Port Knocking: ny fiarovana tsara indrindra azonao atao amin'ny solosainao na mpizara anao (Fampiasana + fikirakirana)

Seranan-tsambo mitokona (amin'ny teny anglisy mandondona seranan-tsambo) Tsy isalasalana fa fanao izay tokony ho fantatsika rehetra izay mitantana mpizara tsara, eto aho dia manazava amin'ny antsipiriany hoe inona izany ary ahoana ny fomba fampiharana sy ny fikirakirana an'io 😉

Amin'izao fotoana izao isika izay mitantana mpizara dia manana fidirana SSH ao amin'io mpizara io, ny sasany manova ny seranan-tsambo misy ny SSH izahay ary tsy mampiasa seranana 22 intsony izy ary ny hafa mamela azy tsotra izao toy izany (zavatra tsy tokony hatao), na izany aza, ny serivera dia namela ny fidirana SSH tamin'ny seranana sasany ary efa 'marefo' io.

Con Port Knocking afaka hahatratra ireto manaraka ireto isika:

1. Ny fidirana SSH dia tsy ampiasain'ny seranana rehetra. Raha manana SSH namboarina ho an'ny port 9191 (ohatra) dia hikatona ho an'ny rehetra ilay seranana (9191).
2. Raha misy te hiditra amin'ny mpizara amin'ny SSH dia mazava ho azy fa tsy ho afaka izy ireo satria nakatona ny seranan-tsambo 9191 ... fa, raha mampiasa 'majia' na fitambarana miafina isika, dia hisokatra io seranana io, ohatra:

1. Telnet mankany amin'ny seranana 7000 an'ny mpizara
2. Manao telnet hafa aho amin'ny port 8000 an'ny mpizara
3. Telnet hafa no ataoko mankany amin'ny port 9000 an'ny mpizara
4. Hitan'ny mpizara fa nisy nanao ny tsiambaratelo miafina (touch port 7000, 8000 ary 9000 ao amin'io lamandy io) ary hosokafany ny seranan-tsambo 9191 hangataka ny fidirana amin'ny SSH (hanokatra azy io ho an'ny IP namboarina fotsiny. mahafa-po).
5. Izao hanakatonana ny SSH dia telnet mankany amin'ny port 3500 fotsiny aho
6. Hanao telnet hafa amin'ny seranana 4500 aho
7. Ary farany telnet hafa mankany amin'ny port 5500
8. Manatanteraka an'ity tsikombakomba miafina hafa hitan'ny mpizara ity dia hanidy ny seranana 9191 indray.

Raha lazaina amin'ny teny hafa, dia manazava izany bebe kokoa fotsiny ...

Con Port Knocking ny seriveranay dia mety misy seranana mihidy, saingy rehefa hitan'ny mpizara avy any X IP ny fitambaran-tseranana marina dia natao (fanahafana efa voafaritra tao anaty rakitra fisie) hanatanteraka baiko sasany ho azy mazava ho azy (didy voafaritra ao anaty rakitra config ihany koa).

Tsy takatra ve izany? 🙂

Ahoana ny fametrahana daemon amin'ny Port Knocking?

Ataoko amin'ny fonosana izany kockd, izay hamela antsika amin'ny fomba tena tsotra sy haingana hampiharina sy hamboarina Port Knocking.

Ampidiro ny fonosana: knockd

Ahoana ny fomba handaminana ny Port Knocking amin'ny knockd?

Raha vantany vao tafapetraka dia manohy manamboatra azy isika, noho izany dia manitsy (toy ny faka) ny fisie /etc/knockd.conf:

nano /etc/knockd.conf

Araka ny hitanao ato amin'ity rakitra ity dia efa misy fikirana tsy misy fangarony:

 Tena tsotra ny manazava ny toerana misy anao.

