Раскройте, пожалуйста, в одном из следующих видео различия в синтаксисе на RouterOS v6 и на RouterOS v7. Переносили настройки с Mikrotik RB450G (v6.48.6) на RB5009UG+S+ (v7.0.5) и некоторые правила не отрабатывали.
Роман, огромное спасибо за ваши видео, очень все четко и доступно. Не могли бы вы снять видео со след.сценарием: имеем интерфейс vpn (wireguard) и хотим трафик для определенных сайтов отправлять через него, остальной через провайдера. Возможно уже есть такое у вас, тогда прошу прощения.
Как раз сейчас ищу материал по данной теме. Дело в том, что возникла необходимость подключать сотрудников удалённо. Но головная контора регулярно следит за открытыми портами на адресах подчиненных подразделений. Port Knocking - вроде то, что нужно. Но возникает вопрос - когда удалённый сотрудник достучался и соединился, получается порт открыт и контролирующее подразделение сразу обнаружит это?
Правильно ли я понял, что при такой настройке порт 22 виден в инете постоянно, но доступ получают только те, кто прошелся по оговоренным портам? Или 22 порт закрыт и открывается только тогда, когда проходишь оговоренные порты?
Роман! Благодарю за Ваши видео. 2-3 летней давности, благодаря роликам Вашим, PORK KNOCK уже стандарт. Прошу подсказать, port knock клиент для Windows. Под android отрабатывает и TCP и UDP и ICMP, а WINDOWS программы не нашел, что бы ещё ICMP отрабатывало. У меня так 5 стуков в перемешку: TCP,UDPICMP на ANDROID, а под WONDOWS ICMP программа не знает, что это такое. Получается так: Программа на ПК отрабатывает порткнокинг на 4 пункта, а 5 стук уже командной строкой доганаю на WINDOWS. Бухгалтера косо смотрят. Прошу помочь. Благодарю.
@@MikrotikTraining Благодарю. У меня 2 этапа: С начало Pork Knock, а уже потом VPN. А на человек по середине тоже есть ловушки для информированности. Тоже благодаря Вам.
Добрый день, Роман! Полагаю, что тема раскрыта не полностью. А именно, снимите вторую часть с произвольным порядком ввода портов для доступа к ресурсам.
А зачем? Смысл этих роликов не в том чтобы рассказывать все доступные варианты логики, которую может придумать кто угодно, а чтобы за короткий промежуток времени познакомить с тем что это такое. А дальше уже каждый может придумать свою последовательность.
Я провел эксперимент: Настроил порты стучась на которые попадаешь в определенный адрес лист, так вышло поставил порты по возрастанию с рандомным интервалом(к примеру 50, 600, 1050). Далее запустил сканер портов и что ребята. У меня в адрес листе появились 2 списка. Считаю нужно подтюнить эту тему. Вы можете поиграться с рандомными числами чтобы интервал был по больше между цифрами портов, и чтобы 1,2,3 список не соответствовал порядку портов по возрастании. И еще сократив время работы в списке к минимуму больше шансов что не активизируется 2 список при скане портов на вашем устройстве.(время должно стоять такое чтобы вы успели попасть в след список). Софт кнокинг делает думаю это быстрее, поэтому активацию 1х двух списков можно привести к 3 секундам. Жду критику. Но бейте не сильно)))))))))))
На телефоне (андройд) стоит программа Knock on Ports с разными стуками под разное железо и Mikrotik 1.3.27 - если в дороге надо что то подправить, то вполне рабочий комплект -)
Роман, добрый день. А почему не поместить drop на вкладку raw, цепочку prerouting? Это вроде будет дешевле по ресурсам маршрутизатора. Поправьте если я не прав. Вроде и сам knocking можно сделать в raw. Это я по вашим же туториалам делал. Сейчас предпочтение поменялось?
