Estoy usando pfsense como firewall, y me gustaría saber cómo puedo evitar que los escaneos de redes enumeren los servicios y puertos abiertos.
Dos respuestas a esta pregunta:
Existen servicios para conectarse. Si tiene un servicio, debe permitir que los clientes se conecten a él y, una vez que lo haga, estará abierto para ser "enumerado". No puede impedir que alguien intente un servicio para ver si responde porque necesita esa capacidad para que los clientes se conecten con usted.
... A menos que ofusque el puerto de servicio. El bloqueo de puertos le permite abrir un puerto de servicio a la IP de un cliente solo si la IP del cliente realizó ciertas acciones (por lo general, hace ping a ciertos números de puerto en una secuencia particular). Este no es un método 'seguro', pero oculta efectivamente un puerto de una 'enumeración' no autorizada. El problema con este esquema es que todos los clientes necesitan conocer la llamada secreta antes de que se les permita el acceso, lo que no es bueno para los servicios públicos.
Pero incluso con Port Knocking, las personas pueden intentar enumerar sus puertos, pero es posible que no obtengan los verdaderos puertos de los servicios.
No estoy seguro con pfsense, pero esto es posible con psad :
psad utiliza los mensajes de registro de Netfilter para detectar, alertar y (opcionalmente) bloquear las exploraciones de puertos y otro tráfico sospechoso. Para las exploraciones tcp, psad analiza las marcas tcp para determinar el tipo de exploración (syn, fin, xmas, etc.) y las correspondientes opciones de línea de comando que podrían suministrarse a nmap para generar dicha exploración. Además, psad utiliza muchas firmas tcp, udp e icmp contenidas en el sistema de detección de intrusiones Snort.
Lea otras preguntas en las etiquetas firewalls nmap ids network-scanners