- Voalohany, UseSyslog dia midika fa handraketana ny hetsika (log) hampiasainay / var / log / syslog.
- Faharoa, ao amin'ny faritra [openSSH] Mazava ho azy fa handeha ny torolàlana hanokatra SSH, voalohany dia manana ny filaharan'ny seranana (ny miafina mitambatra) izay voalamina amin'ny alàlan'ny default (seranana 7000, seranana 8000 ary farany seranana 9000). Mazava ho azy fa azo ovaina ny seranan-tsambo (raha ny tena izy dia atoroko azy) ary koa satria tsy tokony ho 3 izy ireo, mety ho betsaka na latsaka, miankina aminao izany.
- Fahatelo, seq_timeout = 5 midika hoe fotoana hiandrasana ny fitambaran'ny seranana miafina. Amin'ny alàlan'ny default dia apetraka amin'ny 5 segondra, midika izany fa rehefa manomboka manatanteraka ny fandondonana seranan-tsambo isika (izany hoe rehefa telnet mankany port 7000 isika) dia manana 5 segondra farafahakeliny hamita ny filaharana marina, raha 5 segondra no mandalo ary tsy nahavita ny mandondona ny seranana avy eo dia ho toy ny hoe tsy mitombina ilay filaharana.
- Fahefatra, didy tsy mila fanazavana firy. Ity dia ho baiko fotsiny izay hataon'ny mpizara rehefa mahatsikaritra ny fitambarana voafaritra etsy ambony. Ny baiko izay apetrakao amin'ny alàlan'ny toerana misy azy dia ny port open 22 (ovao ity seranana ity ho an'ny port SSH anao) amin'ny IP ihany izay nanao ny fitambaran'ny seranan-tsambo.
- Fahadimy, tcpflags = syn Amin'ity tsipika ity dia mamaritra ny karazana fonosana izay ho fantatry ny mpizara ho manan-kery ho an'ny seranan-tsambo mandondona.

Avy eo dia misy ny fizarana hanakatonana ny SSH, fa ny fanaingoana default dia tsy misy hafa noho ny filaharan'ny seranana etsy ambony fa amin'ny lamina mifanohitra.

Ity misy lamina misy fanovana vitsivitsy:

 Ahoana ny fomba hanombohana ny daemon knockd?

Mba hanombohana azy dia tsy maintsy ovaintsika (ho faka) aloha ilay rakitra / sns / default / knockd:

nano /etc/default/knockd

Manova ny andalana faha-12 izahay izay milaza hoe: «START_KNOCKD = 0»Ary ovao io 0 ho 1 io, azontsika atao ny:«START_KNOCKD = 1«

Raha vantany vao vita izany dia manomboka fotsiny isika:

service knockd start

Ary voila, voalamina sy miasa izy io.

Port Knocking amin'ny fandondonana sy fihazakazahana!

Araka ny hitanao tamin'ny fikirakira teo aloha, raha atao ny port knock ny port 1000, dia hatramin'ny 2000 ary farany amin'ny 3000 dia hisokatra ny port 2222 (my SSH), eto koa ny solosaina iray manatanteraka dondon'ny seranan-tsambo:

Vantany vao tsindrio ny [Enter] amin'ny Knock No.1, amin'ny No.2 ary amin'ny farany No.3 dia hisokatra ny seranana, ity ny hazo:

Araka ny hitanao, rehefa nandondona ny seranana 1000, dingana 1 no voasoratra anarana, avy eo amin'ny 2000 dia ho dingana 2 ary farany amin'ny 3 miaraka amin'ny 3000, raha manao izany, ny didy izay nambarako tao amin'ny .conf dia novonoina ary dia izay. .

Avy eo hanidiana ny seranana dia ny mandondona 9000, 8000 ary farany 7000, ity ny hazo:

Ary eto dia mifarana ny fanazavana ny fampiasana 😀

Araka ny hitanao, Port Knocking dia tena mahaliana sy mahasoa, satria na dia tsy te-hanokatra seranan-tsambo fotsiny aza izahay aorian'ny fitambaran'ny seranan-tsambo sasany, ny didy na ny baiko izay hataon'ny mpizara dia mety miovaova, izany ... fa tsy manokatra seranana afaka manao manambara hamono dingana iray, atsaharo ny serivisy toa ny apache na ny MySQL, sns ... ny fetra dia ny eritreritrao.

