+ Responder ao Tópico



  1. #1

    Exclamation Knock no Mikrotik é possível????

    Afim de resolver problemas com SNIFFER na rede é possível implementar regras no firewall para fazer Knock?
    Com knock seu servidor de ssh fica sempre fechado para o mundo, quando bater na porta certa ele executa a regra de firewall que abre a porta somente para seu IP.
    Quais portas um programa sniffer escuta? elas podem ser direcionadas para uma porta isolada onde não vão obter informação alguma como mac e ip dos clientes por exemplo?
    Última edição por ceusbar; 02-08-2008 às 20:31.

  2. #2

    Padrão

    Sniffer nao ataca, sniffer escuta...



  3. #3

    Padrão

    eu sei......onde tá errado??/

    tem alguma solução???

  4. #4

    Padrão

    Olá!

    Colega um sniffer não tem uma porta determinada para ele escutar, ele tem filtros para que se você precisar escutar uma determinada porta, ou ip, ou grupo, ou protocolo,ou qualquer outra coisa que você precise escanear em uma conexão.

    Um sniffer dentro de uma rede é um perigo, pois facilmente pode capturar informações importantes de seus clientes, mas, para que um sniffer trabalhe a pessoa que está utilizando ele tem que estar conectado em sua rede, o que torna a tarefa fácil clonando apenas um MAC.

    Não é preciso que a pessoa esteja com a mesma faixa de ip's de sua rede para que consiga escanear, basta apenas estar conectado, se sua rede for por DHCP é mais fácil ainda para quem ataca, se estiver com ip fixo, é só configurar um ip fixo qualquer que mesmo seu MK não aceitando a faixa de ip's selecionada ele mesmo assim conseguirá escanear.

    O que você pode fazer é na saída dos dados para seus ap's é colocar um Switch , isso já serveria de alguma proteção em sua rede contra os sniffers, outra coisa é cortar o trafego de net-bios, ele facilmente identifica o trafego de net-bios gerado pelo windows nas maquinas de seus clientes, mostrando assim com facilidade a faixa e range de ip's que você usa.

    Resumindo, para uma pessoa que saiba utilizar corretamente um sniffer fica muito difícil dete-lo, por que é uma ferramenta poderosíssima em uma rede, tendo acesso a todo trafego gerado em sua rede, existem sniffer's que tem uma capacidade até de desencriptar dados de conexão https por exemplo, onde pode-se com facilidade capturar as senhas de orkut e msn.

    Existem também sniffer's próprios para determinada situação, como por exemplo (só para escanear o menssenger), estou te explicando dessa forma para que você conheça as possibilidades de atacar uma rede que um sniffer tem, a maioria dos sniffer's (free) são detectados como vírus pelos anti-vírus, mas tem os pagos que o pessoal consegue o crack com facilidade como por exemplo o IRIS.

    Espero ter ajudado a você e outros mais nessa explicação sobre sniffer's.

    Se a leitura foi útil, um agradecimento por favor.



  5. #5

    Padrão Sim e possivel

    Sim mo MK tbm e possivel fazer o chamado Knock


    ___________________________________ ___________________
    Quem tem medo de perguntar,tem vergonha de aprender...

    MSN - [email protected]

    Rafael G.T.

  6. #6

    Padrão

    Citação Postado originalmente por WRSistemas Ver Post
    Sim mo MK tbm e possivel fazer o chamado Knock


    ___________________________________ ___________________
    Quem tem medo de perguntar,tem vergonha de aprender...

    MSN - [email protected]

    Rafael G.T.


    Então por favor, nos mostre como fazer?



  7. #7

    Padrão

    Pessoal, pesquisando na net achei essas regras, e nela tem o Knock, os amigos poderiam analisar e verem se é isto oq procuram e se essas regras são boas!
    Arquivos Anexos Arquivos Anexos

  8. #8

    Padrão

    as regras parece ser mt boas mesmo!

    valeu



  9. #9

    Padrão

    Pessoal implementei essa regras no meu MK, claro q adaptei pra minha rede, e inha rede ficou super lenta, ai voltei a minha configuração normal, agora estou vendo quais destas regras fez minha rede ficar uma merda, estou implantando uma a uma e testando, tomem cuidado com as regras q postei, pois foram encontradas na net!

  10. #10

    Padrão

    Bom, a iniciativa foi válida, mas essas regras não podem ser implantadas em um servidor sem um estudo detalhado, só irira atrapalhar, vou citar algumas.

