PowerPoint Presentation
|
|
- Людмила Даниел
- преди 4 години
- Прегледи:
Препис
1 Port Knocking с RouterOS Допълнително ниво на защита за вашата мрежа
2 Добри Бояджиев Опит с MikroTik RouterOS 2008 I -ва MikroTik Академия (УниБИТ) 2014 Основи на MikroTik RouterOS 2016 Инструктор (Train the Trainer в Латвия) 2016 Координатор за България /37
3 Координатор (~7000 км) 10 обучения (200+ часа) 9 преподаватели в 5 нови академии 3/37
4 Предстои да видите По време на презентацията се очаква да бъдат (разяснени/показани/описани): Основните концепции и начин на работа Различните техники и особености при изпълнение с RouterOS (сървър или клиент) Добри практики и препоръки 4/37
5 Защо Port Knocking? Важни заключения от Deep-dive: MikroTik exploits - a security analysis (Tomas Kirnak) - MUM в САЩ, април 2019: 1. Подсигурете портовете за администриране на вашия рутер (не ги оставяйте отворени в публичната мрежа) 2. Подсигурете подходяща защитна стена 5/37
6 Port Knocking Метод за предаване на информация към затворени портове на мрежови устройства, имащ за цел удостоверяване, което да осигури достъп до защитени услуги Различни варианти за изпълнение: Строга последователност от пакети Съдържание на пакета (OTP) 6/37
7 В лесни стъпки (1) ACCEPT ЗАЩИТНА СТЕНА DROP 0 1 СЪРВЪР КЛИЕНТ 22 ПРИЛОЖЕНИЕ ПОРТОВЕ 7/37
8 В лесни стъпки (2) ACCEPT ЗАЩИТНА СТЕНА DROP 0 1 СЪРВЪР КЛИЕНТ ПРИЛОЖЕНИЕ 3 ПОРТОВЕ 8/37
9 В лесни стъпки (3) ACCEPT ЗАЩИТНА СТЕНА DROP 0 1 СЪРВЪР КЛИЕНТ 22 ПРИЛОЖЕНИЕ ПОРТОВЕ 9/37
10 Предимства Удостоверяване чрез защитната стена Портовете са затворени при сканиране Динамична, гъвката и прозрачна защита 3 порта: ~141 трилиона комбинации Опростен дизайн, лесен за анализ 10/37
11 Недостатъци Почуквания, които не пристигат в същата последователност (Out-of-order delivery) Без криптиране не предотвратява защита от spoofing и man-in-the-middle атаки Неприложим при публични услуги 11/37
12 RouterOS и Port Knocking MikroTik RouterOS, като сървър и клиент 12/37
13 RouterOS и Port Knocking RouterOS може да играе ролята на сървър, като проследява (и действа): последователността на опитите за връзка данните, които могат да се пренасят (payload) Може да изпълнява и ролята на клиент, като прави предварително дефинирани опити за връзка и пренася информация с определени инструменти 13/37
14 Port Knocking сървър Последователност от връзки и/или пренасяне на информация в протоколите 14/37
15 Port Knocking сървър Проследяване на строга последователност от опити за връзка към портове (TCP и/или UDP) Пренасяне и откриване на допълнителна информация чрез протоколи като ICMP (Ping Knocking), TCP, UDP, HTTP, DNS и др. Да ги използваме в комбинация 15/37
16 Елементи в RouterOS /ip firewall filter: В условия (Matcher): chain; protocol; dst-port; connectionstate; src-address-list; layer7-protocol; packet-size и др. В действие (Action): add-src-to-address-list, accept, drop /ip firewall connection /ip firewall address-list /ip firewall layer7-protocol /ip firewall nat; /ip firewall raw 16/37
17 TCP/UDP Port Knocking Създаваме 3 правила (/ip firewall filter): Всяко от тях следи даден порт, като при опит за връзка към него, записва временно IP адреса на подателя в определен (според стъпката) списък. Всяко следващо правило включва информация от предишното Добавяме правило, което да разрешава достъпа до услугата, само за IP адресите, попаднали в третия списък Какво още е необходимо? 17/37
18 (ICMP) Ping Knocking ping l n 1 /ip firewall filter: В условия (Matcher): icmp; packet-size При ping с payload X байта, пакетът е с размер X+28 байта (X + 20 байта за IP хедър + 8 байта за ICMP хедър) Да видим как изглежда на практика? 18/37
19 Port Knocking с данни Можем да пренасяме данни в ICMP хедъра: ping p 6d316b b 6d316b b е m1kr0t1k (Hex) И да ги откриваме: /ip firewall layer7-protocol \ add name="icmp payload" regexp=m1kr0t1k /ip firewall filter add action=accept chain=input \ layer7-protocol="icmp payload" protocol=icmp Да видим как изглежда на практика? 19/37
