|
Technika Port-knocking w systemie Mikrotik RouterOS |
Chcesz mieć dostęp do swojego routera w taki sposób aby potencjalny intruz myślał że ten router ma zablokowane wszystkie porty?? System Mikrotik RouterOS posiada taką funkcjonalność, a dla potencjalnego intruza wygląda to tak, jakby Twój router nie istniał w sieci!
Możemy sobie zadać pytanie, jeśli wszystkie porty są zablokowane? to jak dostaniemy się do tak zabezpieczonego routera?? Odpowiedź jest bardzo prosta, musisz wysłać do takiej maszyny sekwencję pakietów tzn. zapukać do niej według wcześniej określonego klucza. Jeśli sekwencja puknięć okaże się poprawna to otrzymasz dostęp do portów lub usług które wcześniej były celowo blokowane.
Zatem do dzieła. W pierwszym kroku musisz ustalić sobie klucz, czyli sekwencję puknięć która będzie otwierała dostęp do Twojego routera. W naszym przykładzie aby uzyskać dostęp do routera będziesz musiał wykonać taką oto sekwencję trzech puknięć:
1. Próba otworzenia portu 444
2. Wysłanie pakietu ICMP o wielkosci od 300 do 400 bajtów
3. Próba otworzenia portu 555
W następnym kroku za pomocą Mangle będziemy przechwytywać pakiety:
/ip firewall mangle add action=add-src-to-address-list address-list=trust_step_1 address-list-timeout=60s chain=prerouting comment="" disabled=no protocol=tcp dst-port=444 tcp-flags=syn
/ip firewall mangle add action=add-src-to-address-list address-list=trust_step_2 address-list-timeout=60s chain=prerouting comment="" disabled=no packet-size=300-400 protocol=icmp src-address-list=trust_step_1
/ip firewall mangle add action=add-src-to-address-list address-list=trusted address-list-timeout=1h chain=prerouting comment="" disabled=no dst-port=555 protocol=tcp src-address-list=trust_step_2 tcp-flags=syn
Pierwsza komenda przechwytuje pakiety SYN z portem docelowym 444 i zapisuje adres źródłowy hosta (tego który puka) do listy trust_step_1 na czas 20 sekund
Druga klasyfikuje już nie tylko dany pakiet ale także sprawdza czy adres źródłowy hosta znajduje się na liscie trust_step_1, jeśli tak to zapisuje ten adres na liscie trust_step_2
Trzecia linijka przechwytuje nam pakiety SYN z portem docelowym 555 i także sprawdza czy adres źródłowy hosta znajduje sie na liście trust_step_2. Jeśli tak to dodaje adres hosta który wykonał poprawną sekwencję puknięć do listy trusted na 1 godzine.
Kolejną rzeczą ktora musisz zrobić to zezwolić na komunikację która jest inicjowana z adresów zrodłowych zapisanych na liscie trusted.
W tym celu dodajesz wpis do Firewall filter:
/ip firewall filter add action=accept chain=input disabled=no src-address-list=trustedOstatni krok jaki musisz wykonać to zablokować pozostały ruch przychodzący do Twojego router'a. Zrobisz to za pomocą wpisu do firewall’a:
/ip firewall filter add action=drop chain=input comment="" disabled=no
Po wydaniu tej komendy dostęp do routera będzie możliwy tylko dla hostów które wykonają poprawną sekwencję puknięć i zostaną wpisane na listę trusted.
Ok, mamy juz wszystko skonfigurowane, ale jak najprościej wykonać sekwencję puknięć??
( ... )
Pełna treść tego artykułu zarezerwowana jest dla zarejestrowanych użytkowników AkademiaWiFi.pl
|
