Acerca de Escaneos de Puerto y Dirección IP
Los atacantes suelen buscar puertos abiertos como puntos de partida para iniciar ataques de red. Un escaneo de puerto es tráfico TCP o UDP que se envía a una serie de puertos. Esos puertos pueden estar en secuencia o ser aleatorios, de 0 a 65535. Un sondeo de IP es tráfico TCP o UDP que se envía a una serie de direcciones de red. Los escaneos de puerto examinan un equipo para encontrar los servicios que usa. Los escaneos de dirección IP examinan una red para ver cuáles dispositivos de red están en aquella red.
Para más información sobre los puertos, consulte Acerca de Puertos.
Cómo identifica Firebox los Escaneos de Red
Se identifica un escaneo de espacio de dirección IP cuando un equipo envía un número especificado de paquetes a direcciones IP diferentes asignadas a una interfaz de Firebox. Para identificar un escaneo de puerto, su Firebox cuenta el número de paquetes enviados desde una dirección IP hacia cualquier dirección IP de interfaz de Firebox. Las direcciones pueden incluir las direcciones IP principales y cualquier dirección IP secundaria configurada en la interfaz. Si el número de paquetes enviados a las direcciones IP diferentes o destination ports en un segundo es superior al número seleccionado, la dirección IP de origen es agregada a la lista de Sitios Bloqueados.
Cuando se seleccionan las casillas de selección Bloquear Escaneo de Puerto, Bloquear Escaneo de IP o Bloquear automáticamente IP de origen de paquetes externos no manejados, el Firebox examina todo el tráfico entrante . No puede deshabilitar estas funciones para direcciones IP específicas, interfaces de Firebox específicas, o períodos de tiempo diferentes.
Para Proteger contra el Escaneo de Puerto y Escaneos de Dirección IP
La configuración predeterminada del Firebox bloquea escaneos de red. Puede cambiar las configuraciones para esta función y cambiar el número máximo permitido de escaneos de puerto por segundo para cada dirección IP de origen (el valor predeterminado es 10).
Para bloquear atacantes más rápidamente, puede definir el umbral para el número máximo permitido de escaneos de dirección o puerto por segundo en un valor más bajo. Sin embargo, si establece el número demasiado bajo, el Firebox podría identificar el tráfico de red legítimo como un ataque y denegar el tráfico. Es menos probable que bloquee tráfico legítimo de red si usa un número más alto, pero el dispositivo Firebox debe enviar paquetes de reinicio de TCP para cada conexión que suprime. Esto consume ancho de banda y recursos en el dispositivo Firebox y provee información al atacante acerca de su firewall.
- Seleccione Firewall > Administración Predeterminada de Paquetes.
Aparece la página Administración de Paquetes Predeterminada.
- Seleccione o desmarque las casillas de selección Bloquear Escaneo de Puerto y Bloquear Escaneo de IP.
- Ingrese el número máximo de escaneos de dirección o puerto permitidos por segundo desde la misma dirección IP. El valor predeterminado para cada uno es de 10 por segundo. Eso significa que el origen es bloqueado si establece conexiones a 10 puertos o hosts diferentes en un segundo.
- Haga clic en Guardar.
Para proteger contra sondeos de puerto de red, desde Policy Manager:
- Haga clic en
.
O bien seleccione Configuración > Default Threat Protection > Administración Predeterminada de Paquetes.
Aparece el cuadro de diálogo Administración de paquetes predeterminada.
- Marque o desmarque las casillas de selección Bloquear Escaneo de Puerto y Bloquear Escaneo de IP.
- Haga clic en las flechas para seleccionar el número máximo de escaneos de puerto permitidos por segundo desde la misma dirección IP. El valor predeterminado para cada uno es de 10 por segundo. Eso significa que el origen es bloqueado si establece conexiones a 10 puertos o hosts diferentes en un segundo.
- Haga clic en Aceptar.
Ver También
Acerca de las Opciones de Administración de Paquetes Predeterminada