20 Port Knocking с данни Същото може да бъде постигнато и с транспортните протоколи TCP и UDP 20/37
21 HTTP URL Knocking Може да се извършва чрез HTTP GET заявка Проверката става например чрез: /ip firewall filter add action=add-src-to-address-list \ address-list=list3 address-list-timeout=1m \ chain=input content=m1kr0t1k \ dst-address= dst-port=80 protocol=tcp Да видим как изглежда на практика? 21/37
22 DDNS Knocking Имена на хостове в защитната стена Услугата динамичен DNS 22/37
23 Port Knocking клиент CLI, GUI, RouterOS 23/37
24 Port Knocking клиент (CLI) Тестване: telnet, ping, curl Windows: PortQry -n o 1001,3003,2002 -p both knock :tcp 3003:udp 2002:tcp It's me (IM) Linux: netcat -u hping3 -s c 1 -p 3003 knock :tcp 3003:udp 2002:tcp socat - TCP: : /37
25 Port Knocking клиент (GUI) Тестване: Уеб браузър, Winbox, Port Scanner Windows: Windows Port Knock Application KnockKnock - Port Knocking for Windows PortQryUI Packet Sender Android: Port Knocker Knock on Ports Knock the Port 25/37
26 Port Knocking клиент (RoS) /system telnet /ping (ICMP) /ping size=1001 count=1 interval=2 /tools fetch /tool fetch address= mode=http port=1001 src-path=m1kr0t1k /tools traffic-generator Каквито пакети (RAW) са ви необходими 26/37
27 Port Knocking при препращане на портове Използване на един и същи мрежови цокъл (сокет) за различни услуги 27/37
28 Port Forwarding (1) VPN client 1 VPN client 2 R1 R2 VPN server 1:443 VPN server 2:443 dstnat: 443->VPN server 2:443 + access list 28/37
29 Port Forwarding (2) RDP client 1 RDP server 1:3389 R1 RDP server 2:3389 dstnat: 3389->RDP server 1: access list dstnat: 3389->RDP server 2: /37
30 Packet Flow Routing 30/37
31 VPN клиент / VPN сървър Port Knocking Port Knocking RouterOS -> RouterOS 31/37
32 VPN клиент / VPN сървър 32/37
33 Добри практики При изпълнение на Port Knocking 33/37
34 Добри практики 1. Приемете връзки от тип established (и related) 2. Създайте ваша уникална комбинация (TCP/UDP/ICMP, данни) 3. Използвайте custom chains (ICMP, L7) 4. Още по-сигурно (Address List Knocking) 5. dstnat (NAT) или forward (Filter) 34/37
35 Добри практики 6. /ip firewall raw с някои ограничения 7. Комбинирайте със защита от сканиране на портове 8. Автоматизирайте 9. Не започвайте с ICMP (ping) 10. Не използвайте като единствен слой на защита 35/37
36 Въпроси и отговори Port Knocking с RouterOS. Допълнително ниво на защита за вашата мрежа 36/37
37 Благодаря! д-р Добри Бояджиев MUМ, София, 4 април 2019 г. dobria@gmail.com, /37
Extended monitoring with The Dude ros_command
Разширен мониторинг в The Dude с функцията ros_command София, MUM България 2019 г. Петър Димитров За мен: ПГ НЕТ ПРО ЕООД Компютърни мрежи: Персонализирани решения Обучения Консултантски услуги Петър Димитров
ПодробноMicrosoft PowerPoint - Windows2003 RRAS.ppt
Windows2003 Remote Access Христо Вълчанов hristo@tu-varna.acad.bg Remote Access конекции LAN Remote Access Protocols LAN Protocols Remote Access Protocols Internet LAN Protocols Remote Access сървър Remote
ПодробноThree-tier distributed applications Grisha Spasov, Nikolay Kakanakov, Nencho Lupanov Technical University Sofia - branch Plovdiv, Plovdiv, Bulgaria
Компютърни мрежи (КМ) Защо - появата на необходимост за обмен на съобщения и данни (информация) между различни клиентски приложения, при съответното развитието на комуникационните технологии (комутация
ПодробноMicrosoft Word - TB201L.doc
TB-201L е самостоятелно мрежово устройство, предназначено да измерва температура отдалечено и да уведомява чрез е-mail, SMS или по UPD при излизане на измерената стойност извън предварително зададен интервал,
ПодробноCSRF on JSON data
Cross-Site Request Forgery (CSRF) on JavaScript Object Notation (JSON) data Garo Garabedyan, TU-Sofia CSRF Cross-Site Request Forgery (CSRF) е широко използвана уязвимост на уеб страниците. В тази атака
ПодробноКак да се предпазим в интернет пространството?
