Куцање порта: Најбоља сигурност коју имате на рачунару или серверу (примена + конфигурација)

Упадљиве луке (на енглеском луко куца) је без сумње пракса коју бисмо сви који управљамо серверима требали добро знати, овде детаљно објашњавам шта је то и како то применити и конфигурисати 😉

Тренутно ми који управљамо сервером имамо ССХ приступ том серверу, неки мењамо подразумевани порт ССХ и више не користи порт 22, а други га само остављају тако (нешто се не препоручује), међутим сервер је омогућио ССХ приступ преко неког порта и то је већ „рањивост“.

са Лупање луке можемо постићи следеће:

1. Ниједан порт не омогућава ССХ приступ. Ако смо конфигурисали ССХ за порт 9191 (на пример), тај порт (9191) ће бити затворен за све.
2. Ако неко жели приступити серверу путем ССХ-а, очигледно неће моћи, јер је порт 9191 затворен ... али, ако користимо „магију“ или тајну комбинацију, тај порт ће се отворити, на пример:

1. Ја телефонирам на порт 7000 сервера
2. Радим још један телнет за порт 8000 сервера
3. Радим још један телнет за порт 9000 сервера
4. Сервер открива да је неко направио тајну комбинацију (додирни портови 7000, 8000 и 9000 тим редоследом) и отвориће порт 9191 да затражи пријаву од ССХ (отвориће га само за ИП адресу од које је комбинација направљена број порта задовољавајући).
5. Сада да затворим ССХ, само сам телнет на порт 3500
6. Урадићу још један телнет до порта 4500
7. И на крају још један телнет за порт 5500
8. Извођењем ове друге тајне комбинације коју сервер открије поново ћете затворити порт 9191.

Другим речима, објашњавајући ово још једноставније ...

са Лупање луке наш сервер може имати затворене одређене портове, али када сервер то открије X ИП је направљена тачна комбинација порта (конфигурација претходно дефинисана у конфигурационој датотеци) извршиће одређену команду на себи очигледно (команда такође дефинисано у конфигурационој датотеци).

Да ли се разуме? 🙂

Како инсталирати демон за лупање порта?

Ја то радим са пакетом коцкд, што ће нам омогућити на врло, врло једноставан и брз начин да применимо и конфигуришемо Лупање луке.

Инсталирајте пакет: knockd

Како конфигурисати лупање порта помоћу кноцкд-а?

Једном инсталирани настављамо да га конфигуришемо, за то уређујемо (као роот) датотеку /етц/кноцкд.цонф:

nano /etc/knockd.conf

Као што видите у тој датотеци већ постоји подразумевана конфигурација:

 Објашњење подразумеваних поставки је заиста једноставно.

- Први, УсеСислог значи да ћемо за бележење активности (евиденције) користити / вар / лог / сислог.
- Друго, у одељку [опенССХ] Тамо ће очигледно ићи упутства за отварање ССХ-а, прво имамо редослед портова (тајна комбинација) који је подразумевано конфигурисан (порт 7000, порт 8000 и на крају порт 9000). Очигледно је да се портови могу мењати (у ствари то препоручујем), као и да не морају бити 3, могу бити више или мање, зависи од вас.
- Треће, сек_тимеоут = 5 значи време чекања да се тајна комбинација порта одржи. Подразумевано је постављено на 5 секунди, то значи да када почнемо да изводимо куцање порта (то јест, када се телнет повежемо на 7000) имамо највише 5 секунди да завршимо тачну секвенцу, ако прође 5 секунди и нисмо довршили лупање порта, тада ће једноставно бити као да је секвенца неваљана.
- Четврто, команда не треба много објашњења. Ово ће једноставно бити наредба коју ће сервер извршити када открије горе дефинисану комбинацију. Команда која је подразумевано постављена да ради је да отвори порт 22 (промените овај порт за свој ССХ порт) само на ИП који је направио исправну комбинацију портова.
- Пето, тцпфлагс = синх Овом линијом одређујемо врсту пакета које ће сервер препознати као важеће за куцајући порт.

Затим постоји одељак за затварање ССХ-а, да подразумевана конфигурација није ништа друго до исти редослед горе наведених портова већ у супротном редоследу.

Ево конфигурације са неким изменама:

 Како покренути кноцкд даемон?

Да бисмо га покренули, прво морамо модификовати (као роот) датотеку / етц / дефаулт / кноцкд:

nano /etc/default/knockd

Тамо мењамо ред број 12 који каже: «СТАРТ_КНОЦКД = 0»А ако променимо 0 на 1, добили бисмо:«СТАРТ_КНОЦКД = 1«

Једном када је ово готово, једноставно га започињемо:

service knockd start

И воила, конфигурисан је и ради.