Ny Port Knocking dia miasa ihany rehefa manana mpizara ara-batana ianao na rehefa teknolojia KVM ny mpizara virtoaly. Raha ny VPS (mpizara virtoaly) anao dia OpenVZ, Port Knocking dia heveriko fa tsy mety aminao izany satria tsy azonao atao ny manodinkodina mivantana ny iptables

Eny ary hatreto ny lahatsoratra ... Tsy manam-pahaizana manokana aho momba an'ity raharaha ity fa te hizara aminareo ity fizotran'ny mahaliana ity aho.

Miarahaba 😀


Ny atin'ny lahatsoratra dia manaraka ny fitsipiky ny etika fanonta. Raha hitatitra tsindry diso eto.

27 hevitra, avelao ny anao

Avelao ny hevitrao

Ny adiresy email dia tsy ho namoaka. Mitaky saha dia marika amin'ny *

*

*

  1. Tompon'andraikitra amin'ny data: Miguel Ángel Gatón
  2. Tanjon'ny angona: Control SPAM, fitantanana hevitra.
  3. Legitimation: Ny fanekenao
  4. Fifandraisana momba ny angona: Tsy hampitaina amin'ny antoko fahatelo ny angona raha tsy amin'ny adidy ara-dalàna.
  5. Fitehirizana angona: Database nomen'ny Occentus Networks (EU)
  6. Zo: Amin'ny fotoana rehetra, azonao atao ny mametra, mamerina ary mamafa ny mombamomba anao.

  1.   ErunamoJAZZ dia hoy izy:

    Lahatsoratra tena tsara, mahaliana tokoa ary tsy fantatro hoe nisy ... tsara izany raha toa ianao ka mamoaka lahatsoratra ho an'ireo vaoavao sysadmin ary 😀

    Miarahaba sy misaotra ^ _ ^

    1.    KZKG ^ Gaara dia hoy izy:

      Misaotra anao naneho hevitra.
      Eny ... miaraka amin'ireo lahatsoratra ao amin'ny DNS an'ny Fico, tsy te ho tavela any aoriana aho LOL !!!

      Tsy misy zavatra matotra. Volana maromaro lasa izay dia nahare zavatra momba ny Port Knocking aho ary nahasarika ny saiko avy hatrany izany, saingy satria nieritreritra aho fa ho be pitsiny amin'izay fotoana izay dia tsy nanapa-kevitra ny hiditra aho, omaly fotsiny no nandinika fonosana vitsivitsy avy amin'ny repo dia hitako i knockd ary nanapa-kevitra ny hanandrana aho, ary ity ny lesona.

      Tiako foana ny mametraka lahatsoratra ara-teknika, mety tsy dia mahaliana ny sasany,… manantena aho fa ny hafa 😉

      Reply with quote

    2.    Mario dia hoy izy:

      Salama, fantatro fa efa elaela ity lahatsoratra ity saingy mandefa ny fangatahako aho sao misy mahavita mamaha izany ho ahy.
      Ny zava-misy dia nampihatra ny mandondona seranana ho an'ny voaroy aho mba hanandramana hanatsara ny fiarovana rehefa mampifandray azy avy any ivelan'ny tambajotra eo an-toerana aho. Mba hiasa ity dia tsy maintsy nosokafako ny isan'ireo seranana amin'ny router 7000-9990 izay mankany amin'ny masinina. Azo antoka ve ny manokatra ireo seranana ireo amin'ny router na, ny mifanohitra amin'izay, rehefa manandrana hanana fiarovana bebe kokoa aho, manao ny mifanohitra amin'izay ve aho?

      Miarahaba ary misaotra.