Интернет заплахи Видове заплахи в интернет пространството Лектор: Стефан Тафков Интернет заплахи Защо да се предпазваме Компрометиране сигурността на системата Инциденти по време на сърфиране Индустриален
ПодробноПриложение1 ТЕХНИЧЕСКА СПЕЦИФИКАЦИЯ ЗА ДОСТАВКА, ИНСТАЛАЦИЯ И ГАРАНЦИОННА ПОДДРЪЖКА НА СИСТЕМА ИЗПОЛЗВАНА ЗА ВЪНШНА ЗАЩИТА СТЕНА СЪСТАВЕНА ОТ 2 БРОЯ У
ТЕХНИЧЕСКА СПЕЦИФИКАЦИЯ ЗА ДОСТАВКА, ИНСТАЛАЦИЯ И ГАРАНЦИОННА ПОДДРЪЖКА НА СИСТЕМА ИЗПОЛЗВАНА ЗА ВЪНШНА ЗАЩИТА СТЕНА СЪСТАВЕНА ОТ 2 БРОЯ УСТРОЙСТВА (АКТИВНО И РЕЗЕРВНО) : Минимални технически характеристики,
ПодробноКратка инструкция за инсталиране (За Windows & Mac OS) Външна HD P2P IP Камера Mодел:FI9803EP Mодел:FI9803P Mодел:FI9903P Съдържание на опаковката IP Камера Адаптер CD Ethernet Кабел Монтажна стойка Wi-Fi
ПодробноВидеорекордер АHD-3908 Ръководство за експлоатация Моделите от тази серия са отличен избор за цифрово наблюдение на обекти в различни сфери, където во
Видеорекордер АHD-3908 Ръководство за експлоатация Моделите от тази серия са отличен избор за цифрово наблюдение на обекти в различни сфери, където водещ фактор е сигурността. Вградената LINUX операционна
ПодробноУслуга Web Presence Описание на услугата Версия: 4.0 Май 2018 Страница 1 от 7
Услуга Web Presence Описание на услугата Версия: 4.0 Май 2018 Страница 1 от 7 Съдържание 1 Обща информация... 2 2 Описание на услугата... 2 2.1 Предлагани пакети... 2 2.1.1 Business... 4 2.1.2 Business
ПодробноРъководство за печат през AirPrint Вариант 0 BUL
Ръководство за печат през irprint Вариант 0 BUL Дефиниции на бележките В настоящото ръководство за потребителя използваме следните икони: Забележка Забележките ви казват какво да направите в дадена ситуация
ПодробноРъководство за мрежовия потребител Версия 0 BUL
Ръководство за мрежовия потребител Версия 0 BUL Съдържание 1 Въведение 1 Мрежови функции...1 Други функции...2 2 Промяна на мрежовите настройки 3 Промяна на мрежовите настройки на устройството...3 Използване
ПодробноТехнологично училище Електронни системи към Технически Университет-София ДИПЛОМНА РАБОТА Тема: Проектиране и изграждане на прототип за решение за Inte
Технологично училище Електронни системи към Технически Университет-София ДИПЛОМНА РАБОТА Тема: Проектиране и изграждане на прототип за решение за Internet Exchange Point базирано на Софтуерно Дефинирана
ПодробноКОНТРОЛЕР Z-397 модел WEB ETHERNET RS485 РЪКОВОДСТВО НА ПОТРЕБИТЕЛЯ RF Enabled
КОНТРОЛЕР Z-397 модел WEB ETHERNET RS485 РЪКОВОДСТВО НА ПОТРЕБИТЕЛЯ RF Enabled Съдържание 1. Общи сведения...3 2. Настройка на конвертора...3 2.1 Настройка с помощта на конфигурационен файл...3 2.2 Настройка
ПодробноМрежови речник В този Мрежови речник ще откриете основна информация за разширени мрежови характеристики на устройствата Brother и общи мрежови и често
Мрежови речник В този Мрежови речник ще откриете основна информация за разширени мрежови характеристики на устройствата Brother и общи мрежови и често използвани термини. Поддържаните протоколи и мрежови
ПодробноSoftwareDoc.docx
Описание на програмата SwitchManager СЪДЪРЖАНИЕ ПРЕДНАЗНАЧЕНИЕ... 2 ИНСТАЛИРАНЕ И АКТИВИРАНЕ НА ПРОГРАМНИЯ МОДУЛ... 2 СТАРТИРАНЕ НА ПРОГРАМАТА... 3 РЕЖИМИ НА РАБОТА НА УСТРОЙСТВОТО... 6 WI-FI НАСТРОЙКИ...