Куцање у луку с куцањем и трчањем!

Као што можете видети у претходној конфигурацији, ако се лупање порта изврши на порт 1000, затим на 2000 и на крају на 3000, онда ће се отворити порт 2222 (мој ССХ), па овде ће се извршити још један рачунар који извршава куцање порта:

Једном када притиснем [Ентер] на Кноцк Но.1, на Но.2 и на крају на Но.3 отворит ће се порт, ево дневника:

Као што видите, приликом куцања порта 1000, регистрована је фаза 1, тада ће 2000. бити фаза 2 и на крају 3 са 3000, када се то ради, команда коју сам прогласио у .цонф се извршава и то је то.

Тада би затварање порта значило само куцање 9000, 8000 и коначно 7000, ево дневника:

И овде се објашњавање употребе завршава 😀

Као што видите, лупање порта је заиста занимљиво и корисно, јер иако не желимо једноставно да отворимо порт након одређене комбинације портова, наредба или налог који ће сервер извршити може се разликовати, то јест ... уместо отварање порта можемо прогласити да убијамо процес, заустављамо услугу као што је апацхе или мискл, итд ... ограничење је ваша машта.

Куцање порта функционише само када имате физички сервер или када је виртуелни сервер КВМ технологија. Ако је ваш ВПС (виртуелни сервер) ОпенВЗ, онда лупање порта, мислим да вам не иде јер не можете директно да манипулишете иптаблес

Па и до сада чланак ... Ја нисам далеко стручњак за ово питање, али желео сам да поделим са вама овај занимљив процес.

Поздрав 😀


27 коментара, остави свој

Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.

  1.   ЕрунамоЈАЗЗ дијо

    Одличан чланак, прилично је занимљив и нисам знао да постоји ... било би сјајно ако наставите да објављујете чланке за сисадмин почетнике и то 😀

    Поздрав и хвала ^ _ ^

    1.    КЗКГ ^ Гаара дијо

      Хвала вам на коментару.
      Да ... то је да чланцима о ДНС-у ФИЦО-а не желим да останем иза себе ЛОЛ !!!

      Ништа озбиљно. Пре неколико месеци чуо сам нешто о Порт Кноцкингу и то ми је одмах привукло пажњу, али пошто сам у то време мислио да ће бити веома сложено, нисам одлучио да уђем, баш јуче прегледавајући неке пакете из репо-а открио сам кноцкд и одлучио да покуша, а ево и упутства.

      Увек сам волео да стављам техничке чланке, неки можда нису довољно занимљиви, али ... надам се да су други 😉

      поздрави

    2.    марио дијо

      Здраво, знам да овај чланак постоји већ неко време, али покрећем свој упит да видим може ли неко да га реши уместо мене.
      Чињеница је да сам применио куцање порта на моју малину како бих покушао да побољшам безбедност када се на њу повежем изван локалне мреже. Да би ово функционисало, морао сам да отворим опсег портова на рутеру 7000-9990 који усмеравају на машину. Да ли је сигурно отворити те портове на рутеру или напротив, када покушавам да имам већу сигурност, радим ли супротно?

      Поздрав и хвала.

  2.   еВеР дијо

    Супер, годинама сам сисадмин и нисам га познавао.
    Једно питање ... како се ради "куцање"?
    Да ли телефонирате против тих лука? Шта вам телнет одговара? Или постоји нека команда "куцни" талас?
    Супер је чланак. Спектакуларно. Хвала пуно

    1.    КЗКГ ^ Гаара дијо

      Направио сам тест са телнет-ом и све је учинило чуда ... али, знатижељно је да постоји команда 'куцај', уради а човек куца тако да можете видети 😉

      Телнет ми заправо уопште не одговара, иптаблес са ДРОП политиком чини да уопште не реагује и телнет остаје тамо чекајући одговор (који никада неће стићи), али кноцкд даемон ће препознати куцање чак и ако не један одговара 😀

      Хвала вам пуно на коментару, задовољство ми је знати да моји чланци и даље воле ^ _ ^

  3.   ст0рмт4ил дијо

    Додато у Фаворите! : Д

    Хвала!

    1.    КЗКГ ^ Гаара дијо

      Хвала 😀

  4.   дхунтер дијо

    Ах, сигурност, онај пријатан осећај када осигуравамо рачунар на висини, а затим данима / недељама касније покушавајући да се повежемо са неког удаљеног места којем не можемо да приступимо, јер је заштитни зид у режиму „нико ни за кога“, то се зове боравак изван дворац у погледу сисадмина. 😉

    Због тога је овај пост тако користан, са кноцкд-ом можете приступити са било ког места које може послати пакет на вашу локалну мрежу, а нападачи губе интересовање када виде да је ссх порт затворен, мислим да неће ударати грубом силом да се отвори лука.

