Port Knocking: Siguria më e mirë që mund të keni në kompjuterin ose serverin tuaj (Vendosja + Konfigurimi)

Portet goditëse (në anglisht trokitja e portit) Withoutshtë pa dyshim një praktikë që të gjithë ne që menaxhojmë serverat duhet ta dimë mirë, këtu ju shpjegoj me hollësi se çfarë është kjo dhe si ta zbatoni dhe konfiguroni këtë 😉

Tani për tani ata prej nesh që menaxhojnë një server kemi qasje SSH në atë server, disa ne ndryshojmë portin e paracaktuar të SSH dhe ai nuk e përdor më portin 22 dhe të tjerët thjesht e lënë ashtu (diçka nuk rekomandohet), megjithatë serveri ka mundësuar hyrjen e SSH përmes disa portave dhe kjo tashmë është një "dobësi".

me Trokitje Porti ne mund të arrijmë sa vijon:

1. Hyrja në SSH nuk mundësohet nga asnjë port. Nëse kemi SSH të konfiguruar për portin 9191 (për shembull), ai port (9191) do të jetë i mbyllur për të gjithë.
2. Nëse dikush dëshiron të hyjë në server nga SSH, ata padyshim që nuk do të jenë në gjendje, pasi porta 9191 është e mbyllur ... por, nëse përdorim një kombinim 'magjik' ose sekret, ajo port do të hapet, për shembull:

1. Unë telnet në portin 7000 të serverit
2. Unë bëj një telnet tjetër për të portuar 8000 të serverit
3. Unë bëj një telnet tjetër për të portuar 9000 të serverit
4. Serveri zbulon që dikush ka bërë kombinimin e fshehtë (prekni portet 7000, 8000 dhe 9000 në atë mënyrë) dhe do të hapë portën 9191 për të kërkuar hyrjen nga SSH (do ta hapë atë vetëm për IP nga e cila u bë i kënaqshëm kombinimi) .
5. Tani për të mbyllur SSH unë vetëm telnet në portin 3500
6. Do të bëj një telnet tjetër në portin 4500
7. Dhe së fundmi një telnet tjetër në portin 5500
8. Kryerja e këtij kombinimi tjetër sekret që serveri zbulon do të mbyllë përsëri portën 9191.

Me fjalë të tjera, duke e shpjeguar këtë edhe më thjesht ...

me Trokitje Porti serveri ynë mund të ketë porte të caktuara të mbyllura, por kur serveri e zbulon atë nga X IP është bërë kombinimi i saktë i portës (konfigurimi i përcaktuar më parë në një skedar konfigurimi) do të ekzekutojë një komandë të caktuar në vetvete padyshim (komandë gjithashtu përcaktohet në skedarin konfigur).

A kuptohet jo? 🙂

Si të instaloni një daemon për Port Knocking?

Unë e bëj atë me paketën kockë, e cila do të na lejojë të zbatojmë dhe konfigurojmë në mënyrë shumë, shumë të thjeshtë dhe të shpejtë Trokitje Porti.

Instaloni paketën: knockd

Si të konfiguroni Port Knocking me knockd?

Pasi të instalohet, vazhdojmë ta konfigurojmë, për këtë ne editojmë (si root) skedarin /etc/knockd.conf:

nano /etc/knockd.conf

Siç mund ta shihni në atë skedar ekziston tashmë një konfigurim i paracaktuar:

 Shpjegimi i cilësimeve të paracaktuara është me të vërtetë i thjeshtë.

- Së pari, PërdorniSyslog do të thotë që për të regjistruar aktivitetin (log) do të përdorim / var / log / syslog.
- Së dyti, në seksionin [hapurSSH] Whereshtë vendi ku padyshim do të shkojnë udhëzimet për të hapur SSH, së pari ne kemi sekuencën e portave (kombinimi sekret) që konfigurohet si parazgjedhje (porti 7000, porti 8000 dhe së fundmi porti 9000). Padyshim që portet mund të ndryshohen (në fakt unë e rekomandoj atë) si dhe nuk duhet të jenë 3, mund të jenë pak a shumë, kjo varet nga ju.
- E treta, seku_kohë = 5 do të thotë koha për të pritur kombinimin e fshehtë të portit. Në mënyrë të paracaktuar, është vendosur në 5 sekonda, kjo do të thotë që sapo të fillojmë të kryejmë trokitjen e portës (d.m.th. kur telnetojmë në portin 7000) kemi maksimumi 5 sekonda për të përfunduar sekuencën e saktë, nëse kalojnë 5 sekonda ne nuk e kemi përfunduar trokitjen e portit, atëherë thjesht do të jetë sikur sekuenca ishte e pavlefshme.
- Dhoma gjumi, komandë nuk ka nevojë për shumë shpjegime. Kjo thjesht do të jetë komanda që serveri do të ekzekutojë kur zbulon kombinimin e përcaktuar më sipër. Komanda që është vendosur si parazgjedhje ajo që bën është hapja e portës 22 (ndryshoni këtë port për portën tuaj SSH) vetëm në IP që bëri kombinimin e duhur të portave.
- E pesta, tcpflags = sin Me këtë linjë specifikojmë llojin e paketave që serveri do t’i njohë si të vlefshme për portën trokitëse.

