The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обзор инструментов "Port knocking"

30.01.2013 18:45

Опубликована серия статей о возможностях и доступном ПО для реализации техники port knoсking, позволяющей инициировать на межсетевом экране временное открытие заданного сетевого порта, только после предварительного обращения к определённой последовательности портов (например, доступ к порту SSH может быть открыт для текущего хоста после попытки соединения к 1563, 1418 и 1275 портам).

В статьях рассмотрены:

  • Часть 1 - общие концепции "Port knocking" и пакет knockd (traditional port knocking, TPK);
  • Часть 2 - Cerberus (авторизация с одноразовым паролем (OTP)), Sig^2 (двунаправленная система port knocking'a), Fwknop (Single Packet Authorization, SPA);
  • Часть 3 - Tariq (гибридный port-knocking, HPK).


  1. Главная ссылка к новости (http://blogerator.ru/page/poza...)
  2. OpenNews: Реализация идеи "port knocking" на bash для Linux iptables
  3. OpenNews: Интересное ПО: knockd - простой "port-knock" сервер
Автор новости: Igor Savchuk
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/35968-portknocking
Ключевые слова: portknocking, port, knocking, ssh, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (26) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 20:11, 30/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А не лучше ли сделать доступ к SSH только из I2P?
     
     
  • 2.2, Аноним (-), 20:18, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем? И, самое главное, как?
     
     
  • 3.4, Аноним (-), 21:36, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >Зачем?

    Чтобы посторонние не могли подключиться. Или даже не узнали о существовании.

    >как?

    Точно так же, как и eepsite, невидимый из интернета, только порт другой.

     
     
  • 4.9, Stax (ok), 22:05, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Так подключаться как - всюду ставить i2p? А если мне с телефона нужно заходить, например?
    Уж лучше (если есть возможность в тех местах, куда заходишь, что-то ставить) ставить vpn-клиент, или использовать имеющийся. Поднять дома какой-нибудь vpn и пускать в ssh только для подключившихся. Больше ничего из vpn делать не давать, разумеется. А при риске компрометации достаточно убрать очередной логин или ключ из vpn и начать использовать новый.
     
     
  • 5.11, Аноним (-), 22:13, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    SSH это уже какбы TELNET внутри VPN. Достаточно хороший в плане безопасности. Тут идея не добавить слой шифрования, а спрятать. Причём, несколько более надёжно, нежели в новости.
     
     
  • 6.21, Дум Дум (?), 09:17, 31/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Так i2p и knocking прячут немного разные вещи, нет?
     
  • 6.24, анноним (?), 19:40, 02/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Если речь о надежности, то не вполне понятно, зачем вообще что-то прятать при наличии шифрования (в т.ч. адекватного пароля)? Или важно именно утаить наличие ssh, но зачем?
     
     
  • 7.25, анноним (?), 19:47, 02/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Эх, уже сам прочитал на википедии. Да, может быть полезным в отдельных случаях..

     
  • 2.12, Аноним (-), 22:18, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А не лучше ли скрестить верблюда с муравьем?
     
  • 2.13, Аноним (-), 23:51, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А не лучше ли сделать доступ к SSH только из I2P?

    И потом наслаждаться эхом в 5 секунд, пока оно ползет через перегруженные узлы на тормозной яве...

     
     
  • 3.16, Xasd (ok), 03:05, 31/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > И потом наслаждаться эхом в 5 секунд, пока оно ползет через перегруженные узлы на тормозной яве...

    а разве в i2p -- происходит постоянно то запуск то снова отключение JVM?

    я наблюдал что проблемы производительности Java (JVM) ведь в:

    1. долго стартуется.

    2. много жрёт памяти.

    я спрашиваю потому что ещё не использовал ни разу i2p, но вроде бы не слышал чтобы Java медленно выполняла бы программный код.

     
     
  • 4.20, Аноним (-), 08:10, 31/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> И потом наслаждаться эхом в 5 секунд, пока оно ползет через перегруженные узлы на тормозной яве...
    > а разве в i2p -- происходит постоянно то запуск то снова отключение
    > JVM?

    нет, но при чем это тут?

     

  • 1.3, Alexvk (ok), 21:31, 30/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хм, забавная идея, изящненько
     
     
  • 2.5, pavlinux (ok), 21:49, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Баян великий! Из серии: Cебе жизнь засрал, а пароль всё равно "123qwerty"
     
     
  • 3.17, Аноним (-), 03:11, 31/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    за ssh-пароли нужно расстреливать на месте
     
     
  • 4.18, Батяня Комбат (?), 05:08, 31/01/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Салага дочитал до главы про авторизацию по ключам? :-) Похвально.
     
