MikroTik

Como Configurar Port Knocking (Autenticação via Sequência de Portas) no Mikrotik: Passo a Passo

· Atualizado em 2 min de leitura
O Port Knocking (Autenticação via Sequência de Portas) no Mikrotik é uma técnica de segurança que permite abrir portas específicas do firewall apenas após uma sequência de conexões em portas predefinidas. Ele é utilizado para proteger serviços críticos, como SSH ou WinBox, contra acessos não autorizados.

Passo a Passo para Configurar Port Knocking no Mikrotik

1. Acesse o Mikrotik

  • Conecte-se ao dispositivo via WinBox, SSH, ou interface Web.

2. Configure Regras de Firewall para a Sequência de Portas

  • Adicione regras para capturar a sequência de portas desejada. Por exemplo, 1111, 2222 e 3333:
    RouterOS
    /ip firewall filter add chain=input protocol=tcp dst-port=1111 action=add-src-to-address-list address-list=PortKnockStage1 address-list-timeout=10s
/ip firewall filter add chain=input protocol=tcp dst-port=2222 src-address-list=PortKnockStage1 action=add-src-to-address-list address-list=PortKnockStage2 address-list-timeout=10s
/ip firewall filter add chain=input protocol=tcp dst-port=3333 src-address-list=PortKnockStage2 action=add-src-to-address-list address-list=PortKnockAuthorized address-list-timeout=1h

3. Bloqueie o Acesso ao Serviço Protegido

  • Adicione uma regra para bloquear o acesso ao serviço protegido por padrão:
    RouterOS
    /ip firewall filter add chain=input protocol=tcp dst-port=22 action=drop comment="Bloquear SSH por padrão"

4. Permita Acesso Após o Port Knocking

  • Adicione uma regra para liberar o acesso ao serviço protegido para IPs autorizados:
    RouterOS
    /ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=PortKnockAuthorized action=accept comment="Permitir SSH para IPs autorizados"

5. Teste o Port Knocking

  • Utilize um cliente (como o nmap) para enviar a sequência correta de portas. Exemplo com nmap:
    nmap -Pn -p 1111 SEU_IP nmap -Pn -p 2222 SEU_IP nmap -Pn -p 3333 SEU_IP
  • Após completar a sequência, tente acessar o serviço (por exemplo, SSH).

6. Monitore os Logs e a Lista de Endereços

  • Verifique se os IPs autorizados estão sendo adicionados à lista:
    RouterOS
    /ip firewall address-list print

7. Ajuste o Tempo de Timeout (opcional)

  • Modifique o tempo de expiração das listas, caso necessário, para maior flexibilidade ou segurança.

Considerações Finais

O Port Knocking no Mikrotik é uma camada extra de segurança que protege serviços sensíveis contra acessos não autorizados. Configurado corretamente, ele oferece uma solução eficaz para reduzir riscos em redes críticas.