Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Como hacer PortKnocking en MikroTik


    Port Knocking es un método utilizado para abrir externamente los puertos de un Firewall, generando conexiones sucesivas en puertos determinados y en un orden en particular. Una vez que se concreta la secuencia correcta, se activa una determinada regla de firewall.
    En este caso, la idea es que después de activar la combinacion de puertos específicos, una regla de firewall agregue mi IP en una lista de administradores, para poder así tener el control sobre el router, externamente.

    http://www.portknocking.org/images/p...plained-02.png

    Para el ejemplo, voy a utlizar las conexiones tcp a los puertos 10000, 10001 y 10002 respectivamente.

    En el terminal del MikroTik hay que escribir:
    /ip firewall filter
    add action=jump chain=input comment=”Validacion Admin” disabled=no jump-target=”validacion admin”
    add action=add-src-to-address-list address-list=temp_admin1 address-list-timeout=2m chain=”validacion admin” comment=”" disabled=no dst-port=10000 protocol=tcp
    add action=add-src-to-address-list address-list=temp_admin2 address-list-timeout=2m chain=”validacion admin” comment=”" disabled=no dst-port=10001 protocol=tcp src-address-list=temp_admin1
    add action=add-src-to-address-list address-list=admin address-list-timeout=10m chain=”validacion admin” comment=”" disabled=no dst-port=10002 protocol=tcp src-address-list=temp_admin2
    add action=accept chain=”validacion admin” comment=”" disabled=no protocol=tcp src-address-list=admin
    Paso a detallar lo que hace cada línea:
    La primera simplemente indica que las próxima regla se aplicará sobre la cadena input de la tabla filter.
    La segunda regla establece un salto hacia la cadena “Validación Admin“, la cuál en teoría esta vacía, ya que las próximas líneas indicarán su contenido.
    La tercer regla establece que al recibir el server una consulta al puerto TCP 10.000, agregará la dirección IP consultante en una lista temporalllamada “temp_admin1“.
    Si la dirección agregada a la lista anterior, vuelve a consultar, pero ahora al puerto TCP 10.001, la agregará temporalmente en una segunda lista, “temp_admin2“.
    Finalmente, si la direccion IP listada en “temp_admin2” consulta ahora al puerto 10.002, se la agregará a la list.
    Por último, la sexta línea de comando establece que se acepte todo tipo de conexiones que provengas desde las direcciones IP agregadas a la lista Admin.

    Aquí es donde entra la técnica del Port-Knocking. Con ella tenemos un firewall establecido de manera que nadie (ni nosotros mismos!) pueda acceder al sistema. En el ejemplo posterior, vemos como un supuesto atacante (88.35.21.31) intenta acceder por varios puertos (21, 23 y 22) sin éxito alguno.



    http://www.emezeta.com/weblog/port-knocking-1.jpgTotalmente inútil sería esta táctica si no hubiera una manera de que nosotros podamos entrar:
    http://www.emezeta.com/weblog/port-knocking-2.jpgEl Port-knocking se basa en realizar varios intentos de conexión consecutivos (y previamente establecidos) a ciertos puertos para «avisar» al sistema de que realmente somos nosotros.
    Asi pues, en el ejemplo que muestro tenemos configurado el knockd (demonio encargado del port-knocking) para que al recibir los intentos de conexión en el puerto 2199 y 9123, se abra el firewall para nuestra IP en el puerto 22. ¿Brillante, verdad? Una sencilla forma de proteger nuestro sistema y hacer prácticamente imposible de ingresar.
    Finalmente también podría hacerse posible otra combinación para volver a cerrar el acceso o alargar la combinación de puertos (a 5 intentos de conexión por ejemplo). Tener en cuenta que, en el remoto caso de que un usuario consiguiera adivinar la combinación de puertos aún tendría que enfrentarse a una contraseña.

    Autores: Mario Clep e Emezeta

  2. Postado originalmete por Magal
    Tentativa de tradução feita por Genis
    Como hacer PortKnocking en MikroTik


    Port Knocking é um método muito utilizado para abrir as portas externa de um Firewall,
    gerando conexão simultaneas em determinadas portas em particular, uma vez que se consiga conectar corretamente, pode ativar uma determinada regra no Firewall.
    Neste caso a ideia é depois de ativar a porta especifica, criar uma regra no Firewall, agreguar um IP na lista do administrador, para que se possa ter controle sobre o router, externamente

    http://www.portknocking.org/images/p...plained-02.png

    Para o exemplo, vou utilizar as conexões tcp das portas 10000,10001 e 10002 respectivamente.

