+ Responder ao Tópico



  1. #1
    Moderador Avatar de Magal
    Ingresso
    Mar 2007
    Localização
    Rio de Janeiro
    Posts
    2.041
    Posts de Blog
    118

    Padrão Port Knocking no MK

    Como hacer PortKnocking en MikroTik


    Port Knocking es un método utilizado para abrir externamente los puertos de un Firewall, generando conexiones sucesivas en puertos determinados y en un orden en particular. Una vez que se concreta la secuencia correcta, se activa una determinada regla de firewall.
    En este caso, la idea es que después de activar la combinacion de puertos específicos, una regla de firewall agregue mi IP en una lista de administradores, para poder así tener el control sobre el router, externamente.

    http://www.portknocking.org/images/p...plained-02.png

    Para el ejemplo, voy a utlizar las conexiones tcp a los puertos 10000, 10001 y 10002 respectivamente.

    En el terminal del MikroTik hay que escribir:
    /ip firewall filter
    add action=jump chain=input comment=”Validacion Admin” disabled=no jump-target=”validacion admin”
    add action=add-src-to-address-list address-list=temp_admin1 address-list-timeout=2m chain=”validacion admin” comment=”" disabled=no dst-port=10000 protocol=tcp
    add action=add-src-to-address-list address-list=temp_admin2 address-list-timeout=2m chain=”validacion admin” comment=”" disabled=no dst-port=10001 protocol=tcp src-address-list=temp_admin1
    add action=add-src-to-address-list address-list=admin address-list-timeout=10m chain=”validacion admin” comment=”" disabled=no dst-port=10002 protocol=tcp src-address-list=temp_admin2
    add action=accept chain=”validacion admin” comment=”" disabled=no protocol=tcp src-address-list=admin
    Paso a detallar lo que hace cada línea:
    La primera simplemente indica que las próxima regla se aplicará sobre la cadena input de la tabla filter.
    La segunda regla establece un salto hacia la cadena “Validación Admin“, la cuál en teoría esta vacía, ya que las próximas líneas indicarán su contenido.
    La tercer regla establece que al recibir el server una consulta al puerto TCP 10.000, agregará la dirección IP consultante en una lista temporalllamada “temp_admin1“.
    Si la dirección agregada a la lista anterior, vuelve a consultar, pero ahora al puerto TCP 10.001, la agregará temporalmente en una segunda lista, “temp_admin2“.
    Finalmente, si la direccion IP listada en “temp_admin2” consulta ahora al puerto 10.002, se la agregará a la list.
    Por último, la sexta línea de comando establece que se acepte todo tipo de conexiones que provengas desde las direcciones IP agregadas a la lista Admin.

    Aquí es donde entra la técnica del Port-Knocking. Con ella tenemos un firewall establecido de manera que nadie (ni nosotros mismos!) pueda acceder al sistema. En el ejemplo posterior, vemos como un supuesto atacante (88.35.21.31) intenta acceder por varios puertos (21, 23 y 22) sin éxito alguno.



    http://www.emezeta.com/weblog/port-knocking-1.jpgTotalmente inútil sería esta táctica si no hubiera una manera de que nosotros podamos entrar:
    http://www.emezeta.com/weblog/port-knocking-2.jpgEl Port-knocking se basa en realizar varios intentos de conexión consecutivos (y previamente establecidos) a ciertos puertos para «avisar» al sistema de que realmente somos nosotros.
    Asi pues, en el ejemplo que muestro tenemos configurado el knockd (demonio encargado del port-knocking) para que al recibir los intentos de conexión en el puerto 2199 y 9123, se abra el firewall para nuestra IP en el puerto 22. ¿Brillante, verdad? Una sencilla forma de proteger nuestro sistema y hacer prácticamente imposible de ingresar.
    Finalmente también podría hacerse posible otra combinación para volver a cerrar el acceso o alargar la combinación de puertos (a 5 intentos de conexión por ejemplo). Tener en cuenta que, en el remoto caso de que un usuario consiguiera adivinar la combinación de puertos aún tendría que enfrentarse a una contraseña.

