Port Knocking в Mikrotik Firewall Filter

Рет қаралды 9,832

Жыл бұрын

В данном видео мы поговорим про port knocking, что это и как настроить на tcp портах, какие нюансы есть при использовании icmp протокола и чем может помочь данная настройка в работе сетевого инженера.
Ссылка на статью mikrotik-training.ru/kb/port-...

Пікірлер: 49

@kot6897 Жыл бұрын

Роман, спасибо за знания. С вами, можно быть обладателем Микротика.

@MikrotikTraining Жыл бұрын

Главное чтобы он не был обладателем нас

@kot6897 Жыл бұрын

Давно хотел защитить winbox, теперь будет возможность. Скажу так, атаки на микротик мотивируют изучать сети и маленькую коробочку😝

@MikrotikTraining Жыл бұрын

Не полагаетесь на port knocking как на основную защиту - от человека по середине она не защитит. Лучше vpn.

@user-rm2im6wx2b Жыл бұрын

Спасибо, по вашим видео изучаю возможности RouterOS! Очень нравится формат, раньше смотрел по часу, но не всегда есть столько времени. 👍👍👍

@No_NameQ Жыл бұрын

Роман, можно так же видео про состояние пакетов? Спасибо! /Ваши часовые вебинары лучшие!

@MikrotikTraining Жыл бұрын

Добавили в план

@yuk1c Жыл бұрын

+++

@kirillyakunin759 Жыл бұрын

Как всегда на высоте все!

@user-vy4sf5fl3n Жыл бұрын

очень полезно !

@lCooLRusHl Жыл бұрын

Оч крутая тема.

@kot6897 Жыл бұрын

Я провел эксперимент: Настроил порты стучась на которые попадаешь в определенный адрес лист, так вышло поставил порты по возрастанию с рандомным интервалом(к примеру 50, 600, 1050). Далее запустил сканер портов и что ребята. У меня в адрес листе появились 2 списка. Считаю нужно подтюнить эту тему. Вы можете поиграться с рандомными числами чтобы интервал был по больше между цифрами портов, и чтобы 1,2,3 список не соответствовал порядку портов по возрастании. И еще сократив время работы в списке к минимуму больше шансов что не активизируется 2 список при скане портов на вашем устройстве.(время должно стоять такое чтобы вы успели попасть в след список). Софт кнокинг делает думаю это быстрее, поэтому активацию 1х двух списков можно привести к 3 секундам. Жду критику. Но бейте не сильно)))))))))))

@MikrotikTraining Жыл бұрын

Супер. Если освоите vpn - будет воообще хорошо.

@Vit38 Жыл бұрын

Раскройте, пожалуйста, в одном из следующих видео различия в синтаксисе на RouterOS v6 и на RouterOS v7. Переносили настройки с Mikrotik RB450G (v6.48.6) на RB5009UG+S+ (v7.0.5) и некоторые правила не отрабатывали.

@MikrotikTraining Жыл бұрын

Попробуем.

@picassos3017 5 ай бұрын

Как раз сейчас ищу материал по данной теме. Дело в том, что возникла необходимость подключать сотрудников удалённо. Но головная контора регулярно следит за открытыми портами на адресах подчиненных подразделений. Port Knocking - вроде то, что нужно. Но возникает вопрос - когда удалённый сотрудник достучался и соединился, получается порт открыт и контролирующее подразделение сразу обнаружит это?

@user-nm1wv5uf1g Жыл бұрын

Роман! Благодарю за Ваши видео. 2-3 летней давности, благодаря роликам Вашим, PORK KNOCK уже стандарт. Прошу подсказать, port knock клиент для Windows. Под android отрабатывает и TCP и UDP и ICMP, а WINDOWS программы не нашел, что бы ещё ICMP отрабатывало. У меня так 5 стуков в перемешку: TCP,UDPICMP на ANDROID, а под WONDOWS ICMP программа не знает, что это такое. Получается так: Программа на ПК отрабатывает порткнокинг на 4 пункта, а 5 стук уже командной строкой доганаю на WINDOWS. Бухгалтера косо смотрят. Прошу помочь. Благодарю.

@MikrotikTraining Жыл бұрын

Писать самому или bat, powershell. Главное помните этот подход не защищает от человека по середине - тк любую последовательность можно «подслушать»

@user-nm1wv5uf1g Жыл бұрын

@@MikrotikTraining Благодарю. У меня 2 этапа: С начало Pork Knock, а уже потом VPN. А на человек по середине тоже есть ловушки для информированности. Тоже благодаря Вам.

