Dans le chapitre précédent, nous avons effectué de nombreux travaux pratiques pour protéger notre routeur MikroTik et notre réseau contre différents types d’attaques. Dans ce chapitre, je vais continuer à discuter des moyens de protéger notre routeur MikroTik avec d’autres techniques d’atténuation.

Dans ce chapitre, je parlerai en détail des sujets suivants :

• Port knocking
• Connexions sécurisées
• Ports par défaut pour les services
• Tunnelisation via SSH

 

Commençons par le premier sujet, à savoir les coups de poing.

 

Port Knocking

 

Le port knocking est une technique que vous pouvez utiliser pour vous protéger des attaques par force brute. Cette technique consiste à frapper le routeur MikroTik de la même manière que lorsque vous allez rendre visite à un ami et que vous frappez à la porte de sa maison. Si votre ami vous ouvre la porte et vous invite à entrer, vous pouvez alors pénétrer dans sa maison, sinon vous restez à l’extérieur.

 

Même chose avec le port knocking sur le routeur MikroTik, vous devez frapper sur le routeur MikroTik sur un port que vous définissez. Si vous y parvenez, vous pourrez alors utiliser Winbox, ssh, telnet, etc… pour accéder au routeur.

 

Je vais l’expliquer d’une meilleure manière. Disons que vous voulez autoriser, depuis le WAN, l’accès au routeur MikroTik uniquement via Winbox en utilisant le port knocking. Vous devez alors créer des règles de filtrage en procédant comme suit :

1. Première règle : tout appareil arrivant sur l’interface WAN en tant que port TCP 1111 (vous pouvez définir le port que vous voulez), ajoute alors son IP à une liste d’adresses (appelée Pnock1) pendant 10s.

 

2. Deuxième règle : si le même appareil (c’est-à-dire la même IP source) a essayé d’établir une connexion sur l’interface WAN du routeur MikroTik en tant que port TCP 2222 dans les 10 secondes, ajoutez son IP à une nouvelle liste d’adresses (appelée Pnock2) et laissez-la là pendant 30 minutes.

 

3. Troisième règle : cette règle stipule que toute IP figurant dans la deuxième liste d’adresses (Pnock2) est autorisée à utiliser la Winbox sur le routeur.

 

4. Quatrième règle : dans cette règle, il suffit de supprimer tout trafic d’entrée vers le routeur MikroTik provenant de l’interface WAN.

 

En appliquant ces règles, seules les personnes qui connaissent les bons ports TCP de destination (1111 et 2222) peuvent effectuer le port knocking et se connecter via Winbox sur le routeur MikroTik (s’ils ont le bon nom d’utilisateur et le bon mot de passe), sinon tout autre trafic d’entrée vers l’interface WAN sera bloqué.

 

Voilà comment fonctionne le port knocking, appliquons-le dans un LAB et voyons si cela fonctionne pour nous.

 

 

LAB: Port Knocking

Maintenant que nous connaissons la théorie derrière le port knocking, faisons un LAB pour voir si cela fonctionnera pour nous.

J’ai ici un PC qui est capable d’atteindre R1 via l’internet. Je veux configurer le port knocking sur R1 de manière à ce que seuls les utilisateurs puissent se connecter au routeur via Winbox une fois que le port knocking a réussi.

 

Je dois créer la 1^e règle de filtrage sur le routeur MikroTik disant que tout trafic arrivant sur le routeur lui-même en tant que TCP sur le port 1111, puis ajouter l’adresse IP de la source dans une liste d’adresses appelée « Pnock1 » et la laisser pendant 10s. C’est ce que nous allons faire :

Cette règle dit exactement ce que nous voulions faire. Maintenant, si quelqu’un fait une connexion TCP sur le port 1111 au routeur MikroTik sur son interface Ether1, l’IP de la source ira pendant 10s dans la liste d’adresses Pnock1.

La règle qui doit suivre est que si la même IP source, et dans les 10s, a fait une autre connexion TCP au routeur MikroTik sur le port 2222 sur le port Ether1, alors nous la mettrons dans une liste d’adresses appelée Pnock2 et la laisserons pendant 30 min.