    Autores: Mario Clep e Emezeta

  2. #2
    Suporte em Mikrotik Avatar de Genis
    Ingresso
    Nov 2006
    Localização
    INTERIOR-SP
    Posts
    1.613

    Padrão

    Postado originalmete por Magal
    Tentativa de tradução feita por Genis
    Como hacer PortKnocking en MikroTik


    Port Knocking é um método muito utilizado para abrir as portas externa de um Firewall,
    gerando conexão simultaneas em determinadas portas em particular, uma vez que se consiga conectar corretamente, pode ativar uma determinada regra no Firewall.
    Neste caso a ideia é depois de ativar a porta especifica, criar uma regra no Firewall, agreguar um IP na lista do administrador, para que se possa ter controle sobre o router, externamente

    http://www.portknocking.org/images/p...plained-02.png

    Para o exemplo, vou utilizar as conexões tcp das portas 10000,10001 e 10002 respectivamente.

    E no terminal do Mikrotik como escrito:
    /ip firewall filter
    add action=jump chain=input comment=”Validacion Admin” disabled=no jump-target=”validacion admin”
    add action=add-src-to-address-list address-list=temp_admin1 address-list-timeout=2m chain=”validacion admin” comment=”" disabled=no dst-port=10000 protocol=tcp
    add action=add-src-to-address-list address-list=temp_admin2 address-list-timeout=2m chain=”validacion admin” comment=”" disabled=no dst-port=10001 protocol=tcp src-address-list=temp_admin1
    add action=add-src-to-address-list address-list=admin address-list-timeout=10m chain=”validacion admin” comment=”" disabled=no dst-port=10002 protocol=tcp src-address-list=temp_admin2
    add action=accept chain=”validacion admin” comment=”" disabled=no protocol=tcp src-address-list=admin
    Detalhes de cada linha:

    A primeira simplemeste indica que as proximas regras se aplicará sobre a cadeia input da tabela filter.

    A segunda regla estabece uma rota na cadeia “Validación Admin“, na qual em teoria está vasia, ja nas proximas linhas indicam conteudo.

    Na terceira regra que o servidor tenha recebido uma consulta na porta TCP 10.000, concedera uma rota do IP consultado para uma lista chama “temp_admin1“.

    Se a rota adicionado à lista acima, for consultado novamente, nas a porta TCP 10.001, se juntara temporariamente a uma outra lista, “temp_admin2“.

    Finalmete, se a rota cosultada ja estiver na lista “temp_admin2” ai se juntara a Porta 10.002.

    E por ultimo, na sexta linha de comando estabelece a aceitação do tipo de conexão que vier nesta direção, e se junta a lista Admin.

    Aqui é onde se entra a tecnica da Port-Knocking. Com ela teremos um Firewall estabelecido de maneira que nada (nem nós mesmos!) pode acessar o sistema. E no proximo exemplo, vemos como é feito o ataque (88.35.21.31) diversas tentativas de acessonas nas portas (21,23 e 22) sem êxito


    http://www.emezeta.com/weblog/port-knocking-1.jpgEssa tática seria totalmente inútil se não houvesse uma maneira de entrar:
    http://www.emezeta.com/weblog/port-knocking-2.jpg

    A Port-knocking baseia-se em múltiplas tentativas consecutivas para entrar (e previamente estabelecido) em sertas portas emite um «alerta» do sitema para nos

    assim no exemplo podemos mostrar knockd (demonio encarregado da port-knocking) para que ao receber as tentativas de conexões na por 2199 e 9123, abra o firewall para o nosso IP na Porta 22. Brilhante, né? Uma maneira simples de proteger o nosso sistema e tornam quase impossível entrar.

    Finalmente tambem pode aver uma outra posibilidade de fechar a porta (5 tentativas de entra por exemplo).Tenha em mente que, no caso de um usuário remoto possa adivinhar a combinação das portas teriam ainda de descobrir senha.

    Autores: Mario Clep e Emezeta
    Última edição por Genis; 24-05-2009 às 11:06.

  3. #3

    Padrão

    Genis, esta de parabens, pelos bom trabalho, é poucos que tem, esta iniciativa, agora tem q ver se o amigo Magal não se importar por ter feito isso.

  4. #4
    Moderador Avatar de Magal
    Ingresso
    Mar 2007
    Localização
    Rio de Janeiro
    Posts
    2.041
    Posts de Blog
    118

    Padrão

    Boa parceria!!!

