Port Knocking: Winbox más seguro

Para permitir el acceso a un router con IP pública desde cualquier destino con una capa adicional de seguridad, se puede utilizar la técnica de port-knocking

Consiste en “golpear” determinados puertos, en una determinada secuencia, permitiendo de esa manera el acceso al puerto de Winbox (por defecto: TCP 8291) solo a la IP pública desde la que se hizo el golpe de puertos, durante un tiempo predeterminado.

Para permitir el acceso a un router con IP pública desde cualquier destino con una capa adicional de seguridad, se puede utilizar la técnica de port-knocking

Consiste en “golpear” determinados puertos, en una determinada secuencia, permitiendo de esa manera el acceso al puerto de Winbox (por defecto: TCP 8291) solo a la IP pública desde la que se hizo el golpe de puertos, durante un tiempo predeterminado.

[admin@Perdichizzi.com.ar] > ip firewall filter export
/ip firewall filter
#Bloquea cualquier petición al puerto TCP/8291 si viene de una dirección NO listada en la lista “WAN habilitados”.

add action=drop chain=input dst-port=8291 protocol=tcp src-address-list=“!WAN Habilitados”
#Si se intenta una conexión al puerto TCP/9999 y la dirección IP origen no está en la lista “WAN Habilitados”, se añade a la lista “1º paso” durante 1:15 minutos”.

add action=add-src-to-address-list address-list=“1\BA paso” address-list-timeout=1m15s chain=input comment=“3 SRC-ACL + 1 ACC” dst-port=9999 protocol=tcp src-address-list=“!WAN Habilitados”
#Si se intenta una conexión al puerto TCP/2222 y la dirección IP origen está en la lista “1º Paso”, se añade a la lista “2º paso” durante 1:15 minutos”.

add action=add-src-to-address-list address-list=“2\BA paso” address-list-timeout=1m15s chain=input dst-port=2222 protocol=tcp src-address-list=“1\BA paso”
#Si se intenta una conexión al puerto TCP/4554 y la dirección IP origen está en la lista “2º Paso”, se añade a la lista “WAN habilitados” durante 3 horas”.

add action=add-src-to-address-list address-list=“WAN Habi” address-list-timeout=3h0m chain=input dst-port=4554 protocol=tcp src-address-list=“2\BA paso”
#Finalmente, si la dirección de origen está en la lista “WAN habilitados”, se permite el acceso vía Winbox.

add action=accept chain=input comment=“Winbox Habilitados” dst-port=8291 protocol=tcp src-address-list=“WAN Habilitados”

 

One thought on “Port Knocking: Winbox más seguro

Dejá un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *