فعال سازی امکان Port Knocking بر روی میکروتیک

Port Knocking چیست؟

Knocking در لغت به معنای کوبیدن یا ضربه زدن است و در اصطلاح فنی روشی برای افزودن داینامیک یک IP Address به مجموعه آدرس های مجاز برای مدت زمان مشخصی می باشد، به بیان دیگر، باز کردن پورت از راه دور بر روی فایروال بوسیله ایجاد کانکشن روی مجموعه ای از پورت های بسته که از پیش مشخص شده اند، می باشد.

راه اندازی این امکان بر روی شبکه خود برای اعمال امنیت بیشتر در جهت دسترسی به سرور های شماست، وقتی سرور الستیکس دارید و می خواهید از بستر اینترنت به آن دسترسی پیدا کنید می بایست مباحث امنیتی بسیاری را رعایت نمایید، یکی از این موارد می تواند امن کردن دسترسی به سرور باشد که البته Port Knockong  می تواند گزینه مناسبی برای شما که میکروتیک دارید باشد.

همه ما از مفهوم PortKnocking در زندگی روزمره خود استفاده کردیم. به عنوان مثال، ساعت 10 به منزل خود مراجعه می کنید و با n بار ضربه زدن به درب حیاط اعلام می کنید که یک فرد مجاز پشت درب است و می بایست درب منزل برای شما باز شود. ساعت رجوع و تعداد دفعات ضربه زدن و بازه زمانی، از قبل توسط شما تعیین شده است.

PortKnocking شبیه کوبیدن درب به صورت رمزی است و می تواند از پروتکل های TCP,UDP,ICMPو... یا ترکیبی از آنها در نوشتن Rule Port Knocking استفاده کنید.

سناریو زیر را تصور کنید:

شما در شبکه خود IP PBX ای دارید و افرادی در بیرون سازمان قصد دارند روی PBX شما رجیستر شوند و اقدام به برقراری تماس نمایند. در صورتی که بدون رعایت نکات امنیتی اقدام به Publish نمودن PBX خود در یک شبکه عمومی مانند اینترنت نمایید، حتما گوش به زنگ وقایع و خطرات آتی باشید و منتظر قبض تلفن چند میلیونی بمانید!

فراموش نکنید که هرگونه خدماتی که در یک شبکه عمومی ارائه میشود، امکان حمله روی آن وجود دارد.

یک از نکات امنیتی که توصیه میشود، استفاده از Port Knocking است.

جهت تنظیم Port Knocking روی فایروال میکروتیک به صورت زیر اقدام نمایید:

در این سناریو فرض شده است آدرس IP استاتیک سازمان 79.127.92.223است و پرسنل بیرون از سازمان می بایست با این IP ارتباط برقرار کنند.

مطابق شکل به مسیر IP -> Firewall و سربرگ Filter Rules رفته و روی Add کلیک نمایید تا پنجره شماره 4 نمایان شود.

در این پنجره Chain را Input ، Protocol را ICMP و In Interface را pppoe1 قرار داده و در سربرگ Advanced مقدار Packet Size را 78 قرار داده و در نهایت به سربرگ Action رفته و Action را add src to address list قرار داده و Address List را temp1 قرار داده و Timeout را 10 دقیقه در نظر میگیریم. دست آخر روی OK کلیک کنید.

سپس اقدام به افزودن رول دیگری مطابق شکل زیر می نماییم.

در نهایت رول ای برای Drop کردن کلیه ترافیک اضافه می کنیم.

لازم به ذکر است مقدار Packet Size ای که در فیلتر رول مشخص میکنید، همواره باید 28 بایت بیشتر از مقداری باشد که به عنوان سایز پکت Ping در نظر دارید.

همان گونه که در تصویر زیر مشاهده میکنید، در حال حاضر هیچ کسی از طریق اینترنت به این روتر دسترسی ندارد، مگر آنکه Knocking انجام دهد.

برای انجام Knocking باید ابتدا سایز پکت ping را 50 بایت قرار دهیم و مجدد روتر را با سایز پکت 72 بایت ping کنیم. بعد از این عمل، شما دسترسی کامل به روتر خواهید داشت.

در انتها فراموش نشود، سرور های ویپ، بخصوص سیستم های کدباز به صورت پیش فرض کمترین نکات امنیتی را درون خود دارند و این وظیفه یک متخصص امنیت ویپ است که آن را امن کند، این سیستم ها به راحتی توسط روبات های هک می شوند و هزینه بسیار بالای مخابراتی را برای شما خواهند داشت. این مقاله بخش کوچکی از امنیت را بیان داشته و برای امنیت کامل سیستم تلفنی خود می بایست دوره بین المللی امنیت الستیکس Elastix security Master را بگذارید.

با سپاس فراوان از شما مخاطبین محترم ویپ ایران،

سید محمد سجاد تکیه
مهندس رسمی الستیکس ECE
متخصص امنیت الستیکس ESM