24T33 Port Knocking [Konfiguracja Mikrotik]

Więcej miejsc do posłuchania:

Spotify

0:00 Wprowadzenie

0:59 Na czym polega Port Knocking?

2:52 Działanie w Praktyce

9:19 Podsumowanie

Transkrypcja

Cześć. W dzisiejszym odcinku podzielę się z Tobą prostym ale jednocześnie świetnym trikiem który pozwoli Ci zwiększyć bezpieczeństwo w firmie. Jeżeli posiadasz urządzenie Mikrotik to ten odcinek jest dla Ciebie obowiązkowy! Zapraszam do oglądania.

Czym tak naprawdę jest ta magiczna metoda zwana Port Knocking. Czyli tak zwane pukanie na port. Już wam pokazuję. Załóżmy, że w naszej firmie posiadamy serwery a na 1 z nich mamy program. Program z którego korzystają nasi pracownicy. Nasz program jest dostępny publicznie dla wszystkich czyli również dla osób niepożądanych. Co prawda nasz program jest dobrze zabezpieczony ale jednak nie chcemy aby był widoczny.

Ciekawą metodą jest właśnie Port Knocking. Na czym ta metoda dokładnie polega? Metodę tę możemy porównać do człowieka, który puka do drzwi i podaje numer. Jeżeli poda prawidłowy numer to po 2 stronie ktoś się odezwie i nam otworzy drzwi dając dostęp do naszego programu. Jeżeli jednak podamy nieprawidłowy numer to nikt się nie odezwie. Mało tego nawet nie będziemy wiedzieć czy ktoś stoi za drzwiami. Co w przypadku kiedy ktoś będzie podawać losowe porty? Jest szansa, że w końcu trafi. Tak, to prawda. Trafienie pojedynczego portu jest jak najbardziej możliwe dlatego dobrą praktyką będzie spisanie wszystkie te osoby dzięki czemu takie osoby trafią na listę z której już nigdy nie będą mogli zapukać do naszych drzwi czyli osoby które próbują pukać do naszych drzwi i będą podawać losowo numery będą po prostu trafiać na czarną listę.

Dodatkowo kolejną dobrą praktyką jest aby po otwarciu drzwi były kolejne. Czyli jeżeli pukamy i podajemy numer i jest on prawidłowy to przechodząc przez drzwi napotykamy kolejne gdzie będziemy musieli podać kolejny numer a kiedy go podamy to pojawią się kolejne drzwi gdzie po raz 3 będzie trzeba podać numer. W przypadku Mikrotika takich drzwi możemy tworzyć bardzo wiele ale nie popadajmy w paranoję. Zrobienie potrójnego zabezpieczenia w zupełności wystarczy. Pewnie się zastanawiasz do czego może mi się to przydać. Możemy tak zabezpieczyć VPNa co może znacząco zmniejszyć próby logowania przez inne niepowołane osoby. Możemy również tak zabezpieczyć Linuxa czy nawet sam proces logowania do Mikrotika co znacząco wpłynie na jego bezpieczeństwo.

No dobra, pokażę Ci jak to wszystko działa w praktyce. Podłączę Cię teraz do mojego Mikrotika. Za pomocą adresu IP na razie nie mogę więc podłączę się za pomocą MAC adresu. Dobra, jesteśmy. Aby móc podłączyć się za pomocą adresu IP muszę dodać regułę. No to klikamy plusik, Input i dodajemy port 8291 czyli standardowy port od Winboxa. Akcja akceptuj, Apply. Ok. Regułę dajemy na samą górę. Wychodzimy. No i sprawdzamy. Ok. Działa. Ale chcemy to zabezpieczyć. Klikamy plusik no i tworzymy tak zwane 1 drzwi. Czyli chcemy żeby 1 drzwi miały numer raz 1234.

Czyli musimy zapukać i powiedzieć 1234 naszemu Mikrotikowi aby zrobił odpowiedni wpis. Wpis będzie się nazywać ping1. Ok. Apply. Ok. Dajemy na samą górę i przechodzimy do zakładki adress list i sprawdzamy czy to wszystko działa. Wystarczy, że uruchomimy teraz przeglądarkę i wpiszemy adres IP naszego Mikrotika, dwukropek i wcześniej wspomniany port. Czyli pukamy do drzwi i zgłaszamy numer 1234. Jest. Pojawił się mój adres IP komputera oraz ping1. W porządku. Teraz stworzymy kolejne drzwi. Czyli ponownie plusik, Input i kolejny numer drzwi to będzie 4321.

Chcemy aby był to wpis o nazwie ping2 ale dodatkowo żeby ten warunek się spełnił chcemy aby wcześniej również na liście był ping1. Ok, Apply, Ok. Dajemy do góry. Czyli tak: warunek się spełni tylko i wyłącznie wtedy kiedy nasz adres IP będzie już posiadać wpis ping1, w przeciwnym przypadku nie będzie kolejnego wpisu. No dobra. Sprawdźmy czy to działa. Ponownie wystarczy, że uruchomimy przeglądarkę i wpiszemy port 4321. Enter. Jest, działa. Dobra, jeszcze taki szybki test. Usuniemy naszą listę i najpierw piszemy adres 4321. Nic się nie wydarzyło. No właśnie, nic się nie wydarzyło no bo najpierw musi być 1234 a następnie jak już jest 1234 no to wchodzimy na 4321. Ok.

Oczywiście w przeglądarce nic się nie pokaże ale nasz Mikrotik już to odnotuje. No dobra. No to teraz chcemy aby nasza reguła która akceptuje port 8291 podobnie jak ping2, miała na liście właśnie ping2. Ok. Czyli teraz tak. Reguła 829 zadziała tylko i wyłącznie wtedy jeżeli na liście będzie adres IP z ping2. Dobra, no to sprawdźmy. Usuwamy, wpisujemy adres. No dobra, nic się nie wydarzyło. No to wchodzimy w przeglądarkę wpisujemy adres 123.4, enter i następnie 4321, enter. Sprawdźmy czy działa teraz.

Działa. Działa ponieważ pełniliśmy warunek. Nasz adres jest na liście i reguła która puszcza 8291 jest spełniona no bo nasz adres ping2 oczywiście istnieje.W taki sposób możesz zabezpieczyć każdy port. Tych wpisów możesz tworzyć
nieskończenie wiele. Oczywiście nie wpadajmy w paranoję tak jak wcześniej wspominałem i tak naprawdę jeżeli stworzysz 2, góra 3 takie wpisy to naprawdę jest już to bardzo dużo no bo prawdopodobieństwo, że ktoś zgadnie po kolei 2, 3 wymyślone przez Ciebie porty jest znikome.

Dobrą praktyką przy tej metodzie jest tworzenie sobie reguły, która pozwoli wykrywać osoby, które próbują skanować nasz adres IP. My nie chcemy aby ktoś nam sprawdzał czy coś mamy. Również nie chcemy aby zgadywał w jakie porty należy zapukać. Dzięki temu, że blokujemy takie osoby zwiększamy sobie bezpieczeństwo. Aktualnie w 1 z firm w ciągu dosłownie kilku miesięcy zablokowaliśmy blisko 4.000 adresów IP.

Mam nadzieję, że podobał Ci się odcinek. Jeżeli masz jakieś pytania lub sugestie nie krępuj się, napisz to w komentarzu. Jeżeli materiał okazał się dla Ciebie pomocny to zostaw łapkę w górę. Do zobaczenia w następnym odcinku, hej!