Portin koputus: Paras suojaus, joka voi olla tietokoneellasi tai palvelimellasi (Käyttöönotto + Kokoonpano)

Upeat satamat (englanniksi sataman koputtaminen) on epäilemättä käytäntö, jonka meidän kaikkien, palvelimia hallitsevien, tulisi tietää hyvin, tässä selitän yksityiskohtaisesti, mitä tämä on ja miten tämä toteutetaan ja määritetään 😉

Tällä hetkellä niillä meistä, jotka hallitsevat palvelinta, on SSH-pääsy kyseiseen palvelimeen, jotkut muutamme SSH: n oletusporttia ja se ei enää käytä porttia 22 ja muut jättävät sen tuolla tavalla (jotain ei suositella), mutta palvelin on mahdollistanut SSH-pääsyn jonkin portin kautta ja tämä on jo 'haavoittuvuus'.

kanssa Sataman koputus voimme saavuttaa seuraavat:

1. Mikään portti ei ota käyttöön SSH-yhteyttä. Jos SSH on määritetty esimerkiksi portille 9191, portti (9191) suljetaan kaikille.
2. Jos joku haluaa käyttää palvelinta SSH: n kautta, hän ei selvästikään voi, koska portti 9191 on suljettu ... mutta jos käytämme 'taikuutta' tai salaista yhdistelmää, portti avautuu esimerkiksi:

1. Telnetin palvelimen porttiin 7000
2. Teen toisen telnetin palvelimen porttiin 8000
3. Teen toisen telnetin palvelimen porttiin 9000
4. Palvelin havaitsee, että joku on tehnyt salaisen yhdistelmän (kosketusportit 7000, 8000 ja 9000 siinä järjestyksessä) ja avaa portin 9191 niin, että SSH pyytää kirjautumista (se avaa sen vain sille IP: lle, josta yhdistelmä tehtiin) porttinumero tyydyttävä).
5. Nyt SSH: n sulkemiseksi vain telnetin porttiin 3500
6. Teen toisen telnetin porttiin 4500
7. Ja lopuksi toinen telnet porttiin 5500
8. Tämän toisen salaisen yhdistelmän suorittaminen, jonka palvelin havaitsee, sulkee portin 9191 uudelleen.

Toisin sanoen selittämällä tämä vielä yksinkertaisemmin ...

kanssa Sataman koputus palvelimellamme voi olla tiettyjä portteja suljettuna, mutta kun palvelin havaitsee sen X IP tehtiin oikea porttiyhdistelmä (kokoonpanotiedostossa aiemmin määritetty kokoonpano) suorittaa tietyn komennon itselleen ilmeisesti (Comando määritelty myös konfigurointitiedostossa).

Eikö ymmärrä? 🙂

Kuinka asentaa daemoni portin koputusta varten?

Teen sen pakkauksen mukana töksähtää, jonka avulla voimme toteuttaa hyvin, hyvin yksinkertaisen ja nopean tavan toteuttaa ja konfiguroida Sataman koputus.

Asenna paketti: knockd

Kuinka määritetään portin koputus koputuksella?

Asennuksen jälkeen jatkamme sen konfigurointia, tätä varten muokkaamme (pääkäyttäjänä) tiedostoa /etc/knockd.conf:

nano /etc/knockd.conf

Kuten näet tiedostosta, oletuskokoonpano on jo olemassa:

 Oletusasetusten selittäminen on todella helppoa.

- Ensinnäkin, UseSyslog tarkoittaa, että toimintamme (loki) kirjaamiseen käytämme / Var / log / syslog.
- Toiseksi jaksossa [openSSH] SSH: n avaamisen ohjeet tietysti menevät, ensin meillä on oletusarvoisesti määritetty porttisarja (salainen yhdistelmä) (portti 7000, portti 8000 ja lopuksi portti 9000). Portteja voidaan tietysti muuttaa (itse asiassa suosittelen sitä), eikä niiden tarvitse olla kolmea, ne voivat olla enemmän tai vähemmän, riippuu sinusta.
- Kolmas, seq_timeout = 5 tarkoittaa aikaa odottaa salaista porttiyhdistelmää. Oletuksena se on asetettu 5 sekunniksi, mikä tarkoittaa, että kun aloitamme portin koputuksen (ts. Telnetessämme porttiin 7000), meillä on enintään 5 sekuntia aikaa päättää oikea sekvenssi, jos 5 sekuntia kuluu emmekä ole vielä portti koputtaa, se on yksinkertaisesti kuin sekvenssi olisi virheellinen.
- Neljänneksi, komento se ei tarvitse paljon selitystä. Tämä on yksinkertaisesti komento, jonka palvelin suorittaa, kun se havaitsee edellä määritellyn yhdistelmän. Oletuksena asetettu komento, mitä se tekee, on avoin portti 22 (vaihda tämä portti SSH-porttia varten) vain IP: ksi, joka teki oikean porttiyhdistelmän.
- viides tcpflags = syn Tällä rivillä määritetään pakettityypit, jotka palvelin tunnistaa kelvollisiksi portille.

