Port Knocking в Mikrotik Firewall Filter
HTML-код
- Опубликовано: 26 окт 2022
- В данном видео мы поговорим про port knocking, что это и как настроить на tcp портах, какие нюансы есть при использовании icmp протокола и чем может помочь данная настройка в работе сетевого инженера.
Ссылка на статью mikrotik-training.ru/kb/port-... - Наука
Роман, спасибо за знания. С вами, можно быть обладателем Микротика.
Главное чтобы он не был обладателем нас
Спасибо, по вашим видео изучаю возможности RouterOS! Очень нравится формат, раньше смотрел по часу, но не всегда есть столько времени. 👍👍👍
Роман, можно так же видео про состояние пакетов? Спасибо! /Ваши часовые вебинары лучшие!
Добавили в план
+++
Давно хотел защитить winbox, теперь будет возможность. Скажу так, атаки на микротик мотивируют изучать сети и маленькую коробочку😝
Не полагаетесь на port knocking как на основную защиту - от человека по середине она не защитит. Лучше vpn.
Как всегда на высоте все!
очень полезно !
Оч крутая тема.
Раскройте, пожалуйста, в одном из следующих видео различия в синтаксисе на RouterOS v6 и на RouterOS v7.
Переносили настройки с Mikrotik RB450G (v6.48.6) на RB5009UG+S+ (v7.0.5) и некоторые правила не отрабатывали.
Попробуем.
Я провел эксперимент:
Настроил порты стучась на которые попадаешь в определенный адрес лист, так вышло поставил порты по возрастанию с рандомным интервалом(к примеру 50, 600, 1050). Далее запустил сканер портов и что ребята. У меня в адрес листе появились 2 списка. Считаю нужно подтюнить эту тему. Вы можете поиграться с рандомными числами чтобы интервал был по больше между цифрами портов, и чтобы 1,2,3 список не соответствовал порядку портов по возрастании. И еще сократив время работы в списке к минимуму больше шансов что не активизируется 2 список при скане портов на вашем устройстве.(время должно стоять такое чтобы вы успели попасть в след список). Софт кнокинг делает думаю это быстрее, поэтому активацию 1х двух списков можно привести к 3 секундам. Жду критику. Но бейте не сильно)))))))))))
Супер. Если освоите vpn - будет воообще хорошо.
Как раз сейчас ищу материал по данной теме. Дело в том, что возникла необходимость подключать сотрудников удалённо. Но головная контора регулярно следит за открытыми портами на адресах подчиненных подразделений. Port Knocking - вроде то, что нужно. Но возникает вопрос - когда удалённый сотрудник достучался и соединился, получается порт открыт и контролирующее подразделение сразу обнаружит это?
Добрый день, Роман! Полагаю, что тема раскрыта не полностью. А именно, снимите вторую часть с произвольным порядком ввода портов для доступа к ресурсам.
А зачем? Смысл этих роликов не в том чтобы рассказывать все доступные варианты логики, которую может придумать кто угодно, а чтобы за короткий промежуток времени познакомить с тем что это такое. А дальше уже каждый может придумать свою последовательность.
@@MikrotikTraining добрый день, все верно, админы должны включать логику, а то все будут делать по шаблону.
Роман, добрый день. А почему не поместить drop на вкладку raw, цепочку prerouting? Это вроде будет дешевле по ресурсам маршрутизатора. Поправьте если я не прав.
Вроде и сам knocking можно сделать в raw. Это я по вашим же туториалам делал. Сейчас предпочтение поменялось?
Главное суть уловить в даном видео). В raw будет дешевле, если есть задача сэкономить) Тут мы разбирали в целом подход и раздел firewall
На телефоне (андройд) стоит программа Knock on Ports с разными стуками под разное железо и Mikrotik 1.3.27 - если в дороге надо что то подправить, то вполне рабочий комплект -)
Я в дороге vpn использую с телефона
Правильно ли я понял, что при такой настройке порт 22 виден в инете постоянно, но доступ получают только те, кто прошелся по оговоренным портам? Или 22 порт закрыт и открывается только тогда, когда проходишь оговоренные порты?
Роман! Благодарю за Ваши видео.
2-3 летней давности, благодаря роликам Вашим, PORK KNOCK уже стандарт.
Прошу подсказать, port knock клиент для Windows. Под android отрабатывает и TCP и UDP и ICMP, а WINDOWS программы не нашел, что бы ещё ICMP отрабатывало.
У меня так 5 стуков в перемешку: TCP,UDPICMP на ANDROID, а под WONDOWS ICMP программа не знает, что это такое.
Получается так:
Программа на ПК отрабатывает порткнокинг на 4 пункта, а 5 стук уже командной строкой доганаю на WINDOWS.
Бухгалтера косо смотрят.
Прошу помочь. Благодарю.
Писать самому или bat, powershell. Главное помните этот подход не защищает от человека по середине - тк любую последовательность можно «подслушать»
@@MikrotikTraining Благодарю. У меня 2 этапа:
С начало Pork Knock, а уже потом VPN.
А на человек по середине тоже есть ловушки для информированности. Тоже благодаря Вам.
Паранойненько. Обычно хватает vpn)
А можно это организовывать mangle? В данном примере неважно но вроде маркеры меньше нагружают процессор?
Можно и в mangle. Экономнее всего будет в raw
Подскажите, какую программу для Port knocking можно использовать на Mac os?
brew install knock
лучше делать в raw. так как в filter rules нужно ждать пока соединение от 1 knock закроется чтобы попасть в knock2, по крайней мере у меня было так.
Зависит от положения относительно established. В raw потребление ресурсов будет немного ниже.
Номера портов для первых 2 простукиваний двузначные, а вот третье из четырех цифр. Наверное, чтобы Микротик не сгорел. 😀
Можете поставить любые доступные. Совершенно без разницы
Можно создать скрипт который будет делать это автоматом, НО только когда стучишься на специальный (технический) порт.
Админ стучится на специально заготовленный порт скрипт в свою очередь генерирует создает правило для Кнок со случайно сгенерированными портами и отправляет последовательность этих портов админу на почту
Можно, даже можно смс сделать. Вопрос только зачем.
Провайдер может резать длинну пакетов ping’a?
Как и вы) кто угодно может резать что угодно. Главный вопрос зачем. Если ваш вопрос относительно уменьшения mtu - это может происходить из-за уменьшения mtu на pppoe интерфейсе из-за дополнительной инкапсуляции.
получается если просканировать все порты то доступ откроется?)
В теории. Есть варианты на тему защиты от сканеров портов, есть варианты настройки с размером пакетов. Ну и в целом штука не на постоянное применение - я бы даже сказал оно для дома) Совершенно не защищает от человека посередине - прослушать можно всю последовательность.
Некоторые админы добавили авторизацию веб, через cloudflare
У них есть какой-то совместимый сервис
Mikrotik умеет только radius
cloudflare access?
@@yuk1c Не уверен, возможно и он. Не подскажите, как настроить?
@@antoniomax3163 не шарю за микроты