Защита MikroTik Router с помощью Port Knocking
Маршрутизатор MikroTik обычно находится между недоверенной публичной сетью и доверенной локальной сетью. Поэтому крайне важно обеспечить его безопасность — в противном случае устройство может быть взломано.
В MikroTik RouterOS доступно несколько инструментов для защиты, включая различные методы настройки Firewall. Ранее рассматривались способы усиления безопасности через ограничение сервисов входа и пользователей. В этой статье разбирается метод защиты MikroTik с помощью Port Knocking.
РЕКОМЕНДАЦИЯ
Наша команда советует изучить углубленный курс по администрированию сетевых устройств MikroTik.
В курсе много лабораторных работ по итогам которых вы получите обратную связь.
После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.
В курсе много лабораторных работ по итогам которых вы получите обратную связь.
После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.
Что такое Port Knocking
Port Knocking — это метод, при котором доступ к маршрутизатору открывается только после того, как устройство отправит серию запросов на заранее заданные закрытые порты в определённой последовательности.
После правильной последовательности RouterOS динамически добавляет IP-адрес источника в список разрешённых, и хост получает доступ к маршрутизатору.
Все входящие запросы блокируются, пока не выполнена верная последовательность. Благодаря этому злоумышленники не могут сканировать порты и выполнять подбор паролей, что делает метод эффективным средством защиты.
Реализация Port Knocking в MikroTik
Для настройки Port Knocking достаточно встроенного Firewall RouterOS. Реализуется метод с помощью четырёх правил фильтрации.
Правило 1. Первое срабатывание (порт 9000)
Откройте Winbox и войдите с правами администратора.
Перейдите в меню IP → Firewall → Filter Rules → +.
На вкладке General:
Перейдите в меню IP → Firewall → Filter Rules → +.
На вкладке General:
- Chain — input;
- Protocol — tcp (6);
- Dst. Port — 9000.
- Action — add src to address list;
- Address List — port:9000;
- Timeout — 1m.
Правило 2. Второе срабатывание (порт 8000)
Создайте новое правило (Filter Rules → +).
На вкладке General:
На вкладке General:
- Chain — input;
- Protocol — tcp (6);
- Dst. Port — 8000.
- Src. Address List — port:9000.
- Action — add src to address list;
- Address List — secure;
- Timeout — 30m.
Теперь, если хост выполнит запросы на порты 9000 и 8000 поочерёдно, его IP-адрес добавится в список secure.
Правило 3. Разрешение доступа для списка secure
- Создайте новое правило фильтрации.
- На вкладке General:
- Chain — input.
- На вкладке Advanced:
- Src. Address List — secure.
- На вкладке Action:
- Action — accept.
- Примените изменения.
Правило 4. Блокировка остальных подключений
- Создайте новое правило (Filter Rules → +).
- На вкладке General:
- Chain — input.
- На вкладке Action:
- Action — drop.
- Примените и сохраните.
Методы выполнения Port Knocking
Метод 1. Через браузер
Откройте браузер и введите адрес в формате:
http://IP_адрес:9000
Затем в течение минуты:
http://IP_адрес:8000
После успешного выполнения последовательности IP-адрес будет добавлен в список secure, и доступ к маршрутизатору откроется.
http://IP_адрес:9000
Затем в течение минуты:
http://IP_адрес:8000
После успешного выполнения последовательности IP-адрес будет добавлен в список secure, и доступ к маршрутизатору откроется.
Метод 2. Через Winbox
Можно использовать Winbox:
- В поле Connect To введите IP_адрес:порт.
- Подключитесь в нужной последовательности — сначала 9000, затем 8000.
Метод 3. С помощью утилиты для Windows
Greg Sowell разработал утилиту для Windows — Port Knock.
- Скачайте архив по ссылке: http://gregsowell.com/?download=5695.
- При необходимости используйте пароль portknock.
- Запустите программу, введите IP-адрес и последовательность портов, затем нажмите Knock.
- После этого вы сможете подключиться к MikroTik Router.
Итог
Метод Port Knocking — это простой и надёжный способ повысить безопасность MikroTik RouterOS, предотвращая несанкционированный доступ и скрывая маршрутизатор от сканирования.
РЕКОМЕНДАЦИЯ
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.