  2.   HATRANY dia hoy izy:

    Tsara, efa sysadmin nandritra ny taona maro aho ary tsy nahalala azy.
    Fanontaniana iray ... ahoana no anaovanao ireo "dondona"?
    Telnet manohitra ireo seranana ireo ve ianao? Inona no navalin'ny telnet anao? Sa misy baiko mandondona "mandondona"?
    Cool cool dia lahatsoratra. Spectacular. Misaotra betsaka

    1.    KZKG ^ Gaara dia hoy izy:

      Nanao ny andrana tamin'ny telnet aho ary nahagaga ny zava-drehetra ... saingy, mahaliana fa misy baiko 'mandondona', ataovy a mandondona lehilahy mba ahitanao 😉

      Ny telnet dia tsy mamaly ahy mihitsy, nyptpt miaraka amin'ny politikan'ny DROP dia mahatonga azy tsy hamaly mihitsy ary mijanona eo miandry ny valiny ny telnet (izay tsy ho tonga velively), fa ny daomy kosa dia hanaiky ny dona na tsy misy mamaly aza. izany 😀

      Misaotra betsaka amin'ny hevitrao, nahafaly ahy ny nahafantatra fa mbola tiako ny lahatsoratro ^ _ ^

  3.   st0rmt4il dia hoy izy:

    Nampidirina amin'ny Favorites! : D!

    Gracias!

    1.    KZKG ^ Gaara dia hoy izy:

      Misaotra 😀

  4.   dhunter dia hoy izy:

    Ahh fiarovana, izany fahatsapana mahafinaritra izany rehefa miantoka ny plumb isika, ary andro / herinandro aorian'izay manandrana mampifandray amin'ny toerana lavitra tsy azontsika idirana satria ny firewall dia ao amin'ny "tsy misy olona", antsoina hoe mijanona eo ivelan'ny lapa amin'ny resaka sysadmins. 😉

    Izany no antony ilana ity lahatsoratra ity amin'ny alàlan'ny knockd ahafahanao miditra amin'ny toerana rehetra afaka mandefa fonosana amin'ny tambajotran-toerana misy anao, ary tsy liana ny mpanafika rehefa mahita fa nakatona ny seranana ssh, heveriko fa tsy handondona izy ireo hery maloto hanokatra ny seranana.

  5.   Manuel dia hoy izy:

    Hey, tsara ilay lahatsoratra.

    Zavatra iray: mifamatotra amin'ny ivelan'ny tambajotra eo an-toerana ve izy io?

    Izany no ilazako azy satria manana ny router miaraka amin'ireo seranana mihidy aho minus izay mifanandrify amin'ny ssh izay alefa any amin'ny mpizara.

    Heveriko fa raha te hiasa avy any ivelan'ny tambajotra eo an-toerana izy dia ilaina ny manokatra ny seranan-tsambo ny router mifandraika amin'ny Port Knocking ary miverina any amin'ny mpizara ihany koa.

    Mmm ...

    Tsy haiko ny fomba azo antoka hanaovana an'io.

    Inona ny hevitrao?

    1.    KZKG ^ Gaara dia hoy izy:

      Tsy dia azoko antoka loatra, tsy nanao ny fitsapana aho fa mieritreritra aho fa tokony hanokatra seranana amin'ny router ianao raha tsy izany dia tsy afaka mandondona ny mpizara.

      Ataovy ny fitsapana nefa tsy manokatra seranana amin'ny router, raha tsy mandeha aminao io dia mahamenatra, satria miombon-kevitra aminao aho, tsy tsara ny manokatra ireo seranana ireo amin'ny router.

      1.    Manuel dia hoy izy:

        Eny tokoa, tsy maintsy sokafantsika ny seranan-tsambo ary alefa any amin'ny solosaina iantsoantsika izy ireo.

        Fangorahana.

  6.   Rabba08 dia hoy izy:

    Misaotra betsaka! Vao manomboka mianatra tambajotra aho ary tsara ho ahy ireo fampianarana ireo! misaotra nanokana fotoana hizarana ny fahalalana

    1.    KZKG ^ Gaara dia hoy izy:

      Nianarako zavatra maro nandritra ny taona maro niaraka tamin'ny fiarahamonina Linux manerantany ... nandritra ny taona vitsivitsy dia te-handray anjara ihany koa aho, izany indrindra no antony anoratako 😀

  7.   janus981 dia hoy izy:

    Misaotra betsaka, tsy hainao ny manampy ahy, efa hanangana mpizara aho ary handeha tsara ho ahy ity.

