3 minutes reading time (676 words)
ویژه 

فعال سازی امکان Port Knocking بر روی میکروتیک

 

Port Knocking چیست؟

Knocking در لغت به معنای کوبیدن یا ضربه زدن است و در اصطلاح فنی روشی برای افزودن داینامیک یک IP Address به مجموعه آدرس های مجاز برای مدت زمان مشخصی می باشد، به بیان دیگر، باز کردن پورت از راه دور بر روی فایروال بوسیله ایجاد کانکشن روی مجموعه ای از پورت های بسته که از پیش مشخص شده اند، می باشد.

 

راه اندازی این امکان بر روی شبکه خود برای اعمال امنیت بیشتر در جهت دسترسی به سرور های شماست، وقتی سرور الستیکس دارید و می خواهید از بستر اینترنت به آن دسترسی پیدا کنید می بایست مباحث امنیتی بسیاری را رعایت نمایید، یکی از این موارد می تواند امن کردن دسترسی به سرور باشد که البته Port Knockong  می تواند گزینه مناسبی برای شما که میکروتیک دارید باشد.

همه ما از مفهوم PortKnocking در زندگی روزمره خود استفاده کردیم. به عنوان مثال، ساعت 10 به منزل خود مراجعه می کنید و با n بار ضربه زدن به درب حیاط اعلام می کنید که یک فرد مجاز پشت درب است و می بایست درب منزل برای شما باز شود. ساعت رجوع و تعداد دفعات ضربه زدن و بازه زمانی، از قبل توسط شما تعیین شده است.

PortKnocking شبیه کوبیدن درب به صورت رمزی است و می تواند از پروتکل های TCP,UDP,ICMPو... یا ترکیبی از آنها در نوشتن Rule Port Knocking استفاده کنید.

سناریو زیر را تصور کنید:

VOIP Network Diagram

 

شما در شبکه خود IP PBX ای دارید و افرادی در بیرون سازمان قصد دارند روی PBX شما رجیستر شوند و اقدام به برقراری تماس نمایند. در صورتی که بدون رعایت نکات امنیتی اقدام به Publish نمودن PBX خود در یک شبکه عمومی مانند اینترنت نمایید، حتما گوش به زنگ وقایع و خطرات آتی باشید و منتظر قبض تلفن چند میلیونی بمانید!

فراموش نکنید که هرگونه خدماتی که در یک شبکه عمومی ارائه میشود، امکان حمله روی آن وجود دارد.

یک از نکات امنیتی که توصیه میشود، استفاده از Port Knocking است.

جهت تنظیم Port Knocking روی فایروال میکروتیک به صورت زیر اقدام نمایید:

1

 

در این سناریو فرض شده است آدرس IP استاتیک سازمان 79.127.92.223است و پرسنل بیرون از سازمان می بایست با این IP ارتباط برقرار کنند.

مطابق شکل به مسیر IP -> Firewall و سربرگ Filter Rules رفته و روی Add کلیک نمایید تا پنجره شماره 4 نمایان شود.

2

 

در این پنجره Chain را Input ، Protocol را ICMP و In Interface را pppoe1 قرار داده و در سربرگ Advanced مقدار Packet Size را 78 قرار داده و در نهایت به سربرگ Action رفته و Action را add src to address list قرار داده و Address List را temp1 قرار داده و Timeout را 10 دقیقه در نظر میگیریم. دست آخر روی OK کلیک کنید.

3

 

سپس اقدام به افزودن رول دیگری مطابق شکل زیر می نماییم.

 

4

 

در نهایت رول ای برای Drop کردن کلیه ترافیک اضافه می کنیم.

5

 

لازم به ذکر است مقدار Packet Size ای که در فیلتر رول مشخص میکنید، همواره باید 28 بایت بیشتر از مقداری باشد که به عنوان سایز پکت Ping در نظر دارید.

همان گونه که در تصویر زیر مشاهده میکنید، در حال حاضر هیچ کسی از طریق اینترنت به این روتر دسترسی ندارد، مگر آنکه Knocking انجام دهد.

6

 

برای انجام Knocking باید ابتدا سایز پکت ping را 50 بایت قرار دهیم و مجدد روتر را با سایز پکت 72 بایت ping کنیم. بعد از این عمل، شما دسترسی کامل به روتر خواهید داشت.

7

 

در انتها فراموش نشود، سرور های ویپ، بخصوص سیستم های کدباز به صورت پیش فرض کمترین نکات امنیتی را درون خود دارند و این وظیفه یک متخصص امنیت ویپ است که آن را امن کند، این سیستم ها به راحتی توسط روبات های هک می شوند و هزینه بسیار بالای مخابراتی را برای شما خواهند داشت. این مقاله بخش کوچکی از امنیت را بیان داشته و برای امنیت کامل سیستم تلفنی خود می بایست دوره بین المللی امنیت الستیکس Elastix security Master را بگذارید.

با سپاس فراوان از شما مخاطبین محترم ویپ ایران،

سید محمد سجاد تکیه
مهندس رسمی الستیکس ECE
متخصص امنیت الستیکس ESM

الستیکس نسخه 4 به همراه تلفن WebRTC ارائه می شود
نحوه تغییر رمز Mysql سیستم الستیکس (Elastix)

مطالب مرتبط

 

نظرات

نظري ارسال نشده است
Default Avatar
Already Registered? Login Here
مهمان
چهارشنبه, 28 آذر 1397

تصویر امنیتی

/blog?task=captcha.generate&no_html=1&tmpl=component&id=206450

محبوب ترین مقالات

  در این مقاله قصد داریم از طریق قابلیت مجازی سازی بر روی روتربرد میکروتیک، اقدام به نصب ا...
    راه اندازی یک سیستم تلفنی با محصولات کدباز یکی از پیچیده ترین کار هایی است که یک ...
شرکت شاتل یکی از شرکت های دارنده مجوز FCP است که اقدام به ارائه خطوط ویپ با نام ShatelTalk کرده است،...
الستیکس Elastix یک سیستم تلفنی مبتنی بر Asterisk است و به عنوان محبوب ترین سیستم استرسکی کدباز شناخت...
کاربرد جهت مدل های  4104/4108 در این آموزش شما با نحوه تنظیم گیت وی های شهری برند گرند استریسم (Gran...
مقدمه اهمیت ارتباطات در دنیای امروز و نقش تلفن در ارتباطات بر کسی پوشیده نیست. کلمه ارتباط بسیاری از...
  تعریف واژه ها: audio codec : سخت‌افزار یا برنامه کامپیوتری که قابلیت کدگشایی یا کدگذاری داده‌های ص...

آرشیو مقالات

2014
دی
بهمن
اسفند
فروردين
ارديبهشت
خرداد
تیر
مرداد
شهریور
مهر
آبان
آذر
2013
اسفند
فروردين
ارديبهشت
خرداد
تیر
شهریور
مهر
آبان
آذر
2012
دی
بهمن
فروردين
ارديبهشت
خرداد
تیر
مرداد
مهر
آبان
آذر
2011
دی
بهمن
اسفند
فروردين
ارديبهشت
آبان
آذر
2010
بهمن
فروردين
ارديبهشت
خرداد
تیر
مرداد
مهر
آبان
آذر
2009
دی
اسفند
فروردين
ارديبهشت
خرداد
تیر
مرداد
شهریور
مهر
آبان
آذر