Доброго всем времени суток, кто решил почитать. Я на форуме новичок и так как надо сделать какой-нибудь «подгончик», дабы меня «приняли». Я решил не много о системах защиты написать. Вдруг кому окажется полезной…
Хочу не много рассказать о одном из способов защиты от DDOS, брута или скана очень элегантным способом. Админам, которые уже собаку съели, статья врят ли расскажет что-то нового, но для начинающих, или же тех, кто желает углубиться в способы защиты, понять суть защиты и проникновения, статья может показаться интересной.
На уровне маршрутизатора всегда можно закрыть определённые порты, на пример 22 или же 465, 3389 и так далее, или же переназначить их на нестандартные позиции, но это не всегда является хорошим решением. Я же хочу рассказать о механизме защиты самих портов от несанкционированного доступа на примере оборудования MikroTik.
Port Knocking – это сетевой демон работающий на Firewall’е (я не говорю про сервера bsd или *nix’ы). Основным принципом его работы является условие:
До тех пор, пока порт не получит ключ (заранее определённую последовательность сигналов (на пример пингов)), порт является закрытым.
Простой пример – у нас запущен сервер, на который можно зайти только по 22 порту (SSH). Port Knocking прослушивается этот порт в ожидании 2х условий:
1) Вайт Лист фаэрвола
2) Определённая последовательность сигналов.
Если ни одно из условий не выполнено, то порт будет закрытым (защита от сканеров). Так же, неотъемлемым плюсом данной приблуды хочу указать то, что многие админы ставят на своё оборудование всяческую защиту от bruteforce, которая при нескольких неудачный попыток соединения добавляет ip адрес пользователя в черный список и сервер для него становится вообще недоступным. И даже в этом случае PK может помочь. Так же, создается правилось на фаэрволе, по определённой последовательности действий пользователя.
Все же понимают, что даже если пользователь в черном списке, то фактически сервер обрабатывает так или иначе запросы от него, следовательно, мы может выводить пользователя из черного списка на автоматизированной уровне, на пример, написал скрипт или bat’ник, который будет делать определённую последовательность скана портом через заранее определённые тайминги, или же посылаться пинги через определённые интервалы, определённое количество.
Здесь играет та же самая фишка, что и при «открытии портов», только конечное условие ставится – поиск ip адреса в блэклистах и удалениеего от тупа при совпадении результата. Как таковой уязвимостью это считать сложно, так как заранее угадать её невозможно, а при необходимости, всегда её можно поменять в пару кликов. Предела использования данного демона, мне кажется, придумать сложно.
Прошу строго не суть. Первая статья, проба пера, так сказать, к тому же не знаю опыт и уровень подготовки аудитории, по этому, скриптом приводить не стал, а лишь попытался описать логику работы самым простым языком. Если увижу положительные оценки или отзывы, если кому-то понравится, то попробую написать что-нибудь еще. Если нужны будут конкретные примеры, то могу добавить.
Хочу не много рассказать о одном из способов защиты от DDOS, брута или скана очень элегантным способом. Админам, которые уже собаку съели, статья врят ли расскажет что-то нового, но для начинающих, или же тех, кто желает углубиться в способы защиты, понять суть защиты и проникновения, статья может показаться интересной.
На уровне маршрутизатора всегда можно закрыть определённые порты, на пример 22 или же 465, 3389 и так далее, или же переназначить их на нестандартные позиции, но это не всегда является хорошим решением. Я же хочу рассказать о механизме защиты самих портов от несанкционированного доступа на примере оборудования MikroTik.
Port Knocking – это сетевой демон работающий на Firewall’е (я не говорю про сервера bsd или *nix’ы). Основным принципом его работы является условие:
До тех пор, пока порт не получит ключ (заранее определённую последовательность сигналов (на пример пингов)), порт является закрытым.
Простой пример – у нас запущен сервер, на который можно зайти только по 22 порту (SSH). Port Knocking прослушивается этот порт в ожидании 2х условий:
1) Вайт Лист фаэрвола
2) Определённая последовательность сигналов.
Если ни одно из условий не выполнено, то порт будет закрытым (защита от сканеров). Так же, неотъемлемым плюсом данной приблуды хочу указать то, что многие админы ставят на своё оборудование всяческую защиту от bruteforce, которая при нескольких неудачный попыток соединения добавляет ip адрес пользователя в черный список и сервер для него становится вообще недоступным. И даже в этом случае PK может помочь. Так же, создается правилось на фаэрволе, по определённой последовательности действий пользователя.
Все же понимают, что даже если пользователь в черном списке, то фактически сервер обрабатывает так или иначе запросы от него, следовательно, мы может выводить пользователя из черного списка на автоматизированной уровне, на пример, написал скрипт или bat’ник, который будет делать определённую последовательность скана портом через заранее определённые тайминги, или же посылаться пинги через определённые интервалы, определённое количество.
Здесь играет та же самая фишка, что и при «открытии портов», только конечное условие ставится – поиск ip адреса в блэклистах и удалениеего от тупа при совпадении результата. Как таковой уязвимостью это считать сложно, так как заранее угадать её невозможно, а при необходимости, всегда её можно поменять в пару кликов. Предела использования данного демона, мне кажется, придумать сложно.
Прошу строго не суть. Первая статья, проба пера, так сказать, к тому же не знаю опыт и уровень подготовки аудитории, по этому, скриптом приводить не стал, а лишь попытался описать логику работы самым простым языком. Если увижу положительные оценки или отзывы, если кому-то понравится, то попробую написать что-нибудь еще. Если нужны будут конкретные примеры, то могу добавить.