    Reply with quote

    1.    KZKG ^ Gaara dia hoy izy:

      Izay no ilantsika, hanampy 😉

  8.   Jean ventura dia hoy izy:

    Lahatsoratra tena tsara! Tsy fantatro izany ary manampy ahy be dia be izany (RackSpace no ampiasaiko mampiasa KVM, noho izany mety amiko toy ny fonon-tànana!). Nampiana amin'ny tianao indrindra.

    1.    KZKG ^ Gaara dia hoy izy:

      Misaotra naneho hevitra 🙂

  9.   Algabe dia hoy izy:

    Toy ny mahazatra, Avy amin'ny Linux dia mitondra lahatsoratra tsara dia tsara miaraka amina tutorial izay tena ilaina hapetraka, misaotra tamin'ny fizarana! 🙂

    1.    KZKG ^ Gaara dia hoy izy:

      Misaotra anao tamin'ny hevitrao 🙂
      Eny, manandrana manome fahafaham-po an'izay mangetaheta fahalalana izay ananan'ny mpamaky anay izahay

  10.   Timbleck dia hoy izy:

    Mahaliana, tsy fantatro ny safidy.
    Mandehana avy hatrany amin'ny fanatobiana ny trano famakiam-bokiko.
    Gracias!

    1.    KZKG ^ Gaara dia hoy izy:

      Fahafinaretana ho ahy 😀
      Reply with quote

  11.   Frederick. A. Valdés Toujague dia hoy izy:

    Miarahaba anao KZKG ^ Gaara !!! Nipitika ianao. Lahatsoratra mahatalanjona hiantohana ireo mpizara. Tsy misy hevitra @% * & ^ fa misy izany. Andramako izany. Misaotra anao

  12.   White ^ rojo dia hoy izy:

    tsara izany…. ^ - ^

  13.   LearnLinux dia hoy izy:

    Salama, azonao atao ve ny manazava ny fomba fametrahana azy ao amin'ny CentOS 5.x?

    Nampidiniko ny rpm:
    http://pkgs.repoforge.org/knock/knock-0.5-3.el5.rf.x86_64.rpm

    Napetraka:
    rpm -i knock-0.5-3.el5.rf.x86_64.rpm

    Ampifanaraho amin'ny 15 segondra ny fisie fikirakirana ary ny seranana ampiasako hifandray amin'ny ssh amin'ny vps-ko

    Manomboka ny demonia:
    / usr / sbin / knockd &

    Telnet aho ary tsy misy zavatra tsy akaton'ny seranana, raha tsy izany dia misokatra ny seranana, saingy tsy manidy izy.

    Diso ve aho?

  14.   hola dia hoy izy:

    Mmmm, ny fangatahana telnet amin'ireo seranana ireo dia mety ho fantatry ny mpitantana ny tambajotranay eo an-toerana, na ny mpamatsy tolotra anay, tsia? Hisakana ny olona ivelany izany fa tsy izy ireo, koa raha te hampihetsika ny seranan-tsika izy ireo dia afaka manao izany satria jereo ny fangatahana ataontsika, mmm ndao lazaina fa miaro fa tsy 100%

    1.    Roberto dia hoy izy:

      Mety ho izany, saingy heveriko fa tsy hieritreritra an-tsaina ny telnet sasany manao hetsika X izy ireo. Raha tsy hitan'izy ireo fa manaraka ny lamina telnet.

  15.   Pablo Andres Diaz Aramburo dia hoy izy:

    Lahatsoratra mahaliana, manana fanontaniana aho. Heveriko fa misy lesoka eo amin'ny sarin'ny fisie fikirakirana, satria raha mandinika tsara ianao, amin'ny andalana roa amin'ilay baiko dia mampiasa ACCEPT amin'ny Iptables ianao. Mieritreritra aho fa tokony hanaiky ny iray ary ny iray hafa tokony HANDEFA.

    Raha tsy izany, fandraisana andraikitra tena tsara. Misaotra betsaka anao nanokana fotoana hanazavana amin'ny hafa ny fahalalanao.

    Reply with quote