Можно создать скрипт который будет делать это автоматом, НО только когда стучишься на специальный (технический) порт. Админ стучится на специально заготовленный порт скрипт в свою очередь генерирует создает правило для Кнок со случайно сгенерированными портами и отправляет последовательность этих портов админу на почту
В теории. Есть варианты на тему защиты от сканеров портов, есть варианты настройки с размером пакетов. Ну и в целом штука не на постоянное применение - я бы даже сказал оно для дома) Совершенно не защищает от человека посередине - прослушать можно всю последовательность.
Как и вы) кто угодно может резать что угодно. Главный вопрос зачем. Если ваш вопрос относительно уменьшения mtu - это может происходить из-за уменьшения mtu на pppoe интерфейсе из-за дополнительной инкапсуляции.
Роман, спасибо за знания. С вами, можно быть обладателем Микротика.
Главное чтобы он не был обладателем нас
Спасибо, по вашим видео изучаю возможности RouterOS! Очень нравится формат, раньше смотрел по часу, но не всегда есть столько времени. 👍👍👍
Давно хотел защитить winbox, теперь будет возможность. Скажу так, атаки на микротик мотивируют изучать сети и маленькую коробочку😝
Не полагаетесь на port knocking как на основную защиту - от человека по середине она не защитит. Лучше vpn.
Как всегда на высоте все!
Роман, можно так же видео про состояние пакетов? Спасибо! /Ваши часовые вебинары лучшие!
Добавили в план
+++
очень полезно !
Оч крутая тема.
Раскройте, пожалуйста, в одном из следующих видео различия в синтаксисе на RouterOS v6 и на RouterOS v7.
Переносили настройки с Mikrotik RB450G (v6.48.6) на RB5009UG+S+ (v7.0.5) и некоторые правила не отрабатывали.
Попробуем.
Роман, огромное спасибо за ваши видео, очень все четко и доступно. Не могли бы вы снять видео со след.сценарием: имеем интерфейс vpn (wireguard) и хотим трафик для определенных сайтов отправлять через него, остальной через провайдера. Возможно уже есть такое у вас, тогда прошу прощения.
Как раз сейчас ищу материал по данной теме. Дело в том, что возникла необходимость подключать сотрудников удалённо. Но головная контора регулярно следит за открытыми портами на адресах подчиненных подразделений. Port Knocking - вроде то, что нужно. Но возникает вопрос - когда удалённый сотрудник достучался и соединился, получается порт открыт и контролирующее подразделение сразу обнаружит это?
Правильно ли я понял, что при такой настройке порт 22 виден в инете постоянно, но доступ получают только те, кто прошелся по оговоренным портам? Или 22 порт закрыт и открывается только тогда, когда проходишь оговоренные порты?
Роман! Благодарю за Ваши видео.
2-3 летней давности, благодаря роликам Вашим, PORK KNOCK уже стандарт.
Прошу подсказать, port knock клиент для Windows. Под android отрабатывает и TCP и UDP и ICMP, а WINDOWS программы не нашел, что бы ещё ICMP отрабатывало.
У меня так 5 стуков в перемешку: TCP,UDPICMP на ANDROID, а под WONDOWS ICMP программа не знает, что это такое.
Получается так:
Программа на ПК отрабатывает порткнокинг на 4 пункта, а 5 стук уже командной строкой доганаю на WINDOWS.
Бухгалтера косо смотрят.
Прошу помочь. Благодарю.
Писать самому или bat, powershell. Главное помните этот подход не защищает от человека по середине - тк любую последовательность можно «подслушать»
@@MikrotikTraining Благодарю. У меня 2 этапа:
С начало Pork Knock, а уже потом VPN.
А на человек по середине тоже есть ловушки для информированности. Тоже благодаря Вам.
Паранойненько. Обычно хватает vpn)
Добрый день, Роман! Полагаю, что тема раскрыта не полностью. А именно, снимите вторую часть с произвольным порядком ввода портов для доступа к ресурсам.