Sitten on SSH: n sulkemista käsittelevä osa, jonka oletusasetukset eivät ole muuta kuin sama porttien sarja yllä, mutta päinvastaisessa järjestyksessä.

Tässä on kokoonpano, jossa on joitain muutoksia:

 Kuinka aloittaa knockd-daemon?

Sen aloittamiseksi meidän on ensin muokattava (juurena) tiedostoa / etc / default / knockd:

nano /etc/default/knockd

Siellä muutamme rivinumeroa 12, joka sanoo: «START_KNOCKD = 0»Ja vaihda 0 arvoksi 1, meillä olisi:«START_KNOCKD = 1«

Kun tämä on tehty nyt, aloitamme sen yksinkertaisesti:

service knockd start

Ja voila, se on määritetty ja toimii.

Sataman koputus pudotettuna ja käynnissä!

Kuten edellisessä kokoonpanossa näkyy, jos portti koputetaan portille 1000, sitten 2000: lle ja lopulta 3000: lle, portti 2222 (minun SSH) avautuu, tässä on toinen tietokone, joka suorittaa portin koputuksen:

Kun painan [Enter] Knock No.1: ssä, No.2: ssa ja lopuksi No.3: ssa portti avautuu, tässä on loki:

Kuten näette, porttia 1000 koputettaessa vaihe 1 rekisteröitiin, sitten 2000 on vaihe 2 ja lopuksi 3 3000: lla, kun teet tämän, komento, jonka ilmoitin .conf: ssä, suoritetaan ja siinä kaikki .

Sitten portin sulkemiseksi olisi vain koputtaa 9000, 8000 ja lopulta 7000, tässä on loki:

Ja tässä selitys käytöstä päättyy 😀

Kuten näette, porttien koputus on todella mielenkiintoista ja hyödyllistä, koska vaikka emme vain halua avata porttia tietyn porttiyhdistelmän jälkeen, palvelimen suorittama komento tai järjestys voi vaihdella, toisin sanoen ... portin avaamisen sijaan voimme julistaa tappavan prosessin, pysäyttämään palvelun, kuten apache tai mysql, jne ... rajana on mielikuvitus.

Portin koputus toimii vain, kun sinulla on fyysinen palvelin tai kun virtuaalinen palvelin on KVM-tekniikkaa. Jos VPS (virtuaalipalvelimesi) on OpenVZ, portin koputus ei mielestäni toimi sinulle, koska et voi suoraan manipuloida iptableja

No ja toistaiseksi artikkeli ... En ole ylivoimaisesti asiantuntija tässä asiassa, mutta halusin jakaa kanssasi tämän mielenkiintoisen prosessin.

Terveisiä 😀


27 kommenttia, jätä omasi

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   erunamoJAZZ dijo

    Erinomainen artikkeli, se on varsin mielenkiintoinen, enkä tiennyt sen olemassaoloa ... olisi hienoa, jos jatkat artikkeleiden kirjoittamista sysadmin-aloittelijoille ja niin 😀

    Terveisiä ja kiitoksia ^ _ ^

    1.    KZKG ^ Gaara dijo

      Kiitos kommentista.
      Kyllä ... se on, että Ficon DNS: n artikkelien kanssa en halua jäädä LOL: n taakse !!!

