Knocking در لغت به معنای کوبیدن یا ضربه زدن است و در اصطلاح فنی روشی برای افزودن داینامیک یک IP Address به مجموعه آدرسهای مجاز برای مدت زمان مشخصی میباشد، به بیان دیگر، باز کردن پورت از راه دور بر روی فایروال به وسیله ایجاد کانکشن روی مجموعهای از پورتهای بسته که از پیش مشخص شدهاند، میباشد. راهاندازی این امکان بر روی شبکه خود برای اعمال امنیت بیشتر در جهت دسترسی به سرورهای شما است، وقتی سرور Elastix دارید و میخواهید از بستر اینترنت به آن دسترسی پیدا کنید میبایست مباحث امنیتی بسیاری را رعایت نمایید، یکی از این موارد میتواند امن کردن دسترسی به سرور باشد که البته Port Knockong میتواند گزینه مناسبی برای شما که Mikrotik دارید باشد. همه ما از مفهوم PortKnocking در زندگی روزمره خود استفاده کردیم. به عنوان مثال، ساعت 10 به منزل خود مراجعه میکنید و با n بار ضربه زدن به درب حیاط اعلام میکنید که یک فرد مجاز پشت درب است و میبایست درب منزل برای شما باز شود. ساعت رجوع و تعداد دفعات ضربه زدن و بازه زمانی، از قبل توسط شما تعیین شده است. PortKnocking شبیه کوبیدن درب به صورت رمزی است و میتواند از پروتکلهای TCP,UDP,ICMP و... یا ترکیبی از آنها در نوشتن Rule Port Knocking استفاده کنید. سناریو زیر را تصور کنید:
شما در شبکه خود IP PBX ای دارید و افرادی در بیرون سازمان قصد دارند روی PBX شما رجیستر شوند و اقدام به برقراری تماس نمایند. در صورتی که بدون رعایت نکات امنیتی اقدام به Publish نمودن PBX خود در یک شبکه عمومی مانند اینترنت نمایید، حتماً گوش به زنگ وقایع و خطرات آتی باشید و منتظر قبض تلفن چند میلیونی بمانید فراموش نکنید که هرگونه خدماتی که در یک شبکه عمومی ارائه میشود، امکان حمله روی آن وجود دارد. یک از نکات امنیتی که توصیه میشود، استفاده از Port Knocking است. جهت تنظیم Port Knocking روی فایروال Mikrotik به صورت زیر اقدام نمایید:
در این سناریو فرض شده است آدرس IP استاتیک سازمان 79.127.92.223است و پرسنل بیرون از سازمان میبایست با این IP ارتباط برقرار کنند. مطابق شکل به مسیر IP -> Firewall و سربرگ Filter Rules رفته و روی Add کلیک نمایید تا پنجره شماره 4 نمایان شود.
در این پنجره Chain را Input ، Protocol را ICMP و In Interface را pppoe1 قرار داده و در سربرگ Advanced مقدار Packet Size را 78 قرار داده و در نهایت به سربرگ Action رفته و Action را add src to address list قرار داده و Address List را temp1 قرار داده و Timeout را 10 دقیقه در نظر میگیریم. دست آخر روی OK کلیک کنید.
سپس اقدام به افزودن رول دیگری مطابق شکل زیر مینماییم.
در نهایت رولی برای Drop کردن کلیه ترافیک اضافه میکنیم.
لازم به ذکر است مقدار Packet Sizeای که در فیلتر رول مشخص میکنید، همواره باید 28 بایت بیشتر از مقداری باشد که به عنوان سایز پکت Ping در نظر دارید. همان گونه که در تصویر زیر مشاهده میکنید، در حال حاضر هیچ کسی از طریق اینترنت به این Router دسترسی ندارد، مگر آن که Knocking انجام دهد.
برای انجام Knocking باید ابتدا سایز پکت ping را 50 بایت قرار دهیم و مجدد Router را با سایز پکت 72 بایت ping کنیم. بعد از این عمل، شما دسترسی کامل به Router خواهید داشت.
در انتها فراموش نشود، سرورهای VOIP، بخصوص سیستمهای کدباز به صورت پیش فرض کمترین نکات امنیتی را درون خود دارند و این وظیفه یک متخصص امنیت VOIP است که آن را امن کند، این سیستمها به راحتی توسط روباتهای هک میشوند و هزینه بسیار بالای مخابراتی را برای شما خواهند داشت. این مقاله بخش کوچکی از امنیت را بیان داشته و برای امنیت کامل سیستم تلفنی خود میبایست دوره بینالمللی امنیت Elastix security Master را بگذارید.
منبع: VOIPIRAN
دیدگاه خود را بنویسید