Различия

Показаны различия между двумя версиями страницы.

--- itms_docs:study:it:mikrotik_port_knoking [2019/10/06 08:49]
anton создано
+++ — (текущий)
@@ Строка 1: / Строка 1: @@
-=== Ограничение доступа к Mikrotik. ===
-Оригинал статьи [[https://litl-admin.ru/zhelezo/mikrotik-port-knocking-poshagovaya-instrukciya.html|здесь]].
-  * Что такое PortKnocking
-Этот механизм позволяет совершать определённые действия при получении сетевых пакетов с определёнными параметрами. Такими параметрами может быть размер, номер порта, протокол и др. Не рекомендуется использовать TTL, т.к. это число может изменяться в зависимости от пути прохождения пакета и можно банально “не угадать”. Впрочем, обо всём по порядку.
-  * Возможные сценарии применения PK
-Доступ на веб-интерфейс закрыт на файрволле. При получении последовательности ICMP-пакетов (ping) определённого размера добавляем IP источника в исключающее правило и для этого источника будет открыт доступ на веб-интерфейс;
-При получении последовательности пакетов на определённые TCP/UDP порты добавляем правило DNAT для IP источника внутрь локалки, например на RDP;
-…
-Да мало ли чего ещё! Это можно использовать как дополнительный уровень защиты, ведь фактически порт закрыт для всех. Но стоит получить некоторые сетевые пакеты в нужном порядке, как для источника пакетов добавляется правило (обычно на определённое время). Брутом простукать порты не получится, можно установить некоторые ловушки. Об этом будем говорить ниже. А в сценарии с ICMP важно угадать верные размеры пакетов, что опять же, не так просто сделать.