  5.   Мануел дијо

    Хеј, чланак је сјајан.

    Једно: да ли служи за повезивање изван локалне мреже?

    Кажем ово јер имам рутер са затвореним портовима минус онај који одговара ссх-у који је преусмерен на сервер.

    Претпостављам да ће да би функционисао изван локалне мреже бити потребно отворити портове рутера који одговарају Порт Кноцкингу и учинити их преусмеравањем такође на сервер.

    Ммм…

    Не знам колико је сигурно то учинити.

    Шта мислиш?

    1.    КЗКГ ^ Гаара дијо

      Нисам баш сигуран, нисам обавио тест, али мислим да да, требало би да отворите портове на рутеру, у супротном нећете моћи да закуцате сервер.

      Урадите тест без отварања портова на рутеру, ако вам то не одговара штета је, јер се слажем са вама, није препоручљиво отварати ове портове на рутеру.

      1.    Мануел дијо

        Заправо, морамо да отворимо портове и преусмеримо их на рачунар који зовемо.

        Штета.

  6.   Рабба08 дијо

    Велико хвала! Тек почињем да учим умрежавање и ови водичи су ми одлични! хвала што сте одвојили време за поделу знања

    1.    КЗКГ ^ Гаара дијо

      Током година научио сам много са глобалном Линук заједницом ... већ неколико година желим и ја да дам свој допринос, управо зато пишем 😀

  7.   јанус981 дијо

    Пуно вам хвала, не знате како ми помаже, спрема се да поставим сервер и ово ми иде супер.

    поздрави

    1.    КЗКГ ^ Гаара дијо

      За то смо и ми, да помогнемо 😉

  8.   Јеан вентура дијо

    Одличан чланак! Нисам знао за ово и много ми помаже (користим РацкСпаце који користи КВМ, тако да ми одговара као рукавица!). Додато у омиљене.

    1.    КЗКГ ^ Гаара дијо

      Хвала на коментару 🙂

  9.   Алгабе дијо

    Као и обично DesdeLinux nos trae excelentes post con tutoriales que son realmente utiles para poner en acción, gracias por compartir!! 🙂

    1.    КЗКГ ^ Гаара дијо

      Хвала вам на коментару 🙂
      Да, увек се трудимо да утажимо ту жеђ за знањем коју имају наши читаоци 😀

  10.   Тимблецк дијо

    Занимљиво, нисам знао опцију.
    Идите право на товљење моје библиотеке котлета.
    Хвала!

    1.    КЗКГ ^ Гаара дијо

      Задовољство за мене 😀
      поздрави

  11.   Фредерицк. А. Валдес Тоујагуе дијо

    Поздрав КЗКГ ^ Гаара !!! Стиснуо си. Страшан чланак о заштити сервера. Нема @% * & ^ идеје да тако нешто постоји. Ја ћу пробати. Хвала вам

  12.   Бела ^ огрлица дијо

    ово је супер…. ^ - ^

  13.   ЛеарнЛинук дијо

    Здраво, можете ли да објасните како да га инсталирате у ЦентОС 5.к?

    Преузео сам рпм:
    http://pkgs.repoforge.org/knock/knock-0.5-3.el5.rf.x86_64.rpm

    Инсталирано:
    rpm -i knock-0.5-3.el5.rf.x86_64.rpm

    Конфигуришите конфигурациону датотеку са 15 секунди времена и порт који користим за повезивање ссх-ом са својим впс-ом

    Демон започиње:
    / уср / сбин / кноцкд &

    Ја телнет и ништа се порт не затвара, подразумевано је порт отворен, али се не затвара.

    Радим ли нешто погрешно?

  14.   здраво дијо

    Мммм, телнет захтеве за те портове могао би да научи администратор наше локалне мреже или наш добављач услуга, не? То би блокирало спољне људе, али не и њих, па ако желе да активирају наш порт, могли би то да учине јер захтеви које подносимо, ммм рецимо да штити, али не 100%

    1.    Роберто дијо

      Могло би бити, али мислим да неће замишљати да одређени телнет извршава Кс акцију. Осим ако не виде да се следе исти обрасци телнет-а.

  15.   Пабло Андрес Диаз Арамбуро дијо

    Занимљив чланак, имам питање. Мислим да постоји грешка у слици конфигурационе датотеке, јер ако добро анализирате, у оба реда команде користите АЦЦЕПТ у Иптаблес-у. Мислим да би неко требао бити ПРИХВАТЕН, а други ОДБИЈАТИ.

    Иначе, изврсна иницијатива. Пуно вам хвала што сте одвојили време да другима објасните своје знање.

    поздрави