Pastaj është seksioni për të mbyllur SSH, se konfigurimi i paracaktuar nuk është asgjë më shumë se e njëjta sekuencë e portave sipër, por në rend të kundërt.

Këtu është një konfigurim me disa modifikime:

 Si të filloni daemonin e trokitur?

Për ta filluar atë duhet së pari të modifikojmë (si root) skedarin / etj / parazgjedhur / trokitur:

nano /etc/default/knockd

Aty ndryshojmë rreshtin numër 12 që thotë: «START_KNOCKD = 0»Dhe ndryshojeni atë 0 në 1, do të kishim:«START_KNOCKD = 1«

Pasi kjo të bëhet tani, ne thjesht e fillojmë atë:

service knockd start

Dhe voila, është konfiguruar dhe funksionon.

Porti Trokitje me trokitje lart dhe drejtimin!

Siç mund ta shihni në konfigurimin e mëparshëm, nëse një trokitje e portit bëhet në portin 1000, atëherë në 2000 dhe më në fund në 3000 atëherë do të hapet porta 2222 (SSH-ja ime), edhe këtu një kompjuter tjetër që ekzekuton portin:

Sapo të shtyp [Enter] në Knock No.1, në No.2 dhe më në fund në No.3 porti do të hapet, këtu është regjistri:

Siç mund ta shihni, kur trokitni portin 1000, faza 1 u regjistrua, atëherë në 2000 do të jetë faza 2 dhe më në fund në 3 me 3000, kur e bëni këtë, komanda që deklarova në .conf ekzekutohet dhe kaq.

Pastaj për të mbyllur portin do të ishte vetëm të trokitni 9000, 8000 dhe në fund 7000, këtu është regjistri:

Dhe këtu shpjegimi i përdorimit përfundon ...

Siç mund ta shihni, Port Knocking është me të vërtetë interesant dhe i dobishëm, sepse megjithëse nuk duam të hapim thjesht një port pas një kombinimi të caktuar të porteve, komanda ose urdhri që serveri do të ekzekutojë mund të ndryshojë, dmth ... në vend të hapjen e një porti ne mund të deklarojmë për të vrarë një proces, për të ndaluar një shërbim si apache ose mysql, etj ... kufiri është imagjinata juaj.

Port Knocking funksionon vetëm kur keni një server fizik ose kur serveri virtual është teknologji KVM. Nëse VPS (serveri juaj virtual) është OpenVZ atëherë Port Knocking nuk mendoj se funksionon për ju sepse nuk mund të manipuloni drejtpërdrejt me iptables

Epo dhe deri më tani artikulli ... Unë nuk jam shumë ekspert në këtë çështje, por doja të ndaja me ju këtë proces interesant.

Pershendetje


Përmbajtja e artikullit i përmbahet parimeve tona të etika editoriale. Për të raportuar një gabim klikoni këtu.

27 komente, lini tuajën

Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.

  1.   ErunamoJAZZ dijo

    Artikull i shkëlqyeshëm, është mjaft interesant dhe nuk e dija që ekzistonte ... do të ishte mirë nëse vazhdoni të vendosni artikuj për fillestarët e sysadmin dhe që

    Përshëndetje dhe falënderime ^ _ ^

    1.    KZKG ^ Gaara dijo

      Faleminderit per koment
      Po ... është se me artikujt në DNS të FICO, nuk dua të lihem pas LOL !!!

