Knock no Mikrotik é possível????

[ceusbar]

Afim de resolver problemas com SNIFFER na rede é possível implementar regras no firewall para fazer Knock?
Com knock seu servidor de ssh fica sempre fechado para o mundo, quando bater na porta certa ele executa a regra de firewall que abre a porta somente para seu IP.
Quais portas um programa sniffer escuta? elas podem ser direcionadas para uma porta isolada onde não vão obter informação alguma como mac e ip dos clientes por exemplo?

[GrayFox]

Sniffer nao ataca, sniffer escuta...

[ceusbar]

eu sei......onde tá errado??/

tem alguma solução???

[Roberto21]

Olá!

Colega um sniffer não tem uma porta determinada para ele escutar, ele tem filtros para que se você precisar escutar uma determinada porta, ou ip, ou grupo, ou protocolo,ou qualquer outra coisa que você precise escanear em uma conexão.

Um sniffer dentro de uma rede é um perigo, pois facilmente pode capturar informações importantes de seus clientes, mas, para que um sniffer trabalhe a pessoa que está utilizando ele tem que estar conectado em sua rede, o que torna a tarefa fácil clonando apenas um MAC.

Não é preciso que a pessoa esteja com a mesma faixa de ip's de sua rede para que consiga escanear, basta apenas estar conectado, se sua rede for por DHCP é mais fácil ainda para quem ataca, se estiver com ip fixo, é só configurar um ip fixo qualquer que mesmo seu MK não aceitando a faixa de ip's selecionada ele mesmo assim conseguirá escanear.

O que você pode fazer é na saída dos dados para seus ap's é colocar um Switch , isso já serveria de alguma proteção em sua rede contra os sniffers, outra coisa é cortar o trafego de net-bios, ele facilmente identifica o trafego de net-bios gerado pelo windows nas maquinas de seus clientes, mostrando assim com facilidade a faixa e range de ip's que você usa.

Resumindo, para uma pessoa que saiba utilizar corretamente um sniffer fica muito difícil dete-lo, por que é uma ferramenta poderosíssima em uma rede, tendo acesso a todo trafego gerado em sua rede, existem sniffer's que tem uma capacidade até de desencriptar dados de conexão https por exemplo, onde pode-se com facilidade capturar as senhas de orkut e msn.

Existem também sniffer's próprios para determinada situação, como por exemplo (só para escanear o menssenger), estou te explicando dessa forma para que você conheça as possibilidades de atacar uma rede que um sniffer tem, a maioria dos sniffer's (free) são detectados como vírus pelos anti-vírus, mas tem os pagos que o pessoal consegue o crack com facilidade como por exemplo o IRIS.

Espero ter ajudado a você e outros mais nessa explicação sobre sniffer's.

Se a leitura foi útil, um agradecimento por favor.

[WRSistemas]

Sim mo MK tbm e possivel fazer o chamado Knock


___________________________________ ___________________
Quem tem medo de perguntar,tem vergonha de aprender...

MSN - [email protected]

Rafael G.T.

[Roberto21]

Sim mo MK tbm e possivel fazer o chamado Knock


___________________________________ ___________________
Quem tem medo de perguntar,tem vergonha de aprender...

MSN - [email protected]

Rafael G.T.

Então por favor, nos mostre como fazer?

[rogeriodj]

Pessoal, pesquisando na net achei essas regras, e nela tem o Knock, os amigos poderiam analisar e verem se é isto oq procuram e se essas regras são boas!

[maxbauer]

as regras parece ser mt boas mesmo!

valeu

[rogeriodj]

Pessoal implementei essa regras no meu MK, claro q adaptei pra minha rede, e inha rede ficou super lenta, ai voltei a minha configuração normal, agora estou vendo quais destas regras fez minha rede ficar uma merda, estou implantando uma a uma e testando, tomem cuidado com as regras q postei, pois foram encontradas na net!

[Roberto21]

Bom, a iniciativa foi válida, mas essas regras não podem ser implantadas em um servidor sem um estudo detalhado, só irira atrapalhar, vou citar algumas.