ПодробноАнализ и оптимизация на софтуерни приложения
Анализ и оптимизация на софтуерни приложения Александър Пенев Васил Василев Съдържание Конвейерно изпълнение Проблеми при конвейерното изпълнение Структурни опасности Даннови опасности Контролни опасности
ПодробноАнализ и оптимизация на софтуерни приложения
Анализ и оптимизация на софтуерни приложения Александър Пенев Васил Василев Съдържание Конвейерно изпълнение Проблеми при конвейерното изпълнение Структурни опасности Даннови опасности Контролни опасности
ПодробноMicrosoft Word - Techn zad 2017-M1
ТЕХНИЧЕСКА СПЕЦИФИКАЦИЯ за предоставяне на достъп до специализирана уеб-базирана електронна платформа, позволяваща провеждане на Национално онлайн външно оценяване на дигиталните компетентности на учениците
ПодробноControl no:
Smart Access Работна процедура A. Предварително условиe... 2 1. Съвместимост със смартфон... 2 2. Избор на кабел... 2 a. Устройства на Apple (iphone 4/4s)... 2 b. Устройства на Apple (iphone 5/5c/5s)...
ПодробноПРИЛОЖЕНИЕ D Таблици за запаметяване Глава 1 Таблица 1-2 Характеристики на протоколите за маршрутизация Протокол за маршрутизация Тип RIP Вектор за ра
ПРИЛОЖЕНИЕ D Таблици за запаметяване Глава 1 Таблица 1-2 Характеристики на протоколите за маршрутизация Протокол за маршрутизация Тип RIP Вектор за разстояние IGP EIGRP OSPF IS-IS BGP Първоначално IGP
ПодробноIP150 Интернет Модул Ръководство за потеребителя V1.3 - IP150-EU02 02/2015 Представяне Интернет модул IP150 е интернет комуникационен
IP150 Интернет Модул Ръководство за потеребителя V1.3 - IP150-EU02 02/2015 Представяне Интернет модул IP150 е интернет комуникационен модул позволяващ Ви да наблюдавате и контролирате алармената си система
Подробно1
1. Общи MPdemo е аудио плеър използващ BASS библиотеките. Той може да възпроизвежда широк набор от аудио файлове, аудио CD и интернет радио. Има три режима на работа: а) Възпроизвеждане на аудио файлове
ПодробноИнцтрукция за употреба на климатик TESLA с WiFi APP Сканирайте QR кода с вашия мобилен телефон за да свалите и инсталирате WiFi приложението за управл
Инцтрукция за употреба на климатик TESLA с WiFi APP Сканирайте QR кода с вашия мобилен телефон за да свалите и инсталирате WiFi приложението за управлвние на климатика. GWG04Eng-1 Отворете панела 1. Инсталиране
ПодробноДекларация за поверителност Дата на влизане в сила: 25 май 2018 г. Тази Декларация за поверителност е приложима за притежаван и упр
Декларация за поверителност Дата на влизане в сила: 25 май 2018 г. Тази Декларация за поверителност е приложима за www.bronlight.com, притежаван и управляван от Бронлайт ООД. Тя описва как събираме и използваме
ПодробноПРИМЕРЕН ГРАФИК ЗА ОБУЧЕНИЯТА по Национална програма Обучение за ИТ кариера График на учебните занятия за ученици, които са в XII клас през учебната 2
ПРИМЕРЕН ГРАФИК ЗА ОБУЧЕНИЯТА по Национална програма Обучение за ИТ кариера График на учебните занятия за ученици, които са в XII клас през учебната 2019/2020 г. и ще се обучават за трета година по Националната
ПодробноDOT NET 3.1
.NET технологии Изграждане на уеб приложения с ASP.NET Forms Управление на състоянието (state) State Повечето приложения използват данни (променливи), които трябва да се съхранят по време на няколко заявки
ПодробноMulti-Protocol On-board Ethernet сървър за печат и безжичен (IEEE b/g) Ethernet сървър за печат РЪКОВОДСТВО ЗА МРЕЖОВИЯ ПОТРЕБИТЕЛ HL-3040CN HL-
Multi-Protocol On-board Ethernet сървър за печат и безжичен (IEEE 802.11b/g) Ethernet сървър за печат РЪКОВОДСТВО ЗА МРЕЖОВИЯ ПОТРЕБИТЕЛ HL-3040CN HL-3070CW Преди да ползвате машината, моля, прочетете
