM parece tener una funcionalidad similar.

Después de ver a alguien escaneando, generalmente hago un pequeño reconocimiento de quiénes son, si están en listas de bloqueo conocidas, generalmente ignoro y dejo que el firewall lo suelte (ASA). Si son una entidad desconocida, agregaré una regla para eliminar las conexiones con nuestro IPS desde esa IP. He usado suricata en el pasado y le daré un +1, ya que podría ayudar en una situación como esta, como se indica en el comentario anterior.

Escriba un programa que escuche en un puerto común como el puerto 21 o 25. Si alguien se conecta al programa, el programa se desconecta de ellos y luego agrega esa dirección IP al firewall para bloquearlos en todos los puertos.

También tengo un sitio web que solo dice Próximamente. Solo aparece si accede a mi servidor web directamente con la dirección IP, en lugar de usar un nombre de punto com. En esa página, agrego su dirección IP a la lista de prohibición de cortafuegos. También agrego su dirección IP a una tabla en una base de datos. Otros servidores comprueban en esa tabla las nuevas entradas y prohíben su dirección IP desde allí también.

Además, no muestro piedad. Las direcciones IP están prohibidas para siempre. En estos días, es probable que sea una dirección IP estática que pertenece a un gobierno extranjero. Tengo 260 direcciones IP hasta ahora.

Las personas / gobiernos tienen herramientas automatizadas para probar automáticamente cada agujero de seguridad que conocen. Necesita herramientas automatizadas para prohibir su dirección IP cuando se descubren por primera vez, en lugar de esperar que todas sus defensas sean del 100%. Si espera hasta el día siguiente para ver sus registros, buscará un día y encontrará que todos sus registros se han eliminado y hay una nueva carpeta allí con un programa que ni siquiera el administrador puede eliminar.

Si espera que su enrutador los detenga, debe leer acerca de cómo la CIA puede hackear su enrutador.