Port Knocking là phương pháp tăng cường bảo mật cho NAT port (open port). Port Knocking hoạt động dựa theo nguyên tắc người dùng cần phải "mở khóa" tuần tự và chính xác 3 port (cổng) được khai báo trước, sau đó port (cổng) chính thức mới được mở để truy cập dịch vụ. Điều này giúp hạn chế việc tấn công dò port từ bên ngoài.

Cũng áp dụng cơ chế Port Knocking, nhưng DrayTek đã tăng thêm độ bảo mật bằng cách kết hợp Port Knocking với TOTP để tạo ra các port trung gian ngẫu nhiên tức thời.

(Tính năng này sẽ có trên các model: Vigor2927 / Vigor2962 / Vigor3910 và các model ra sau)

Cách cấu hình Port Knocking trên DrayTek được thực hiện như sau:

  1. Chuẩn bị

Dùng điện thoại, Vào google play, tìm và cài dặt APP Goolge Authenticator

A black text on a white background

Description automatically generated

 

  1. Trên Router

Vào NAT >> Port Knocking, chọn index bất kì (ví dụ index 1)

  • Nhấn Enable
  • Service Name: đặt tên Profile
  • WAN: chọn WAN cần NAT (mặc định chọn ALL, tất cả các WAN)
  • 1st Knocking Port: điền port knocking đầu tiên (port ngẫu nhiên từ 1~65535).
  • Nhấn Generate để tạo mã QR. Mã này dùng để quét tạo mã xác thực trên phần mềm tạo mã TOTP và cấp cho người được phép sử dụng khi có nhu cầu.
  • Mở phần mềm Google Authenticator và quét mã QR
  • Verify code: Điền mã TOTP xác thực có hiệu lực nhận được trên Google Authenticator
  • Nhấn Verify >> Khi nhận được thông báo “verify successfully, you can save the config” là đã xác thực thành công
  • Public Port: điền Port truy cập dịch vụ bên ngoài (ví dụ)
  • Private Node: điền IP Server bên trong (ví dụ 192.168.1.10) và port dịch vụ bên trong cần NAT (ví dụ 8000)
  • Nhấn OK để lưu cấu hình

 

A screenshot of a computer

Description automatically generated

  1. Trên Client

Trước khi Client bên ngoài muốn truy cập NAT Port, cần phải mở khóa thành công bằng cách telnet IP WAN/ Domain lần lượt 3 port. Trong đó:

  • Port 1 là Port 1st Knock Port
  • Port 2 là gồm port gồm 4 số với quy đinh như sau: 1xxx ( với xxx là 3 số đầu của mã OTP còn hiệu lực)
  • Port 3 là gồm port gồm 4 số với quy đinh như sau: 2xxx (với xxx là 3 số cuối của mã OTP còn hiệu lực)
  • Sau đó mới có thể truy cập dịch vụ bình thường

Lưu ý:

  • Thời gian tồn tại một mã OTP chỉ có 60s nên cần phải sử dụng mã OTP trong thời gian có hiệu lực
  • Port 2- 3 phải được tạo ngẫu nhiên từ 1 mã TOTP (gồm 6 chữ số)
  • khi sử dụng Port Knocking, tại một thời điểm chỉ có 1 IP WAN được mở khóa và chỉ có những máy tính bên trong hệ thống có IP WAN đó được phép truy cập. Thời hạn mở khóa của một IP WAN là 60 phút. Khi đó Những nơi khác sẽ không thể mở khóa được

Thực hiện

Cách 1: mở port thủ công bằng cách telnet IP WAN / domain lần lượt 3 port

Cách 2: chạy file unknocking port (download http://portknockingapp.anphat.vn) và điền các thông tin

  • chạy APP Google Authenticator trên điện thoại, và quét mã QR được cung cấp để tạo mã TOTP
  • IP WAN/ Domain
  • port 1st knock Port
  • mã TOTP còn hiệu lực
  • nhấn Enter

A screenshot of a computer screen

Description automatically generated

 Vậy là có thể truy cập dịch vụ bình thường