      Asgje serioze. Disa muaj më parë dëgjova diçka për Port Knocking dhe menjëherë më tërhoqi vëmendjen, por meqenëse mendova se do të ishte shumë komplekse në kohën kur nuk vendosa të hyja brenda, dje duke shqyrtuar disa pako nga repoja që zbulova vendosi ta provojë, dhe këtu është tutoriali.

      Gjithmonë më ka pëlqyer të vendos artikuj teknikë, disa mund të mos jenë mjaft interesante, por ... Shpresoj që të tjerët të jenë

      të fala

    2.    Mario dijo

      Përshëndetje, e di që ky artikull ekziston prej disa kohësh, por unë po filloj pyetjen time për të parë nëse dikush mund ta zgjidhë atë për mua.
      Fakti është që unë kam zbatuar trokitjen e portit tek mjedra ime për t'u përpjekur të përmirësoj sigurinë kur të lidhem me të nga jashtë rrjetit lokal. Që kjo të funksiononte, unë duhej të hapja gamën e portave në routerin 7000-9990 që drejtonte makinerinë. A është e sigurt të hapësh këto porte në router ose, përkundrazi, kur përpiqesh të kesh më shumë siguri, po bëj të kundërtën?

      Përshëndetje dhe faleminderit

  2.   EVER dijo

    Shkëlqyeshëm, unë kam qenë një sysadmin për vite me radhë dhe nuk e njihja atë.
    Një pyetje ... si i bëni "trokitjet"?
    A telefononi kundër atyre porteve? Çfarë ju përgjigjet telnet? Apo ka ndonjë komandë të valës "trokitje"?
    Cool cool është artikull. Spektakolare. Faleminderit shumë

    1.    KZKG ^ Gaara dijo

      Unë bëra provën me telnet dhe gjithçka bëri mrekulli ... por, për kuriozitet, ekziston një komandë 'trokitje', bëj një njeriu troket kështu që ju mund të shihni

      Telnet në të vërtetë nuk më përgjigjet fare, iptables me politikën DROP e bën atë të mos përgjigjet fare dhe telnet qëndron atje duke pritur një përgjigje (e cila nuk do të mbërrijë kurrë), por demoni i trokitur do të njohë trokitjen edhe nëse jo dikush përgjigjet

      Faleminderit shumë për komentin tuaj, është një kënaqësi të di se artikujt e mi ende pëlqejnë ^ _ ^

  3.   st0rmt4il dijo

    Shtuar te Favoritet! : D!

    Ju faleminderit!

    1.    KZKG ^ Gaara dijo

      Faleminderit

  4.   dhunter dijo

    Ahh siguri, ajo ndjenjë e këndshme e kur sigurojmë kompjuterin në plumb, dhe pastaj ditë / javë më vonë duke u përpjekur të lidhemi nga ndonjë vend i largët ku nuk mund të hyjmë sepse firewall është në modalitetin "askush për askënd", kjo quhet qëndrimi jashtë kështjellë për sa i përket sysadmins. 😉

    Kjo është arsyeja pse ky post është kaq i dobishëm, me trokitje ju mund të përdorni nga kudo që mund të dërgojë një paketë në rrjetin tuaj lokal, dhe sulmuesit humbin interesin kur shohin se porti ssh është i mbyllur, nuk mendoj se ata do të trokasin forcën e egër për të hapur portin.

  5.   Manuel dijo

    Hej, artikulli është i shkëlqyeshëm.

    Një gjë: a shërben për tu lidhur nga jashtë rrjetit lokal?

    E them këtë sepse kam routerin me porta të mbyllura minus atë që i përgjigjet ssh-së që ridrejtohet në server.

    Imagjinoj që në mënyrë që të funksionojë nga jashtë rrjetit lokal, do të jetë e nevojshme të hapni portet e routerit që korrespondojnë me Port Knocking dhe t'i ktheni ato gjithashtu në server.

    Mmm ...

    Unë nuk e di se sa e sigurt për ta bërë këtë.

    Cfare mendoni ju

    1.    KZKG ^ Gaara dijo

      Nuk jam vërtet i sigurt, nuk e kam bërë testin por mendoj që po, duhet të hapësh porte në router sepse përndryshe nuk do të jesh në gjendje të trokasësh në server.

      Bëni provën pa hapur porta në router, nëse nuk funksionon për ju është turp, sepse jam dakord me ju, nuk këshillohet të hapni këto porte në router.