      Ei mitään vakavaa. Useita kuukausia sitten kuulin jotain Port Knockingista ja se kiinnitti heti huomioni, mutta koska ajattelin sen olevan hyvin monimutkainen tuolloin, en päättänyt mennä siihen, juuri eilen tarkastelemalla joitain paketteja reposta löysin knockd: n ja päätin kokeilla sitä, ja tässä on opetusohjelma.

      Olen aina halunnut laittaa teknisiä artikkeleita, jotkut eivät ehkä ole tarpeeksi mielenkiintoisia, mutta ... toivon toisten olevan 😉

      terveiset

    2.    Mario dijo

      Hei, tiedän, että tämä artikkeli on ollut jo jonkin aikaa, mutta lähetän kyselyni nähdäksesi, pystyykö joku ratkaisemaan sen minulle.
      Tosiasia on, että olen ottanut käyttöön portin koputuksen vadelmaani yrittääkseni parantaa turvallisuutta, kun muodostan yhteyden siihen paikallisen verkon ulkopuolelta. Jotta tämä toimisi, jouduin avaamaan 7000-9990-reitittimen portit, jotka ohjaavat koneeseen. Onko näiden porttien avaaminen reitittimessä turvallista vai päinvastoin, kun yritän saada enemmän turvallisuutta, teen päinvastoin?

      Terveisiä ja kiitos.

  2.   koskaan dijo

    Hienoa, olen ollut sysadmin vuosien ajan enkä tuntenut häntä.
    Yksi kysymys ... miten teet "kolkut"?
    Telnetitkö näitä portteja vastaan? Mitä telnet vastaa sinulle? Vai onko joku "koputtaa" aalto komento?
    Viileä viileä on artikkeli. Upea. Kiitos paljon

    1.    KZKG ^ Gaara dijo

      Tein testin telnetillä ja kaikki tekivät ihmeitä ... mutta on utelias "koputtaa" -komento, tee mies koputtaa jotta voit nähdä 😉

      Telnet ei todellakaan vastaa minulle ollenkaan, DROP-käytännön mukaiset iptables tekee siitä vastaamatta ollenkaan ja telnet pysyy siellä odottamassa vastausta (joka ei koskaan tule perille), mutta knockd-daemon tunnistaa koputuksen, vaikka kukaan ei vastaisikaan 😀

      Kiitos paljon kommentistasi, on ilo tietää, että artikkelini pitävät edelleen ^ _ ^

  3.   st0rmt4il dijo

    Lisätty suosikkeihin! : D!

    Kiitos!

    1.    KZKG ^ Gaara dijo

      Kiitos 😀

  4.   metsästäjä dijo

    Ahh turvallisuus, se miellyttävä tunne, kun kiinnitämme tietokoneen putkistoon, ja sitten päiviä / viikkoja myöhemmin yritämme muodostaa yhteyden jostakin etäisestä paikasta, johon emme pääse, koska palomuuri on "kukaan kenellekään" -tilassa, tätä kutsutaan pysymiseksi linnan ulkopuolella sysadminien suhteen. 😉

    Siksi tämä viesti on niin hyödyllinen, että knockd: llä pääset käsiksi mistä tahansa, joka voi lähettää paketin lähiverkkoosi, ja hyökkääjät menettävät kiinnostuksensa nähdessään, että ssh-portti on suljettu, en usko, että he koputtavat raakaa voimaa sataman avaamiseksi.

  5.   Manuel dijo

    Hei, artikkeli on loistava.

    Yksi asia: palveleeko se yhteyden muodostamista paikallisen verkon ulkopuolelta?

    Sanon tämän, koska reitittimen portit ovat kiinni, miinus palvelimeen uudelleenohjattavaa ssh: ää vastaava.

    Luulen, että jotta se toimisi paikallisen verkon ulkopuolelta, on avattava portin koputusta vastaavat reitittimen portit ja annettava ne ohjata myös palvelimelle.

    Mmm ...

    En tiedä kuinka turvallista tehdä tämä.

    Mitä luulet?

    1.    KZKG ^ Gaara dijo

      En ole varma, en ole suorittanut testiä, mutta luulen kyllä, sinun pitäisi avata reitittimen portit, muuten et voi koputtaa palvelinta.

      Tee testi avaamatta reitittimen portteja, jos se ei toimi sinulle, on sääli, koska olen samaa mieltä kanssasi, ei ole suositeltavaa avata näitä portteja reitittimessä.