@MikrotikTraining Жыл бұрын

Паранойненько. Обычно хватает vpn)

@SWS-LINK Жыл бұрын

На телефоне (андройд) стоит программа Knock on Ports с разными стуками под разное железо и Mikrotik 1.3.27 - если в дороге надо что то подправить, то вполне рабочий комплект -)

@MikrotikTraining Жыл бұрын

Я в дороге vpn использую с телефона

@dyadya5746 5 ай бұрын

Правильно ли я понял, что при такой настройке порт 22 виден в инете постоянно, но доступ получают только те, кто прошелся по оговоренным портам? Или 22 порт закрыт и открывается только тогда, когда проходишь оговоренные порты?

@pitercruz8383 Жыл бұрын

Добрый день, Роман! Полагаю, что тема раскрыта не полностью. А именно, снимите вторую часть с произвольным порядком ввода портов для доступа к ресурсам.

@MikrotikTraining Жыл бұрын

А зачем? Смысл этих роликов не в том чтобы рассказывать все доступные варианты логики, которую может придумать кто угодно, а чтобы за короткий промежуток времени познакомить с тем что это такое. А дальше уже каждый может придумать свою последовательность.

@Kursk-gdRu Жыл бұрын

@@MikrotikTraining добрый день, все верно, админы должны включать логику, а то все будут делать по шаблону.

@ovanse Жыл бұрын

Роман, добрый день. А почему не поместить drop на вкладку raw, цепочку prerouting? Это вроде будет дешевле по ресурсам маршрутизатора. Поправьте если я не прав. Вроде и сам knocking можно сделать в raw. Это я по вашим же туториалам делал. Сейчас предпочтение поменялось?

@MikrotikTraining Жыл бұрын

Главное суть уловить в даном видео). В raw будет дешевле, если есть задача сэкономить) Тут мы разбирали в целом подход и раздел firewall

@user-uz9rh4sy9k Жыл бұрын

лучше делать в raw. так как в filter rules нужно ждать пока соединение от 1 knock закроется чтобы попасть в knock2, по крайней мере у меня было так.

@MikrotikTraining Жыл бұрын

Зависит от положения относительно established. В raw потребление ресурсов будет немного ниже.

@k1rundel Жыл бұрын

А можно это организовывать mangle? В данном примере неважно но вроде маркеры меньше нагружают процессор?

@MikrotikTraining Жыл бұрын

Можно и в mangle. Экономнее всего будет в raw

@user-ld5ib8ez3t Жыл бұрын

Подскажите, какую программу для Port knocking можно использовать на Mac os?

@MikrotikTraining Жыл бұрын

brew install knock

@UncleAndru Жыл бұрын

Можно создать скрипт который будет делать это автоматом, НО только когда стучишься на специальный (технический) порт. Админ стучится на специально заготовленный порт скрипт в свою очередь генерирует создает правило для Кнок со случайно сгенерированными портами и отправляет последовательность этих портов админу на почту

@MikrotikTraining Жыл бұрын

Можно, даже можно смс сделать. Вопрос только зачем.

@aleksbotler5358 Жыл бұрын

Номера портов для первых 2 простукиваний двузначные, а вот третье из четырех цифр. Наверное, чтобы Микротик не сгорел. 😀

@MikrotikTraining Жыл бұрын

Можете поставить любые доступные. Совершенно без разницы

@user-rd3lj4gn4s Жыл бұрын

Провайдер может резать длинну пакетов ping’a?

@MikrotikTraining Жыл бұрын

Как и вы) кто угодно может резать что угодно. Главный вопрос зачем. Если ваш вопрос относительно уменьшения mtu - это может происходить из-за уменьшения mtu на pppoe интерфейсе из-за дополнительной инкапсуляции.

@igogo5627 Жыл бұрын

получается если просканировать все порты то доступ откроется?)

@MikrotikTraining Жыл бұрын

В теории. Есть варианты на тему защиты от сканеров портов, есть варианты настройки с размером пакетов. Ну и в целом штука не на постоянное применение - я бы даже сказал оно для дома) Совершенно не защищает от человека посередине - прослушать можно всю последовательность.