      1.    Manuel dijo

        Në të vërtetë, ne duhet të hapim portet dhe t'i ridrejtojmë ato në kompjuterin që ne po telefonojmë.

        Gjynah

  6.   Rabba08 dijo

    Faleminderit shumë! Sapo kam filluar të studioj rrjetin dhe këto mësime janë të shkëlqyera për mua! faleminderit që morët kohë për të ndarë njohuritë

    1.    KZKG ^ Gaara dijo

      Kam mësuar shumë gjatë viteve me komunitetin global Linux ... për disa vite kam dashur të kontribuoj gjithashtu, kjo është pikërisht arsyeja pse unë shkruaj

  7.   janus981 dijo

    Faleminderit shumë, ju nuk e dini se si më ndihmon, unë jam gati të krijoj një server dhe kjo po shkon shumë mirë për mua.

    të fala

    1.    KZKG ^ Gaara dijo

      Kjo është ajo për të cilën ne jemi, për të ndihmuar

  8.   Jean ventura dijo

    Artikull i shkëlqyeshëm! Nuk kisha njohuri për këtë dhe kjo më ndihmon shumë (po përdor RackSpace që përdor KVM, kështu që më përshtatet si një dorezë!). Shtuar në të preferuar.

    1.    KZKG ^ Gaara dijo

      Faleminderit për komentin

  9.   Algave dijo

    Si gjithmonë, Nga Linux na sjell një postim të shkëlqyeshëm me udhëzime që janë vërtet të dobishme për tu vënë në veprim, faleminderit për ndarjen! 🙂

    1.    KZKG ^ Gaara dijo

      Faleminderit për komentin tuaj
      Po, ne gjithmonë përpiqemi të kënaqim atë etje për njohuri që kanë lexuesit tanë

  10.   Timbleck dijo

    Interesante, nuk e dija opsionin.
    Shko drejt e në majmëri bibliotekën time të pres.
    Ju faleminderit!

    1.    KZKG ^ Gaara dijo

      Një kënaqësi për mua
      të fala

  11.   Frederiku. A. Valdés Toujague dijo

    Përshëndetje KZKG ^ Gaara !!! Ju shtrydhët Artikull i jashtëzakonshëm për të siguruar serverat. Asnjë @% * & ^ ide se një gjë e tillë ekziston. Do ta provoj Faleminderit

  12.   Gjerdan i bardhe ^ dijo

    kjo eshte fantastike…. ^ - ^

  13.   MësoniLinux dijo

    Përshëndetje, a mund të shpjegoni se si ta instaloni në CentOS 5.x?

    Unë kam shkarkuar rpm:
    http://pkgs.repoforge.org/knock/knock-0.5-3.el5.rf.x86_64.rpm

    Instaluar:
    rpm -i knock-0.5-3.el5.rf.x86_64.rpm

    Konfiguroni skedarin e konfigurimit me 15 sekonda kohë dhe portin që unë përdor për t'u lidhur me ssh me vps-të e mia

    Demoni fillon:
    / usr / sbin / trokiti &

    Unë telnet dhe asgjë port nuk mbyllet, si parazgjedhje porti është i hapur, por nuk mbyllet.

    Po bej dicka keq?

  14.   hola dijo

    Mmmm, kërkesat e telnetit për ato porte mund të mësohen nga administratori i rrjetit tonë lokal, ose nga ofruesi ynë i shërbimit, jo? Do të bllokonte njerëzit e jashtëm por jo ata, kështu që nëse ata duan të aktivizojnë portin tonë ata mund ta bëjnë këtë sepse Shih kërkesat që bëjmë, mmm le të themi se mbron por jo 100%

    1.    Roberto dijo

      Mund të jetë, por nuk mendoj se ata do të imagjinojnë që telnet i caktuar ekzekuton veprimin X. Nëse nuk shohin që ndiqen të njëjtat modele telnet.

  15.   Pablo Andres Diaz Aramburo dijo

    Artikull interesant, kam një pyetje. Unë mendoj se ka një gabim në imazhin e skedarit të konfigurimit, sepse nëse analizoni mirë, në të dy linjat e komandës po përdorni ACCEPT në Iptables. Unë mendoj se një duhet të pranohet dhe një tjetër duhet të refuzojë.

    Përndryshe, iniciativë e shkëlqyeshme. Faleminderit shumë që gjetët kohë për të shpjeguar njohuritë tuaja për të tjerët.

    të fala