Knocking در لغت به معنای کوبیدن یا ضربه زدن است و در اصطلاح فنی روشی برای افزودن داینامیک یک IP Address به مجموعه آدرس‌های مجاز برای مدت زمان مشخصی می‌باشد، به بیان دیگر، باز کردن پورت از راه دور بر روی فایروال به وسیله ایجاد کانکشن روی مجموعه‌ای از پورت‌های بسته که از پیش مشخص شده‌اند، می‌باشد. راه‌اندازی این امکان بر روی شبکه خود برای اعمال امنیت بیشتر در جهت دسترسی به سرورهای شما است، وقتی سرور Elastix دارید و می‌خواهید از بستر اینترنت به آن دسترسی پیدا کنید می‌بایست مباحث امنیتی بسیاری را رعایت نمایید، یکی از این موارد می‌تواند امن کردن دسترسی به سرور باشد که البته Port Knockong می‌تواند گزینه مناسبی برای شما که Mikrotik دارید باشد. همه ما از مفهوم PortKnocking در زندگی روزمره خود استفاده کردیم. به عنوان مثال، ساعت 10 به منزل خود مراجعه می‌کنید و با n بار ضربه زدن به درب حیاط اعلام می‌کنید که یک فرد مجاز پشت درب است و می‌بایست درب منزل برای شما باز شود. ساعت رجوع و تعداد دفعات ضربه زدن و بازه زمانی، از قبل توسط شما تعیین شده است. PortKnocking شبیه کوبیدن درب به صورت رمزی است و می‌تواند از پروتکل‌های TCP,UDP,ICMP و... یا ترکیبی از آن‌ها در نوشتن Rule Port Knocking استفاده کنید. سناریو زیر را تصور کنید:

VOIP Network Diagram












شما در شبکه خود IP PBX ای دارید و افرادی در بیرون سازمان قصد دارند روی PBX شما رجیستر شوند و اقدام به برقراری تماس نمایند. در صورتی که بدون رعایت نکات امنیتی اقدام به Publish نمودن PBX خود در یک شبکه عمومی مانند اینترنت نمایید، حتماً گوش به زنگ وقایع و خطرات آتی باشید و منتظر قبض تلفن چند میلیونی بمانید فراموش نکنید که هرگونه خدماتی که در یک شبکه عمومی ارائه می‌شود، امکان حمله روی آن وجود دارد. یک از نکات امنیتی که توصیه می‌شود، استفاده از Port Knocking است. جهت تنظیم Port Knocking روی فایروال Mikrotik به صورت زیر اقدام نمایید:

1

 




در این سناریو فرض شده است آدرس IP استاتیک سازمان 79.127.92.223است و پرسنل بیرون از سازمان می‌بایست با این IP ارتباط برقرار کنند. مطابق شکل به مسیر IP -> Firewall و سربرگ Filter Rules رفته و روی Add کلیک نمایید تا پنجره شماره 4 نمایان شود.

2

در این پنجره Chain را Input ، Protocol را ICMP و In Interface را pppoe1 قرار داده و در سربرگ Advanced مقدار Packet Size را 78 قرار داده و در نهایت به سربرگ Action رفته و Action را add src to address list قرار داده و Address List را temp1 قرار داده و Timeout را 10 دقیقه در نظر می‌گیریم. دست آخر روی OK کلیک کنید.

3

سپس اقدام به افزودن رول دیگری مطابق شکل زیر می‌نماییم.

4

در نهایت رول‌ای برای Drop کردن کلیه ترافیک اضافه می‌کنیم.

5

لازم به ذکر است مقدار Packet Sizeای که در فیلتر رول مشخص می‌کنید، همواره باید 28 بایت بیشتر از مقداری باشد که به عنوان سایز پکت Ping در نظر دارید. همان گونه که در تصویر زیر مشاهده می‌کنید، در حال حاضر هیچ کسی از طریق اینترنت به این Router دسترسی ندارد، مگر آن که Knocking انجام دهد.

6

 





برای انجام Knocking باید ابتدا سایز پکت ping را 50 بایت قرار دهیم و مجدد Router را با سایز پکت 72 بایت ping کنیم. بعد از این عمل، شما دسترسی کامل به Router خواهید داشت.

7

در انتها فراموش نشود، سرورهای VOIP، بخصوص سیستم‌های کدباز به صورت پیش فرض کمترین نکات امنیتی را درون خود دارند و این وظیفه یک متخصص امنیت VOIP است که آن را امن کند، این سیستم‌ها به راحتی توسط روبات‌های هک می‌شوند و هزینه بسیار بالای مخابراتی را برای شما خواهند داشت. این مقاله بخش کوچکی از امنیت را بیان داشته و برای امنیت کامل سیستم تلفنی خود می‌بایست دوره بین‌المللی امنیت Elastix security Master را بگذارید.


منبع: VOIPIRAN