ポートスキャン対策 – CentOS 7 firewalld

Facebooktwittermail

nmapなどのポートスキャンにより開放ポートを調査されて脆弱性攻撃されないようにする方法は無いものかと調べてみました。

検証サーバ
CentOS Linux release 7.2.1511 (Core)
3.10.0-327.36.1.el7.x86_64

参考サイト
フルポートスキャンから開放ポートを隠す方法
http://d.hatena.ne.jp/yasulib/20150302/1425282464

ダイレクトルールを使ったFirewallの強化
http://www.yam-web.net/centos7/direct-rule/index.html

CentOS 7では標準のFirewallはiptables, ip6tablesからfirewalldに変更になっています。

今回は参考サイトのようにダイレクトルール(firewall-cmd --direct)で設定してみました。

  1. ルールの確認
  2. デフォルトの状態です。

  3. nmapによるポートスキャン
  4. ssh(22)ポートが開放されています。

  5. ポートスキャン対策ルール追加
  6. limitモジュールを使用して1秒間にSYNパケットが5以上連続するとログに書き出して以降はSYNパケットをドロップします。

  7. ルールの再読込
  8. ルールの確認
  9. nmapでポートスキャン
  10. ssh(22)ポート見えなくなっています。

    ログ(/var/log/message)にドロップログが記録されます。

    ただ実際はポートを直接指定されると発見されてしまいました。バージョンも確認できます。

さらにsshdのデフォルトポート22を他のポートで起動することでかなり有効かもしれません。

Leave a Reply