А зачем? Смысл этих роликов не в том чтобы рассказывать все доступные варианты логики, которую может придумать кто угодно, а чтобы за короткий промежуток времени познакомить с тем что это такое. А дальше уже каждый может придумать свою последовательность.
@@MikrotikTraining добрый день, все верно, админы должны включать логику, а то все будут делать по шаблону.
Я провел эксперимент:
Настроил порты стучась на которые попадаешь в определенный адрес лист, так вышло поставил порты по возрастанию с рандомным интервалом(к примеру 50, 600, 1050). Далее запустил сканер портов и что ребята. У меня в адрес листе появились 2 списка. Считаю нужно подтюнить эту тему. Вы можете поиграться с рандомными числами чтобы интервал был по больше между цифрами портов, и чтобы 1,2,3 список не соответствовал порядку портов по возрастании. И еще сократив время работы в списке к минимуму больше шансов что не активизируется 2 список при скане портов на вашем устройстве.(время должно стоять такое чтобы вы успели попасть в след список). Софт кнокинг делает думаю это быстрее, поэтому активацию 1х двух списков можно привести к 3 секундам. Жду критику. Но бейте не сильно)))))))))))
Супер. Если освоите vpn - будет воообще хорошо.
На телефоне (андройд) стоит программа Knock on Ports с разными стуками под разное железо и Mikrotik 1.3.27 - если в дороге надо что то подправить, то вполне рабочий комплект -)
Я в дороге vpn использую с телефона
А можно это организовывать mangle? В данном примере неважно но вроде маркеры меньше нагружают процессор?
Можно и в mangle. Экономнее всего будет в raw
Подскажите, какую программу для Port knocking можно использовать на Mac os?
brew install knock
Объясните зачем этот несекурный велосипед нужен? Гораздо проще настроить ssh по ключам или вообще vpn.
Роман, добрый день. А почему не поместить drop на вкладку raw, цепочку prerouting? Это вроде будет дешевле по ресурсам маршрутизатора. Поправьте если я не прав.
Вроде и сам knocking можно сделать в raw. Это я по вашим же туториалам делал. Сейчас предпочтение поменялось?
Главное суть уловить в даном видео). В raw будет дешевле, если есть задача сэкономить) Тут мы разбирали в целом подход и раздел firewall
лучше делать в raw. так как в filter rules нужно ждать пока соединение от 1 knock закроется чтобы попасть в knock2, по крайней мере у меня было так.
Зависит от положения относительно established. В raw потребление ресурсов будет немного ниже.
Можно создать скрипт который будет делать это автоматом, НО только когда стучишься на специальный (технический) порт.
Админ стучится на специально заготовленный порт скрипт в свою очередь генерирует создает правило для Кнок со случайно сгенерированными портами и отправляет последовательность этих портов админу на почту
Можно, даже можно смс сделать. Вопрос только зачем.
получается если просканировать все порты то доступ откроется?)
В теории. Есть варианты на тему защиты от сканеров портов, есть варианты настройки с размером пакетов. Ну и в целом штука не на постоянное применение - я бы даже сказал оно для дома) Совершенно не защищает от человека посередине - прослушать можно всю последовательность.
Номера портов для первых 2 простукиваний двузначные, а вот третье из четырех цифр. Наверное, чтобы Микротик не сгорел. 😀
Можете поставить любые доступные. Совершенно без разницы
Некоторые админы добавили авторизацию веб, через cloudflare
У них есть какой-то совместимый сервис
Mikrotik умеет только radius
cloudflare access?
@@yuk1c Не уверен, возможно и он. Не подскажите, как настроить?
@@antoniomax3163 не шарю за микроты
Провайдер может резать длинну пакетов ping’a?
Как и вы) кто угодно может резать что угодно. Главный вопрос зачем. Если ваш вопрос относительно уменьшения mtu - это может происходить из-за уменьшения mtu на pppoe интерфейсе из-за дополнительной инкапсуляции.
Интересно, кто то делал port knocking, чтобы не было разницы в какой последовательности это делать