    1-a porta 1337 e 7331, se algum cliente usar ele irá para uma black-list e passará 15 minutos sem acesso.

    2-A regra aceita todo tráfego de broadcast em sua rede...pra que?

    3-As regras aceitam conexões de ip's estranhos

    4-está faltando a complementação, que são as regras de ip firewall address-list


    Bom por enquanto foi isso que ví, mas valeu o interesse



  11. #11

    Padrão

    Realmente Roberto21, tem de tomar muito cudado em implantalas, mais estou usando algumas dessas regras aqui, e deu uma melhorada na minha rede.

  12. #12

    Padrão

    Roberto21...vlw pelas dicas sobre sniffer......tow estudando um pouco iptables e suas conversões de regra para MK e daí surgiu uma dúvida sobre eles....

    sobre as regras q nosso amigo Rogério postou no fórum....realmente consta as falhas apontadas por Roberto....e tow voltando de viajem agora...e vou dar uma olhadinha nas demais.......

    Compartilhem conhecimento, pois é a forma mais rápida de sempre aprender mais.



  13. #13

    Padrão

    Amigos,
    mais simples ainda é usar a opção "tarpit" em determinada regra. Assim, um port attack ou um sniffer que tentar escutar a porta, nosso server vai aceitar a conexão porém não irá deixar passar disso. É como se tivéssemos deixado a porta da casa aberta pro ladrão entrar, ele vai chegar e ver que está aberta, e aí?? Sem móveis, casa vazia, o que fazer? Nada... pois ele foi pra fazer uma tentativa de ataque, mas a porta se abriu de cara, o sistema não segue adiante... como se o sniffer ficasse preso em uma cela...

  14. #14

    Padrão

    Senhores, saindo um pouco da questão desse fórum, me deparei com a seguinte situação:
    estava usando em uma máquina para testes a versão 2.9.7 do MK numa placa I-Max da intel com uma versão atual da placa de rede realtek onboard e eis q não subiu de forma alguma, mas offboard sobe.
    outras placas offboard e se eu mudar o hd pra uma placa intel um pouco mais velha sobe tudo normalmente.
    fiz todos os testes possiveis nessa versão....

    botei pra funcionar a versão 3.10 na mesma motherboard e subiu tudo normalmente.

    gostaria de saber se tem alguma forma de atualizar os drives ou a lista deles (não sei bem) no MK, pois constatei q numa versão anterior não constava drives mais recentes por isso não sobe.



  15. #15

    Padrão Knock

    tem como fazer assim...

    / ip firewall filter

    Porta numero 1

    add chain=input action=add-src-to-address-list dst-port=9876 protocol=tcp \
    address-list=temp1 address-list-timeout=15s comment="" disabled=no"

    Porta 2

    add chain=input action=add-src-to-address-list dst-port=8765 protocol=tcp \
    src-address-list=temp1 address-list=temp2 address-list-timeout=15s \
    comment="" disabled=no

    POrta 3

    add chain=input action=add-src-to-address-list dst-port=7654 protocol=tcp \
    src-address-list=temp2 address-list=liberado address-list-timeout=2h \
    comment="" disabled=no

    Liberado por 2horas

    add chain=input action=accept dst-port=8291 protocol=tcp \
    src-address-list=liberado comment="Aceita winbox da lista liberado" \
    disabled=no

    Aqui vc tem 15 segundos entres as portas e 2 horas de liberação....

    é isso que vc quer?

    Vlw

  16. #16

    Padrão Knok ou tarpit ???

    Amigos me bateu a duvida agora !

    qual das duas opções seria melhor para pelo menos diminuir o risco com os Sniffers ?
    qual a melhor regra a ser usada ? pois o meu medo é de que alguém possa estar capturando os dados de clientes,
    como dito acima isso é um perigo principalmente para quem ja sesta dentro da rede ( clientes espertinhos )
    se é que me entedem ...

    aguardo respostas !
    Última edição por spyke775; 08-09-2008 às 11:45.



  17. #17

    Padrão

    tmb me surgiu as dúvidas, mas alguem respondendo aqui creio q já ajude mais pessoas...

    mt em bridge com 4 placas wireless para 4 paineis, o q usar, knock ou tarpit, e como usar...

    se alguem tiver alguma sugestão, agradeço antecipadamente...