    Citação Postado originalmente por dagomir Ver Post
    Genis, esta de parabens, pelos bom trabalho, é poucos que tem, esta iniciativa, agora tem q ver se o amigo Magal não se importar por ter feito isso.
    Última edição por Magal; 24-05-2009 às 11:34.

  5. #5

    Padrão Batendo na porta

    Muita gente conhece nuestro hermano Maxi Dobladez.
    Me parece injusto muitos colegas facendo posts e acumulando pontos e fama com material dos outros sem se quer mencionalos .Mikrotik Expert » Mikrotik RouterOS » La técnica Port Knocking como protección

  6. #6
    Moderador Avatar de Magal
    Ingresso
    Mar 2007
    Localização
    Rio de Janeiro
    Posts
    2.041
    Posts de Blog
    118

    Padrão BATEU NA PORTA ERRADA!

    Net33, não escreva coisas que você não sabe, você deveria ler com atenção e ver que no post tem os nomes dos autores.
    Outra coisa, NÃO preciso de fama e muito menos de pontos a custa dos outros.

    Matérias publicadas nos seguintes sites:
    Como hacer PortKnocking en MikroTik Mario Clep
    Port-Knocking, simple pero seguro | Emezeta blog

    Quanto ao Maximiniano Dobladez (Maxi), conheço pessoalmente!

    Obs: Os créditos dos autores da matéria estão no post inicial. (Autores: Mario Clep e Emezeta)


    NET33, SERIA ÓTIMO VOCÊ POSTAR ALGO ÚTIL PARA O FÓRUM!
    PARA QUEM ENTROU NO FÓRUM EM 2006 E ATÉ HOJE SÓ TEM 118 POSTS E 12 AGRADECIMENTOS, MOSTRA QUE NÃO É NADA PRODUTIVO.

    ASSUNTO ENCERRADO!!!!!!

    Ps. Não é "facendo" e sim fazendo.

    Citação Postado originalmente por net33 Ver Post
    Muita gente conhece nuestro hermano Maxi Dobladez.
    Me parece injusto muitos colegas facendo posts e acumulando pontos e fama com material dos outros sem se quer mencionalos .Mikrotik Expert » Mikrotik RouterOS » La técnica Port Knocking como protección
    Última edição por Magal; 24-05-2009 às 19:21.

  7. #7
    Suporte em Mikrotik Avatar de Genis
    Ingresso
    Nov 2006
    Localização
    INTERIOR-SP
    Posts
    1.613

    Padrão

    Citação Postado originalmente por net33 Ver Post
    Muita gente conhece nuestro hermano Maxi Dobladez.
    Me parece injusto muitos colegas facendo posts e acumulando pontos e fama com material dos outros sem se quer mencionalos .Mikrotik Expert » Mikrotik RouterOS » La técnica Port Knocking como protección
    nossa se isto foi para mim tambem, desculpe, mais não postei nada, apenas ajudei na leitura para outro amigos?
    Última edição por Magal; 24-05-2009 às 17:30.

  8. #8
    Moderador Avatar de Magal
    Ingresso
    Mar 2007
    Localização
    Rio de Janeiro
    Posts
    2.041
    Posts de Blog
    118

    Padrão

    Genis, fica frio. Fizemos o correto, colocamos a matéria com os nomes dos autores. O amigo ai é que não leu direito e com a devida atenção.

    Obs: Se você olhar no site do Maximiniano, vai ver que o próprio Maxi deu créditos aos autores que citei.

    Abs

    Magal

    Citação Postado originalmente por Genis Ver Post
    nossa se isto foi para mim tambem, desculpe, mais não postei nada, apenas ajudei na leitura para outro amigos?
    Última edição por Magal; 24-05-2009 às 18:40.

  9. #9
    Suporte em Mikrotik Avatar de Genis
    Ingresso
    Nov 2006
    Localização
    INTERIOR-SP
    Posts
    1.613

    Padrão

    Citação Postado originalmente por Magal Ver Post
    Genis, fica frio. Fizemos o correto, colocamos a matéria com os nomes dos autores. O amigo ai é que não leu direito e com a devida atenção.

    Obs: Se você olhar no site do Maximiniano, vai ver que o próprio Maxi deu créditos aos autores que citei.

    Abs

    Magal
    Ok, obrigado

  10. #10

    Padrão

    É isso ai Magal. Um cara como vc que ajuda todo mundo não precisa ouvir essas besteiras.