Port Knocking MikroTik: настройка защиты для Winbox и SSH

В данной статье мы рассмотрим примеры настройки Port Knocking MikroTik. Расскажем о принципах работы технологии port knocking в целом и как с помощью нее повысить устойчивость протоколов RDP, SSH и Winbox к брут-форс атакам и сканированию портов.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Часто в работе сетевых инженеров появляется необходимость организовать удаленный доступ к оборудованию MikroTik или рабочему столу до хоста локальной сети. В результате чего эти устройства становятся подвержены хакерским атакам нацеленных на взлом компьютерной сети организации. Практический опыт показывает, что в наши дни защита MikroTik от атаки методом перебора паролей, сканирования портов при помощи, например, черных списков считается малоэффективной, так как современные ботнет сети имеют огромные вычислительные мощности и уникальные IP-адреса. Одним из способов защиты от сканирования и Brute-force атак является технология Port knocking.

Что такое Port Knocking

Дословно Port Knocking можно перевести как «постучать в порт», что кратко описывает принцип работы данного механизма защиты. Сетевой порт находится закрытым для удаленного доступа, пока на него не поступит предварительно настроенная последовательность пакетов данных.

Стоит отметить, что метод Port Knocking не надо рассматривать как 100% защиту, а применять как дополнительный инструмент повышающий безопасность протоколов и портов для доступа извне.

Если на вашем терминальном сервере, к сервисам которого настроен удаленный доступ, слабая политика паролей или не выполняется обновление ОС, то данный механизм защиты не обезопасит вашу систему от взлома, так как трафик можно перехватить, проанализировать и вычислить правильную последовательность пакетов данных для открытия порта.

Настройка Port Knocking на MikroTik

Давайте посмотрим примеры настройки Port Knocking MikroTik, чтобы обезопасить подключение к роутеру по RDP, SSH (22 port) и Winbox ( порт 8291).

На MikroTik данную технологию можно настроить несколькими способами:

  • С использованием портов;
  • Используя icmp-запросы.

Каждый из этих способов имеет как преимущества, так и недостатки, а также тонкости конфигурирования. Рассмотрим настройку технологии knocking с использованием портов и icmp запросов на примерах.

Port Knocking для SSH с использованием портов

Изучим принцип реализации Port Knocking MikroTik с использованием портов на примере, в котором разрешим подключение к роутеру по SSH, IP-адресам опросивших в определенном порядке назначенные порты.

Для этого откроем пункт меню:

  • IP => Firewall => Filter Rules => «+».

Добавим правило:

Где выберем цепочку входящих соединений (input), протокол (TCP) и номер порта, который будем опрашивать, для примера назначим 47853. Дальше нужно указать, какое действие будет совершаться при обращении на заданный порт. Для этого перейдем на пункт меню «Action»:

Текущей настройкой мы добавляем IP-адрес, который обратился на вышеуказанный порт в список адресов «knock_stage_1» на 17 секунд. За это время нам необходимо успеть обратиться к следующему порту.

Рекомендуем устанавливать значение Timeout как можно ниже это усложнит подбор правильной последовательности злоумышленникам.

Создадим второе правило:

Рекомендуем указывать значения портов дальше друг от друга, близкорасположенные значения легко определяются при сканировании.

Где IP из списка «knock_stage_1», опросив 9840 TCP port, добавляются в «knock_stage_2» на 15 секунд.

Заключительным этапом настройки Port Knocking будет правило:

Где адреса списка «knock_stage_2» опрашивая TCP port 49105 добавляются в лист «allow_ssh_access».

На MikroTik важно учитывать порядок расположения правил, поэтому для корректной работы Port Knocking установим их выше правила разрешающего established & related connections:

Осталось разрешить подключение по SSH только IP-адресам из списка «allow_ssh_access». Для этого:

Если вы хотите, чтобы событие подключения по SSH отображалось в лог-файле, то включите данную функцию, как показано в п.3.

В итоге у нас должна получиться следующая настройка:

Чтобы понимать принцип работы брандмауэра, рекомендуем изучить статью: MikroTik настройка Firewall: Правильная настройка безопасности роутера.