      1.    Manuel dijo

        Meidän on todellakin avattava portit ja ohjattava ne tietokoneeseen, johon soitamme.

        Sääli.

  6.   rabba08 dijo

    Suuri kiitos paljon! Olen juuri aloittanut verkko-uran opiskelemisen ja nämä opetusohjelmat ovat hyviä minulle! kiitos tiedon jakamisesta

    1.    KZKG ^ Gaara dijo

      Olen oppinut vuosien varrella paljon maailmanlaajuisesta Linux-yhteisöstä ... muutaman vuoden ajan olen myös halunnut osallistua, juuri siksi kirjoitan 😀

  7.   tammikuu 981 dijo

    Paljon kiitoksia, et tiedä miten se auttaa minua, aion perustaa palvelimen ja tämä menee minulle hyvin.

    terveiset

    1.    KZKG ^ Gaara dijo

      Sitä varten me autamme 😉

  8.   Jean ventura dijo

    Erinomainen artikkeli! Minulla ei ollut mitään tietoa tästä ja se auttaa minua paljon (käytän RackSpacea, joka käyttää KVM: ää, joten se sopii minulle kuin hansikas!). Lisätty suosikkeihin.

    1.    KZKG ^ Gaara dijo

      Kiitos kommentoinnista 🙂

  9.   Levä dijo

    Kuten aina DesdeLinux nos trae excelentes post con tutoriales que son realmente utiles para poner en acción, gracias por compartir!! 🙂

    1.    KZKG ^ Gaara dijo

      Kiitos kommentistasi 🙂
      Kyllä, yritämme aina tyydyttää tuon tiedonjanon, joka lukijoillamme on 😀

  10.   Timbleck dijo

    Mielenkiintoista, ei tiennyt vaihtoehtoa.
    Mene suoraan lihoittamaan pilkkomista kirjastoni.
    Kiitos!

    1.    KZKG ^ Gaara dijo

      Ilo minulle 😀
      terveiset

  11.   Frederick. A. Valdés Toujague dijo

    Terveisiä KZKG ^ Gaara !!! Puristit. Valtava artikkeli palvelinten suojaamiseen. Ei @% * & ^ ajatusta sellaisen olemassaolosta. Yritän sitä. Kiitos

  12.   Valkoinen ^ kaulakoru dijo

    Tämä on suurenmoista…. ^ - ^

  13.   LearnLinux dijo

    Hei, voisitko selittää, kuinka se asennetaan CentOS 5.x: ään?

    Olen ladannut kierrosluvun:
    http://pkgs.repoforge.org/knock/knock-0.5-3.el5.rf.x86_64.rpm

    Asennettu:
    rpm -i knock-0.5-3.el5.rf.x86_64.rpm

    Määritä määritystiedosto 15 sekunnin ajan ja portti, jota käytän yhteyden muodostamiseen ssh: llä vps: ään

    Demoni alkaa:
    / usr / sbin / knockd &

    Telnet enkä mitään portti ei sulkeudu, oletusarvoisesti portti on auki, mutta se ei sulkeudu.

    Teenkö jotain väärin?

  14.   hei dijo

    Mmmm, telnet-pyyntöjä näihin portteihin voi oppia lähiverkon järjestelmänvalvoja tai palveluntarjoajamme, eikö? Se estäisi ulkopuoliset ihmiset mutta ei heitä, joten jos he haluavat aktivoida porttimme, he voivat tehdä sen katso pyyntömme, mmm sanotaan, että se suojaa, mutta ei 100%

    1.    Roberto dijo

      Se voi olla, mutta en usko, että he aikovat kuvitella, että tietty telnet suorittaa X-toiminnon. Elleivät he näe, että noudatetaan samoja telnet-malleja.

  15.   Pablo Andres Diaz Aramburo dijo

    Mielenkiintoinen artikkeli, minulla on kysymys. Luulen, että määritystiedoston kuvassa on virhe, koska jos analysoit hyvin, komennon molemmilla riveillä käytät ACCEPT: tä Iptablesissa. Mielestäni toisen pitäisi olla HYVÄKSYTTY ja toisen pitäisi hylätä.

    Muuten loistava aloite. Paljon kiitoksia siitä, että käytit aikaa selittääksesi tietosi muille.

    terveiset