    E no terminal do Mikrotik como escrito:
    /ip firewall filter
    add action=jump chain=input comment=”Validacion Admin” disabled=no jump-target=”validacion admin”
    add action=add-src-to-address-list address-list=temp_admin1 address-list-timeout=2m chain=”validacion admin” comment=”" disabled=no dst-port=10000 protocol=tcp
    add action=add-src-to-address-list address-list=temp_admin2 address-list-timeout=2m chain=”validacion admin” comment=”" disabled=no dst-port=10001 protocol=tcp src-address-list=temp_admin1
    add action=add-src-to-address-list address-list=admin address-list-timeout=10m chain=”validacion admin” comment=”" disabled=no dst-port=10002 protocol=tcp src-address-list=temp_admin2
    add action=accept chain=”validacion admin” comment=”" disabled=no protocol=tcp src-address-list=admin
    Detalhes de cada linha:

    A primeira simplemeste indica que as proximas regras se aplicará sobre a cadeia input da tabela filter.

    A segunda regla estabece uma rota na cadeia “Validación Admin“, na qual em teoria está vasia, ja nas proximas linhas indicam conteudo.

    Na terceira regra que o servidor tenha recebido uma consulta na porta TCP 10.000, concedera uma rota do IP consultado para uma lista chama “temp_admin1“.

    Se a rota adicionado à lista acima, for consultado novamente, nas a porta TCP 10.001, se juntara temporariamente a uma outra lista, “temp_admin2“.

    Finalmete, se a rota cosultada ja estiver na lista “temp_admin2” ai se juntara a Porta 10.002.

    E por ultimo, na sexta linha de comando estabelece a aceitação do tipo de conexão que vier nesta direção, e se junta a lista Admin.

    Aqui é onde se entra a tecnica da Port-Knocking. Com ela teremos um Firewall estabelecido de maneira que nada (nem nós mesmos!) pode acessar o sistema. E no proximo exemplo, vemos como é feito o ataque (88.35.21.31) diversas tentativas de acessonas nas portas (21,23 e 22) sem êxito


    http://www.emezeta.com/weblog/port-knocking-1.jpgEssa tática seria totalmente inútil se não houvesse uma maneira de entrar:
    http://www.emezeta.com/weblog/port-knocking-2.jpg

    A Port-knocking baseia-se em múltiplas tentativas consecutivas para entrar (e previamente estabelecido) em sertas portas emite um «alerta» do sitema para nos

    assim no exemplo podemos mostrar knockd (demonio encarregado da port-knocking) para que ao receber as tentativas de conexões na por 2199 e 9123, abra o firewall para o nosso IP na Porta 22. Brilhante, né? Uma maneira simples de proteger o nosso sistema e tornam quase impossível entrar.

    Finalmente tambem pode aver uma outra posibilidade de fechar a porta (5 tentativas de entra por exemplo).Tenha em mente que, no caso de um usuário remoto possa adivinhar a combinação das portas teriam ainda de descobrir senha.

    Autores: Mario Clep e Emezeta
    Última edição por Genis; 24-05-2009 às 10:06.



  3. Genis, esta de parabens, pelos bom trabalho, é poucos que tem, esta iniciativa, agora tem q ver se o amigo Magal não se importar por ter feito isso.

  4. Boa parceria!!!

    Citação Postado originalmente por dagomir Ver Post
    Genis, esta de parabens, pelos bom trabalho, é poucos que tem, esta iniciativa, agora tem q ver se o amigo Magal não se importar por ter feito isso.
    Última edição por Magal; 24-05-2009 às 10:34.



  5. Muita gente conhece nuestro hermano Maxi Dobladez.
    Me parece injusto muitos colegas facendo posts e acumulando pontos e fama com material dos outros sem se quer mencionalos .Mikrotik Expert » Mikrotik RouterOS » La técnica Port Knocking como protección






Tópicos Similares

  1. Controle de COnteudo no MK
    Por helrs no fórum Redes
    Respostas: 3
    Último Post: 14-10-2006, 18:40
  2. Respostas: 8
    Último Post: 28-09-2006, 15:00
  3. Autenticação no MK é hotspot??
    Por voidmain no fórum Redes
    Respostas: 8
    Último Post: 29-04-2006, 18:39
  4. Respostas: 0
    Último Post: 10-04-2006, 11:45
  5. Desafio ; Colocando Script em Perl no MK
    Por tecpimenta no fórum Redes
    Respostas: 2
    Último Post: 15-03-2006, 13:00

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L