При текущей конфигурации, если мы последовательно опросим TCP-порты 47853, 9840, 49105 за отведенный для этого промежуток времени, то получим возможность подключения к MikroTik по SSH на 5 минут.

Давайте проверим. Для этого воспользуемся утилитой PortQryV2, скачать которую можно по ссылке. Затем:

  • Распакуем архив PortQryV2.exe;
  • Запустим командную строку и перейдем в каталог с утилитой.

С помощью атрибута -o укажем правильную последовательность портов для сканирования:

  • portqry -n IP-адрес -o 47853,9840,49105

После чего откроем Address Lists:

IP-адрес добавился в список, которому разрешено подключение по SSH. На этом настройка Port Knocking MikroTik, используя порты, закончена.

Пример Port Knocking для Winbox используя icmp запросы

Рассмотрим пример настройки Port Knocking MikroTik используя отправку icmp-запросов назначенной длины правильная последовательность которых откроет 8291 TCP-порт для доступа к MikroTik по Winbox. Данный способ я рекомендую и считаю его более эффективным по ряду показателей:

  • Не нужно стороннего ПО, так как icmp-сообщения рассылаются при помощи стандартной утилиты PING;
  • В случаи перехвата трафика злоумышленнику сложнее выявить правильную последовательность, чем при опросе портов.

Для начала определим размер icmp пакета. Возьмем 3 произвольных значения до 800 байт. Для нашего примера возьмем: 154, 367, 484 байт.

Чтобы технология Port Knocking на MikroTik, используя icmp, работала надежно, старайтесь указывать маленький размер пакетов данных, чтобы избежать их фрагментации.

Создадим правила для брандмауэра:

  • IP => Firewall => Filter Rules => «+».
  • Выберем протокол icmp.
Port Knocking MikroTik используя icmp

Перейдем в пункт меню «Advanced», где укажем размер icmp-пакета.

Вкладка «Action»:

Аналогичным образом создадим еще два условия, как показано на рисунках ниже.

Второе условие:

Третье условие:

Стоит обратить внимание на минимальное время внесения в список IP-адрес на стадиях PortKnocking1 и PortKnocking2. Это позволяет повысить устойчивость механизма knocking к перебору паролей.

Добавим правило разрешающее адресам из списка «Winbox-white» устанавливать соединение на порт 8291:

Port Knocking MikroTik Winbox (порт 8291)

Расположим созданные правила следующим образом:

На этом настройка Port Knocking, используя icmp, закончена.

Чтобы успеть отправить icmp сообщения за такой короткий промежуток времени, создадим *.bat файл со следующим содержанием:

ping xx.xx.xx.xx -l 126 -n 1
ping xx.xx.xx.xx -l 339 -n 1
ping xx.xx.xx.xx -l 456 -n 1

где xx.xx.xx.xx — это IP-адрес MikroTik.

Обратите внимание, что длина icmp-запроса должна быть меньше установленного размера пакета на 28 байт, 28 байт — это размер заголовка пакета, который прибавляется автоматически.

Проверяем Address Lists:

Защита RDP соединения при помощи Port Knocking

Настройка доступа для RDP соединений используя Port Knocking icmp запросы, происходит аналогичным образом, как показано в примере выше. Исключение составляет только установка прав на Src. Address для подключения. Ее указывают в секции «NAT»:

  • IP => Firewall => NAT.
Mikrotik Port Knocking RDP

Сотруднику, которому необходим удаленный доступ по RDP отправляется заранее подготовленный *.bat файл, который мы показывали в примере выше, после запуска которого он получает возможность подключения по RDP на неделю.

О том, как сделать на MikroTik проброс портов и настройка NAT для доступа в интернет вы можете узнать на нашем сайте, изучив посвященную этому статью.

Заключение

Из данной статьи мы узнали, что такое технология Port Knocking, способы ее реализации на маршрутизаторах MikroTik и показали практические примеры настройки Port Knocking на MikroTik для SSH, Winbox и RDP соединений.

Надеюсь, данная статья была вам полезна.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Оцените статью
Smartadm.ru
Добавить комментарий