In questa semplice guida vediamo come mettere una ulteriore sicurezza nei nostri apparati Mikrotik.
Il metodo che andremo ad implementare è il Port Knoking.
Questa implementazione ci permette di inserire dentro una lista l’IP permesso ( trusted-ip ) con un timeout di 60 minuti (il timeout è personalizzabile) ed anche le porte che possono essere raggiungibili ( per esempio solo la porta della VPN SSTP). Questo riduce molto la possibilità di ricevere qualsiasi tipo di attacco o PortScan.
Andiamo a capire le regole che ci servono.
Per prima cosa, dobbiamo scegliere 3 porte, che siano o TCP o UDP , nel nostro esempio sono la 29954/TCP – 15953/UDP – 46972/UDP ed abbiamo anche impostato il timeout del trusted-ip a 60 minuti. Tra ogni bussata può passare massimo 1 minuto (tempo che può essere alzato o abbassato a piacimento).
Ecco il codice:
/ip firewall filter
add action=add-src-to-address-list address-list=phase1-knocking address-list-timeout=1m chain=input comment=Port-Knocking dst-port=29954 protocol=tcp
add action=add-src-to-address-list address-list=phase2-knocking address-list-timeout=1m chain=input dst-port=15953 protocol=udp src-address-list=phase1-knocking
add action=add-src-to-address-list address-list=trusted-ip address-list-timeout=1h chain=input dst-port=46972 protocol=tcp src-address-list=phase2-knocking
add action=drop chain=input dst-port=443 protocol=tcp src-address-list=!trusted-ip
Come si vede nel codice sopra, alla prima bussata effettuata l’IP sorgente viene inserito dentro una address-list dinamica che si chiama phase1-knocking. Lo stesso criterio viene effettuato quando si fa la seconda bussata che ha come IP sorgente l’IP precedentemente inserito nella lista phase1-knocking. Questo vale anche per la terza bussata.
Una volta eseguito le tre bussate in modo corretto, l’indirizzo IP sorgente viene inserito dentro una address-list chiamata trusted-ip per 60 minuti.
Nell’esempio sopra abbiamo permesso in INPUT sulla porta 443 solamente gli IP che sono all’interno dell’address-list trusted-it.