Реализация Port Knocking на Mikrotik для защиты подключения к ресурсам

Рет қаралды 6,953

Күн бұрын

Ссылка на Putty с поддержкой Port Knocking putty.org.ru/d...
Приложение для Andriod для "простукивания" портов play.google.co...

Пікірлер: 26

@Welk555 4 жыл бұрын

У меня portknocking в продакшене работает. Работает с помощью пингов с разной длиной пакетов. В принципе, все настроено похоже. Только одна проблема - возможность утечки параметров пинга когда отдаешь командный файлик человеку, который будет подключаться. Слегка обезопасился, запаковав командный файлик в exe-шник. Чтобы и сам пользователь не видел как открывается замочек и посторонние не видели в явном виде, хотя, если перехватить поток трафика, легко можно будет понять. Поэтому главный способ подключения - с фиксированных IP или VPN. А так, у меня банятся не только те, кто пытается сканировать порты, но и те, кто просто стучится в любой стандартный порт, кроме разрешенных адрес-листов. Банятся на неделю и на разных узлах количество забаненных в реальном времени колеблется от 2 до 6 тысяч. Много любопытных всяких ...

@MrCrusayder 4 жыл бұрын

Доходчиво подробно доступно!

@DaveRylenkov Жыл бұрын

Провожу индивидуальные консультации по компьютерным сетям. Пишите мне в ВК

@user-rs3dd4jw3y 4 жыл бұрын

Не, ну это топ

@RevoltHQX 4 жыл бұрын

Актуально!

@Trev0rReznik 4 жыл бұрын

для порткнокинга можно использовать программу netcat

@user-rd3lj4gn4s Жыл бұрын

Вы сказали, что злоумышленник может заметить что мы стучимся... Но ведь когда мы стучимся - соединение не устанавливается (коннекшена не происходит), а значит и в логах у злоумышленника это отображаться не будет.

@krdtabak 4 жыл бұрын

как постучаться на такой микротик, если в качестве клиента выступает другой микротик? если в цепочке только tcp-порты, то наверное как-то через fetch можно подёргать порты, а если в цепочке есть udp?

@RevoltHQX 4 жыл бұрын

Давыд, есть предложение запилить ролик о двух провайдерах в микротик. Т.е. один канал+один резервный.

@DaveRylenkov 4 жыл бұрын

Попробую, как раз думал над этим, интереснее конечно схема когда оба провайдера работают одновременно, но это на порядок сложнее и не всегда можно корректно реализовать

@MrMX310 2 жыл бұрын

Правильно ли я понимаю, при таком конфиге, если просканировать порты в обратной последовательности, начиная от больших портов к меньшим, то SSH откроется. Т. к. Цепочка портов последовательная, и не предусмотрен бан за перебор

@user-zy3ve7lf1c 2 жыл бұрын

А как можно настроить Port Knocking на микротике, если он второй, а интернет получает от роутера МТС? Есть белый адрес, webserver на Apache работает, а knok-knok не получается... ничего не записывает в address-list

@user-hh7wx6yr8h 4 жыл бұрын

Подскажите пожалуйста, правильно ли я понимаю следующую последовательность действий Port Knocking для Winbox: 1) порт 8291 в IP-Services должен быть открыт (если у меня прописан здесь доступ только из внутр сетиэто ничего?) 2) Создать правила в Filter rules с использованием адресс-листов. А дальше как подключиться из удаленного ПК к микротику (на внешнем белом IP) - где указывать внешний IP с тремя наборами разных портов - в адресной строке барузера? в четвертый раз указать внешний адрес маршрутизатора и порт 8291? Просто не пойму, как реально открыть Winbox. И еще вопрос: как изменить доступ по стандартному 8291 на другой, нестандартный порт?.Спасибо

@DaveRylenkov 4 жыл бұрын

по поводу 1 пункта: если подключаетесь из интернета нужно чтобы был прописан доступ для всех ( в данном случае available from оставить пустым в ip-services для winbox в данной конфигурации) , порт winbox можно поменять там же в ip - services если 2 раза щелкнуть по нужно службе и изменить в настройках. По поводу подключения: если подключаетесь к winbox через интернет с ПК под windows то тут немного заморочено , нужно взять к примеру putty с поддержкой port knocking ( ссылка в описании к моему видео ), вводите ip адрес внешний вашего микротика, идете в раздел соединение, пишите в port knocking последовательность портов для открытия порта winbox, потом в putty нажимаете кнопку соединиться , перед коннектом к произвольной службе он прогоняет подключение к последовательности портов написанной , putty допустим пишет ошибку, вы параллельно открываете winbox на компе и подключаетесь к микротику. Под windows получаются такие вот заморочки, под linux проще. Если с телефона подключаться через мобильное приложение, то на телефон качается программа , например "Knock on Ports" перед подключением через приложение микротика, через нее "простукиваются" нужные порты в заданном порядке, затем уже подключаетесь через приложение микротика, как то так

@user-hh7wx6yr8h 4 жыл бұрын

@@DaveRylenkov Большое спасибо за ответ! Прошу уточнить некоторые моменты: после простукивания портов putty, в winbox указывать (на удаленном ПК из любой точки интернета) внешний адрес к которому подключен windox (н-р 192.192.192.192) или его внутренний (LAN 192.168.100.100) адрес? Если внешний адрес, то надо ли прописывать правило ip firewall nat add chain=dstnat protocol=tcp dst-port=8291 in-interface list=WAN action=dst-nat to-addresses=192.168.100.100 to-ports=8291? Спасибо

@DaveRylenkov 4 жыл бұрын

@@user-hh7wx6yr8h указываете внешний адрес, правило для Nat писать не надо

@user-hh7wx6yr8h 4 жыл бұрын

@@DaveRylenkov Спасибо

@znecdeem7932 Жыл бұрын

А если вот настроил port knocking, постучался у, установилось соединение,потом можно в течение этого часа (интервал на видео) подключится по winbox ,при условии,что порт тот же самый?

@mostrakt 4 жыл бұрын

Давыд, а что представляет ваша домашняя лаборатория? На чем экспериментируете?

@DaveRylenkov 4 жыл бұрын

Из свитчей - Cisco 2950 и D-link DGS-1100-08, из роуетров - Mikrotik hap lite и Keenetic Extra, сетевое хранилище Qnap D2 и несколько ноутбуков, на одном под Windows 10 в Virtualbox разворачиваю виртуалки ( Ubuntu server 18.04 , Kali linux 2019.4), ноут asus x50N - на нем просто стоит Windows 7.

@mostrakt 4 жыл бұрын

@@DaveRylenkov спасибо за ответ! У меня все тоже самое примерно, только нет циски. Сейчас на ebay буду покупать коммутаторы и роутеры от циско. Вчера заказал первый 2950))

@buzok512buz6 4 жыл бұрын

Здравствуйте. Подскажите пожалуйста, этим способом возможно делать настройки на микротике, ребут ИТП заходя из вне используя смартфон на Андроиде подключенный по мобильной сети. И какие программы нужны на сам смартфон что бы пользоваться андроидским винбоксом "Mikrotik" ?