Реализация Port Knocking на Mikrotik для защиты подключения к ресурсам
ฝัง
- เผยแพร่เมื่อ 3 ธ.ค. 2024
- Ссылка на Putty с поддержкой Port Knocking putty.org.ru/d...
Приложение для Andriod для "простукивания" портов play.google.co... - วิทยาศาสตร์และเทคโนโลยี
У меня portknocking в продакшене работает. Работает с помощью пингов с разной длиной пакетов.
В принципе, все настроено похоже. Только одна проблема - возможность утечки параметров пинга когда отдаешь командный файлик человеку, который будет подключаться. Слегка обезопасился, запаковав командный файлик в exe-шник. Чтобы и сам пользователь не видел как открывается замочек и посторонние не видели в явном виде, хотя, если перехватить поток трафика, легко можно будет понять. Поэтому главный способ подключения - с фиксированных IP или VPN. А так, у меня банятся не только те, кто пытается сканировать порты, но и те, кто просто стучится в любой стандартный порт, кроме разрешенных адрес-листов. Банятся на неделю и на разных узлах количество забаненных в реальном времени колеблется от 2 до 6 тысяч. Много любопытных всяких ...
Провожу индивидуальные консультации по компьютерным сетям. Пишите мне в ВК
Доходчиво подробно доступно!
Актуально!
как постучаться на такой микротик, если в качестве клиента выступает другой микротик? если в цепочке только tcp-порты, то наверное как-то через fetch можно подёргать порты, а если в цепочке есть udp?
для порткнокинга можно использовать программу netcat
Не, ну это топ
Вы сказали, что злоумышленник может заметить что мы стучимся... Но ведь когда мы стучимся - соединение не устанавливается (коннекшена не происходит), а значит и в логах у злоумышленника это отображаться не будет.
Правильно ли я понимаю, при таком конфиге, если просканировать порты в обратной последовательности, начиная от больших портов к меньшим, то SSH откроется. Т. к. Цепочка портов последовательная, и не предусмотрен бан за перебор
Подскажите пожалуйста, правильно ли я понимаю следующую последовательность действий Port Knocking для Winbox: 1) порт 8291 в IP-Services должен быть открыт (если у меня прописан здесь доступ только из внутр сетиэто ничего?) 2) Создать правила в Filter rules с использованием адресс-листов. А дальше как подключиться из удаленного ПК к микротику (на внешнем белом IP) - где указывать внешний IP с тремя наборами разных портов - в адресной строке барузера? в четвертый раз указать внешний адрес маршрутизатора и порт 8291? Просто не пойму, как реально открыть Winbox. И еще вопрос: как изменить доступ по стандартному 8291 на другой, нестандартный порт?.Спасибо
по поводу 1 пункта: если подключаетесь из интернета нужно чтобы был прописан доступ для всех ( в данном случае available from оставить пустым в ip-services для winbox в данной конфигурации) , порт winbox можно поменять там же в ip - services если 2 раза щелкнуть по нужно службе и изменить в настройках. По поводу подключения: если подключаетесь к winbox через интернет с ПК под windows то тут немного заморочено , нужно взять к примеру putty с поддержкой port knocking ( ссылка в описании к моему видео ), вводите ip адрес внешний вашего микротика, идете в раздел соединение, пишите в port knocking последовательность портов для открытия порта winbox, потом в putty нажимаете кнопку соединиться , перед коннектом к произвольной службе он прогоняет подключение к последовательности портов написанной , putty допустим пишет ошибку, вы параллельно открываете winbox на компе и подключаетесь к микротику. Под windows получаются такие вот заморочки, под linux проще. Если с телефона подключаться через мобильное приложение, то на телефон качается программа , например "Knock on Ports" перед подключением через приложение микротика, через нее "простукиваются" нужные порты в заданном порядке, затем уже подключаетесь через приложение микротика, как то так
@@DaveRylenkov Большое спасибо за ответ! Прошу уточнить некоторые моменты: после простукивания портов putty, в winbox указывать (на удаленном ПК из любой точки интернета) внешний адрес к которому подключен windox (н-р 192.192.192.192) или его внутренний (LAN 192.168.100.100) адрес? Если внешний адрес, то надо ли прописывать правило ip firewall nat add chain=dstnat protocol=tcp dst-port=8291 in-interface list=WAN action=dst-nat to-addresses=192.168.100.100 to-ports=8291? Спасибо
@@БогданКозюпа указываете внешний адрес, правило для Nat писать не надо
@@DaveRylenkov Спасибо
А как можно настроить Port Knocking на микротике, если он второй, а интернет получает от роутера МТС?
Есть белый адрес, webserver на Apache работает, а knok-knok не получается... ничего не записывает в address-list
А если вот настроил port knocking, постучался у, установилось соединение,потом можно в течение этого часа (интервал на видео) подключится по winbox ,при условии,что порт тот же самый?
Здравствуйте. Подскажите пожалуйста, этим способом возможно делать настройки на микротике, ребут ИТП заходя из вне используя смартфон на Андроиде подключенный по мобильной сети. И какие программы нужны на сам смартфон что бы пользоваться андроидским винбоксом "Mikrotik" ?
Давыд, а что представляет ваша домашняя лаборатория? На чем экспериментируете?
Из свитчей - Cisco 2950 и D-link DGS-1100-08, из роуетров - Mikrotik hap lite и Keenetic Extra, сетевое хранилище Qnap D2 и несколько ноутбуков, на одном под Windows 10 в Virtualbox разворачиваю виртуалки ( Ubuntu server 18.04 , Kali linux 2019.4), ноут asus x50N - на нем просто стоит Windows 7.
@@DaveRylenkov спасибо за ответ! У меня все тоже самое примерно, только нет циски. Сейчас на ebay буду покупать коммутаторы и роутеры от циско. Вчера заказал первый 2950))
Давыд, есть предложение запилить ролик о двух провайдерах в микротик. Т.е. один канал+один резервный.
Попробую, как раз думал над этим, интереснее конечно схема когда оба провайдера работают одновременно, но это на порядок сложнее и не всегда можно корректно реализовать
Привет. А где можно скачать zenmap на русском языке?
Или показывай все с нуля ребятам или не показывай ничего.
что такое внешку !?
Внешка это внешняя сеть - интернет