ПодробноMicrosoft PowerPoint - Windows2003 Intro.ppt
Windows2003 Server Въведение Надежда Рускова ruskova@tu-varna.acad.bg Историческо развитие Развитие и влияние на Windows server 2003 VMS VMS OS/2 OS/2 Влияния Netware Netware UNIX UNIX TCP/IP TCP/IP and
ПодробноSlide 1
ФИШИНГ Какво е фишинг (на англ. phishing )? Фишинг ( phishing ) зарибяване, произлиза от fishing риболов, защото електронните съобщения, които се разпращат, са като въдици. Престъпниците създават имейл
ПодробноPowerPoint Presentation
MFC-L2712DN Компактно 4 в 1 монохромно лазерно мултифункционално устройство www.brother.bg Компактно 4 в 1 монохромно мултифункционално устройство Създадено с мисъл за вас и вашия бизнес MFC-L2712DN е
ПодробноXerox AltaLink C8030/C8035/C8045/C8055/C8070 Цветно мултифункционално устройство Контролен панел Кратко ръководство за употреба Наличните приложения м
Контролен панел Кратко ръководство за употреба Наличните приложения могат да варират в зависимост от настройките на вашето устройство. За повече подробности относно приложенията и функциите, вижте Ръководството
ПодробноBGP (Border Gateway Protocol) Развитието на Интернет създаде нуждата от BGP протокол, осигуряващ безциклична маршрутизация между домейни, който предст
BGP (Border Gateway Protocol) Развитието на Интернет създаде нуждата от BGP протокол, осигуряващ безциклична маршрутизация между домейни, който представлява интелигентен и сигурен маршрутизиращ протокол
ПодробноРъководство за уеб свързване Вариант 0 BUL
Ръководство за уеб свързване Вариант 0 BUL Приложими модели Настоящото ръководство за потребителя се отнася за следните модели. DCP-8250DN/MFC-8950DW(T) Дефиниции на бележките В настоящото ръководство
ПодробноN21mobile Политика за бисквитки За екипа на Network TwentyOne е от изключително значение да защитим от посегателства Вас и Вашите данни, които събирам
N21mobile Политика за бисквитки За екипа на Network TwentyOne е от изключително значение да защитим от посегателства Вас и Вашите данни, които събираме онлайн (анонимни или други). В тази секция ще научите
ПодробноИнструкция за инсталация на EXTRADE BOUTIQUE Ако на Вашия компютър е инсталирана по-ранна Windows 7 или по-ранна версия, моля пропуснете стъпка Предва
Инструкция за инсталация на EXTRADE BOUTIQUE Ако на Вашия компютър е инсталирана по-ранна Windows 7 или по-ранна версия, моля пропуснете стъпка Предварителни условия и преминете към стъпка Инсталиране.
ПодробноЦИРКУЛЯРНА ПОЩА (MAIL MERGE)
1 M AILINGS MAIL M ERGE Възможността за сливане на документи (Mail Merge) обединява главен документ (съдържание на писмото) със списък на получатели (таблица на Word, Excel или Access), за да генерира
ПодробноWolfram Mathematica & SQL
Wolfram Mathematica & SQL Емил Тоцев Сп. Информатика, 4 курс, група 1 б ф. номер: 0801261034 Р-л: Гл.ас. Христина Кулина ФМИ на ПУ П. Хилендарски, 23.02.2012 - Пловдив Съдържание: Въведение в DatabaseLink
ПодробноPowerPoint Presentation
FREE PPT TEMPLATES ЕНСИС МОБИЛЕН INSERT THE TITLE СКЕНЕР OF YOUR PRESENTATION HERE СЛЕДЕНЕТО НА НАЛИЧНОСТИ НИКОГА НЕ Е БИЛО ПО-ЛЕСНO! www.nsys-bg.com www.nsys.bg Free PPT _Click to add title ZEBRA KIT
ПодробноРъководство за употреба на Мобилно приложение - Портал за Дистанционно обучение СЪДЪРЖАНИЕ 1. Какво Ви дава мобилната версия на Портала за Дистанционн
Ръководство за употреба на Мобилно приложение - Портал за Дистанционно обучение СЪДЪРЖАНИЕ 1. Какво Ви дава мобилната версия на Портала за Дистанционно обучение на НИП 2. Инсталиране на мобилното приложение
Подробно