1-a porta 1337 e 7331, se algum cliente usar ele irá para uma black-list e passará 15 minutos sem acesso.

2-A regra aceita todo tráfego de broadcast em sua rede...pra que?

3-As regras aceitam conexões de ip's estranhos

4-está faltando a complementação, que são as regras de ip firewall address-list


Bom por enquanto foi isso que ví, mas valeu o interesse

[rogeriodj]

Realmente Roberto21, tem de tomar muito cudado em implantalas, mais estou usando algumas dessas regras aqui, e deu uma melhorada na minha rede.

[ceusbar]

Roberto21...vlw pelas dicas sobre sniffer......tow estudando um pouco iptables e suas conversões de regra para MK e daí surgiu uma dúvida sobre eles....

sobre as regras q nosso amigo Rogério postou no fórum....realmente consta as falhas apontadas por Roberto....e tow voltando de viajem agora...e vou dar uma olhadinha nas demais.......

Compartilhem conhecimento, pois é a forma mais rápida de sempre aprender mais.

[brenovale]

Amigos,
mais simples ainda é usar a opção "tarpit" em determinada regra. Assim, um port attack ou um sniffer que tentar escutar a porta, nosso server vai aceitar a conexão porém não irá deixar passar disso. É como se tivéssemos deixado a porta da casa aberta pro ladrão entrar, ele vai chegar e ver que está aberta, e aí?? Sem móveis, casa vazia, o que fazer? Nada... pois ele foi pra fazer uma tentativa de ataque, mas a porta se abriu de cara, o sistema não segue adiante... como se o sniffer ficasse preso em uma cela...

[ceusbar]

Senhores, saindo um pouco da questão desse fórum, me deparei com a seguinte situação:
estava usando em uma máquina para testes a versão 2.9.7 do MK numa placa I-Max da intel com uma versão atual da placa de rede realtek onboard e eis q não subiu de forma alguma, mas offboard sobe.
outras placas offboard e se eu mudar o hd pra uma placa intel um pouco mais velha sobe tudo normalmente.
fiz todos os testes possiveis nessa versão....

botei pra funcionar a versão 3.10 na mesma motherboard e subiu tudo normalmente.

gostaria de saber se tem alguma forma de atualizar os drives ou a lista deles (não sei bem) no MK, pois constatei q numa versão anterior não constava drives mais recentes por isso não sobe.

[ziebert]

tem como fazer assim...

/ ip firewall filter

Porta numero 1

add chain=input action=add-src-to-address-list dst-port=9876 protocol=tcp \
address-list=temp1 address-list-timeout=15s comment="" disabled=no"

Porta 2

add chain=input action=add-src-to-address-list dst-port=8765 protocol=tcp \
src-address-list=temp1 address-list=temp2 address-list-timeout=15s \
comment="" disabled=no

POrta 3

add chain=input action=add-src-to-address-list dst-port=7654 protocol=tcp \
src-address-list=temp2 address-list=liberado address-list-timeout=2h \
comment="" disabled=no

Liberado por 2horas

add chain=input action=accept dst-port=8291 protocol=tcp \
src-address-list=liberado comment="Aceita winbox da lista liberado" \
disabled=no

Aqui vc tem 15 segundos entres as portas e 2 horas de liberação....

é isso que vc quer?

Vlw

[spyke775]

Amigos me bateu a duvida agora !

qual das duas opções seria melhor para pelo menos diminuir o risco com os Sniffers ?
qual a melhor regra a ser usada ? pois o meu medo é de que alguém possa estar capturando os dados de clientes,
como dito acima isso é um perigo principalmente para quem ja sesta dentro da rede ( clientes espertinhos )
se é que me entedem ...

aguardo respostas !

[Mr_Dom]

tmb me surgiu as dúvidas, mas alguem respondendo aqui creio q já ajude mais pessoas...

mt em bridge com 4 placas wireless para 4 paineis, o q usar, knock ou tarpit, e como usar...

se alguem tiver alguma sugestão, agradeço antecipadamente...