  • 4.22, pavlinux (ok), 16:29, 31/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > за ssh-пароли нужно расстреливать на месте

    А давай я продолжу и ты сам повесишься! :)

    Четвертовать, делать лоботомию, ректальное шунтирование, 10000-вольтную мезотерапию,... за:

    - одинаковый SSH ключ ко всем 50 серверам;
    - одинаковый логин на 50 серверах;
    - генерацию SSH ключа с использованием не сертифицированного ГСЧ;
    - хранение SSH ключей в не зашифрованном виде;  
    - хранение SSH ключей на не шифрованной файловой системе;
    - использование одного и того же компьютера для доступа в интернет и хранения ключей;
    - использование проводов периферийных устройств с повышенным ЭМИ.
    - расположение монитора в менее, чем 90° к плоскости окна.
    - расположение рабочего места в прямой видимости к траектории спутников!
    - работа с ключами в помещении не оборудованном ГБШ
    - работа с ключами в помещении имеющими толщину стен менее 50 см.
    - работа в помещении без акта проверки на отсутствие передающих устройств.
    ....

     
  • 2.19, Аноним (-), 07:21, 31/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Гммм. Для защиты от replay-атаки тут предлагается использовать одинаковые секретные списки knock-последовательностей на сервере и клиенте. Значит, эти секретные списки заранее нужно создавать, копировать надёжным способом с сервера на клиент (или наоборот) и пополнять. Если речь идёт о такой хлопотной процедуре, может тогда не стесняться и сразу реализовать для обмена данными шифрование с бесконечным ключом?
     

  • 1.6, Аноним (-), 21:57, 30/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    вот спасибо авторам, за то что вкусно пишут нам!

    а для тех кто не читал - штатный ssh (клиент) умеет port knocking? ну чтоб telnet/nc не заморачиваться. Али может тулзы какие специальные?

     
     
  • 2.7, Alexvk (ok), 22:00, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а для тех кто не читал - штатный ssh (клиент) умеет port
    > knocking? ну чтоб telnet/nc не заморачиваться. Али может тулзы какие специальные?

    специальная тулза:
    $nmap -sS -T Polite -p<port1>,<port2>,<portN>... <target>

     
     
  • 3.8, Аноним (-), 22:02, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    ясно, в общем без алиасов не обойтись. спасибо, мил человек, уважил дедушку-анонимуса
     
  • 3.14, Аноним (-), 23:52, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > специальная тулза:

    Неткат/телнет/вгет/... :)

     
  • 2.10, pavlinux (ok), 22:10, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > вот спасибо авторам, за то что вкусно пишут нам!
    > а для тех кто не читал - штатный ssh (клиент) умеет port
    > knocking? ну чтоб telnet/nc не заморачиваться. Али может тулзы какие специальные?

    http://roland.entierement.nu/blog/2008/08/19/netfilter-based-port-knocking.ht

    ---

    Где-то тут на форуме я скриптик писал, который раз в час генерит новые порты для простука
    отсылает почту с уведомлением о доставке и только тогда меняет порты. :)

     
     
  • 3.15, Аноним (-), 23:54, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > http://roland.entierement.nu/blog/2008/08/19/netfilter-based-port-knocking.ht

    Годно. Кому не лень - добавьте в новость.

     
  • 3.23, Andrey Mitrofanov (?), 19:34, 31/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> вот спасибо авторам, за то что вкусно пишут нам!
    >> а для тех кто не читал - штатный ssh (клиент) умеет port
    >> knocking? ну чтоб telnet/nc не заморачиваться.

    ProxyCommand в ~/.ssh/config + netcat и, таки да, как бы скрипт.

    >> Али может тулзы какие специальные?

    Конечно! Ищите knocking в ближайшем к Вам app-store.

    > http://roland.entierement.nu/blog/2008/08/19/netfilter-based-port-knocking.ht

    Я себе ноком повесил один пинг _размером NMYZ байт. Одна строчка с -m recent. Всё лучше, чем перевешивание sshd на другой порт. Вписал ping в ~/.ssh/config. Да, netcat нужен, но без скриптов обошёлся.

    > ---
    > Где-то тут на форуме я скриптик писал, который раз в час генерит

    http://www.google.com/search?q=iptables+knock+site:opennet.ru
    и там же //knock скрипт pavlinux

    > отсылает почту с уведомлением о доставке и только тогда меняет порты. :)

    И ждёт, и читает это уведомление?B-O

     
     
  • 4.26, pavlinux (ok), 22:18, 02/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > И ждёт, и читает это уведомление?B-O

    Да уже выкинул давно всё это, от скан-ботов - смены порта хватает,
    от бутфорса - генератор паролей и 5 соединений в сек., больше - бан на три минуты.
    и к тому же есть PAM с белым списком.

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру