| View previous topic :: View next topic |
| Author |
Message |
specialk74
n00b
Joined: 09 Oct 2006
Posts: 13
|
 Posted: Thu Feb 08, 2007 8:59 am Post subject: Port knocking! |
 |
|
Avrei bisogno di implementare il port knocking su un paio di pc.
Ho installato "knock" però purtroppo, per come bisogna utilizzarlo, io ho accesso solo alla porta ssh mentre "knock" vuole varie porte per poter funzionare.
Ho letto di Doorman ma non c'è l'ebuild e poi mi sembra un po' vecchiotto.
Qualcuno può aiutarmi? |
|
| Back to top |
|
 |
lavish
Bodhisattva
Joined: 13 Sep 2004
Posts: 4296
|
| Posted: Thu Feb 08, 2007 9:01 am Post subject: |
|
|
Spostato da Forum italiano (Italian) a Forum di discussione italiano.
_________________
minimalblue.com | secgroup.github.io/ |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Thu Feb 08, 2007 9:20 am Post subject: Re: Port knocking! |
|
|
| specialk74 wrote: | Avrei bisogno di implementare il port knocking su un paio di pc.
Ho installato "knock" però purtroppo, per come bisogna utilizzarlo, io ho accesso solo alla porta ssh mentre "knock" vuole varie porte per poter funzionare. |
Premetto che ci sono di sicuro altre discussioni a riguardo.
Non ho capito assolutamente quale sia il tuo problema ...
Knock non "vuole" varie porte per funzionare, viene configurato per ricevere una bussata su una o più porte (normalmente si usano più porte per maggiore sicurezza) ma le porte le decidi tu quando lo configuri.
Prova a spiegare meglio il tuo problema, la tua situazione e quello che vorresti ottenere.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
specialk74
n00b
Joined: 09 Oct 2006
Posts: 13
|
| Posted: Thu Feb 08, 2007 9:29 am Post subject: |
|
|
Cercherò di spiegarmi meglio:
ho un pc dietro un router che fa il forwarding della sola porta 22/tcp (per ssh) e devo potergli accedere da internet.
Se utilizzo knock, da quanto ho visto, questi mi chiede di fare varie bussate su varie porte per potermi avviare il servizio ssh. Se il router mi fa passare solo richieste dalla porta 22 non posso da internet bussare alla porta per esempio 9000, 7000, 6000 perchè le bussate si fermano al router e non raggiungeranno mai il mio pc. Giusto?
Non c'è un modo di fare il port knocking utilizzando solo la porta 22 e passargli, che ne so', un file hash che il pc riconosce per potermi abilitare il servizio ssh?
Grazie e bye. |
|
| Back to top |
|
|
Dece
Apprentice
Joined: 23 Nov 2004
Posts: 291
Location: Bologna/Rimini Italy
|
| Posted: Thu Feb 08, 2007 9:32 am Post subject: |
|
|
| specialk74 wrote: | Se il router mi fa passare solo richieste dalla porta 22 non posso da internet bussare alla porta per esempio 9000, 7000, 6000 perchè le bussate si fermano al router e non raggiungeranno mai il mio pc. Giusto?
|
Si ma allora a che ti serve il portknocking se sei dietro ad un router...? Ti servirebbe se potessi farlo sul router, in modo che ti apra la porta 22 quando fai il knock, ovvero: il router ha tutte le porte chiuse quindi un ipotetico portscan non rileva nulla, mentre dopo che hai mandato i giusti pacchetti ti apre la porta 22 (forwardata dove vuoi tu)
_________________
http://www.last.fm/user/Dece/ |
|
| Back to top |
|
|
specialk74
n00b
Joined: 09 Oct 2006
Posts: 13
|
| Posted: Thu Feb 08, 2007 9:35 am Post subject: |
|
|
| Purtroppo il router non è mio e non posso modificare nulla: mi hanno lasciato aperta solo quella porta e vedendo i log sul pc ho notato una svalangata di tentati accessi alla porta ssh. Se utilizzo il port knocking solo sulla porta 22, aumento la sicurezza del mio pc senza alterare la configurazione del router. |
|
| Back to top |
|
|
Dece
Apprentice
Joined: 23 Nov 2004
Posts: 291
Location: Bologna/Rimini Italy
|
| Posted: Thu Feb 08, 2007 9:41 am Post subject: |
|
|
| specialk74 wrote: | | Purtroppo il router non è mio e non posso modificare nulla: mi hanno lasciato aperta solo quella porta e vedendo i log sul pc ho notato una svalangata di tentati accessi alla porta ssh. Se utilizzo il port knocking solo sulla porta 22, aumento la sicurezza del mio pc senza alterare la configurazione del router. |
Allora knock non ti è di aiuto: l'idea che sta alla base è che tu puoi accedere a tutte le porte "bussando" solo su alcune, se la porta disponibile è una sola allora il tutto ha poco senso...
Io più semplicemente metterei qualche regola iptables per droppare i pacchetti provenienti dall'host (o dagli host) che tentano di accedere
_________________
http://www.last.fm/user/Dece/ |
|
| Back to top |
|
|
specialk74
n00b
Joined: 09 Oct 2006
Posts: 13
|
| Posted: Thu Feb 08, 2007 9:48 am Post subject: |
|
|
Purtroppo anche questo non posso farlo perchè io accedo sempre da un indirzzo ip diverso.
Ma non posso spedirli un file, con la porta chiusa, in modo che il pc lo riconosca e mi apra il servizio ssh? |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Thu Feb 08, 2007 9:52 am Post subject: |
|
|
Si potrebbe anche far si che normalmente il firewall del pc droppi le connessioni nuove e permetta quelle già stabilite.
In questo modo di default non sarà possibile collegarsi.
Si configura knock in modo che dopo X bussate sulla 22 rimuova la regola del firewall che droppa le nuove connessioni e dopo Y secondi la ripristini, in questo modo dopo la bussata ci si può collegare solo per pochi secondi, trascorsi i quali il firewall consentirà solo le connessioni stabilite e impedirà le nuove.
Resta da vedere quale sia la reale utilità e sicurezza di un simile accrocchio ma dovrebbe funzionare.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Thu Feb 08, 2007 9:54 am Post subject: |
|
|
| specialk74 wrote: | Purtroppo anche questo non posso farlo perchè io accedo sempre da un indirzzo ip diverso.
Ma non posso spedirli un file, con la porta chiusa, in modo che il pc lo riconosca e mi apra il servizio ssh? |
Se non hai un qualche server che stia in ascolto aspettando il file è difficile riuscire a inviarglielo ...
A questo punto non ti conviene configurare ssh in modo che accetti solo connessioni con chiave, tutti i tentativi di brute force che sporcano i log diventerebbero inutili al 100%
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
specialk74
n00b
Joined: 09 Oct 2006
Posts: 13
|
| Posted: Thu Feb 08, 2007 10:05 am Post subject: |
|
|
| Quote: | Si potrebbe anche far si che normalmente il firewall del pc droppi le connessioni nuove e permetta quelle già stabilite.
In questo modo di default non sarà possibile collegarsi.
Si configura knock in modo che dopo X bussate sulla 22 rimuova la regola del firewall che droppa le nuove connessioni e dopo Y secondi la ripristini, in questo modo dopo la bussata ci si può collegare solo per pochi secondi, trascorsi i quali il firewall consentirà solo le connessioni stabilite e impedirà le nuove.
Resta da vedere quale sia la reale utilità e sicurezza di un simile accrocchio ma dovrebbe funzionare. |
Mi sembra, x me, un gran passo avanti: se il servizio non è aperto non troverò più nessuno che cerca di entrare in modo bruto anche perchè un port scanning non vede più nulla. Ma come lo implemento?
Avevo tirato fuori l'idea del file perchè tempo fa avevo letto un'articolo di "hacking9" sul programma Doorman che permetteva di spedire un file md5 per l'autenticazione della "bussata". Comunque già questo suggerimento mi leva qualche rogna.
| Quote: |
A questo punto non ti conviene configurare ssh in modo che accetti solo connessioni con chiave, tutti i tentativi di brute force che sporcano i log diventerebbero inutili al 100%
|
Scusa ma non capito che cosa mi vuoi dire. |
|
| Back to top |
|
|
Peach
Advocate
Joined: 08 Mar 2003
Posts: 3686
Location: London, UK
|
| Posted: Thu Feb 08, 2007 10:13 am Post subject: |
|
|
butto lì un'altra soluzione con solo l'uso di ssh.
configura ssh per non accettare autenticazioni tastiera, ma solo per chiave.
Robbins ha scritto una guida su ssh abbastanza interessante a riguardo proprio tra la documentazione ufficiale gentoo.
_________________
Gentoo user since 2004.
"It's all fun and games, until someone loses an eye" - mom |
|
| Back to top |
|
|
Onip
Advocate
Joined: 02 Sep 2004
Posts: 2912
Location: Parma (Italy)
|
| Posted: Thu Feb 08, 2007 10:15 am Post subject: |
|
|
se cerchi sul forum ci sono svariate discussioni per accedere a ssh senza password ma con un certificato. Più sicuro di così...
EDIT: quello che dice Peach
_________________
Linux Registered User n. 373835
Titus Lucretius Carus, De Rerum Natura - Tantum religio potuit suadere malorum |
|
| Back to top |
|
|
specialk74
n00b
Joined: 09 Oct 2006
Posts: 13
|
| Posted: Thu Feb 08, 2007 10:16 am Post subject: |
|
|
Gli do un'occhiata.
Comunque grazie a tutti (per il momento).
x Kernel78: se hai un link dove poter scaricare un script ben venga.
 |
|
| Back to top |
|
|
specialk74
n00b
Joined: 09 Oct 2006
Posts: 13
|
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Thu Feb 08, 2007 11:48 am Post subject: |
|
|
| specialk74 wrote: | Gli do un'occhiata.
Comunque grazie a tutti (per il momento).
x Kernel78: se hai un link dove poter scaricare un script ben venga.
|
Basta prendere il secondo esempio dal sito di knock e modificare leggermente la regola di iptables ...
| Code: | [options]
logfile = /var/log/knockd.log
[opencloseSSH]
sequence = 22, 22 ,22
seq_timeout = 15
tcpflags = syn,ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --syn -m state --state NEW --dport 22 -j ACCEPT
cmd_timeout = 10
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --syn -m state --state NEW --dport 22 -j ACCEPT
|
Ti assicuri che di default iptables droppi tutti gli input e il gioco dovrebbe essere fatto ...
Potrei essermi dimenticato qualcosa quindi attento a non tagliarti fuori quando fai le prove 
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
GiRa
l33t
Joined: 07 Apr 2005
Posts: 717
|
| Posted: Thu Feb 08, 2007 2:16 pm Post subject: |
|
|
Mi sembra una soluzione un po' puerile, basta che uno provi tre volte e poi ha ssh aperto no?
Ci sono un miliardo di script che lo fanno.
Io userei l'autenticazione solo tramite chiave. |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Thu Feb 08, 2007 2:50 pm Post subject: |
|
|
| GiRa wrote: | Mi sembra una soluzione un po' puerile, basta che uno provi tre volte e poi ha ssh aperto no?
Ci sono un miliardo di script che lo fanno.
|
No, gli script in circolazione iniziano a sparare utente/password solo verso le macchine su cui trovano ssh, se vedono la porta ssh chiusa non si mettono nemmeno a tentare, certo chi frequenta questo forum e vede questa mia proposta potrebbe decidere di creare uno script così furbo da tentare N volte di accedere anche a macchine sulle quali non sembra esserci ssh attivo ... certo la probabilità che un utente così indifferente alla sicurezza da usare username e password uguali si ingegni al punto da far risultare chiusa la porta ssh.
Queste considerazioni diventano però un po' troppo OT ...
Cmq sulla effettiva utilità di tale soluzione sono stato il primo a esprimere dei dubbi.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
GiRa
l33t
Joined: 07 Apr 2005
Posts: 717
|
| Posted: Fri Feb 09, 2007 7:51 am Post subject: |
|
|
| Kernel78 wrote: | | Cmq sulla effettiva utilità di tale soluzione sono stato il primo a esprimere dei dubbi. |
Infatti il mio commento non era destinato a te ma a specialk74. |
|
| Back to top |
|
|
cloc3
Advocate
Joined: 13 Jan 2004
Posts: 4815
Location: http://www.gentoo-users.org/user/cloc3/
|
| Posted: Fri Feb 09, 2007 9:46 am Post subject: Re: Port knocking! |
|
|
| Kernel78 wrote: |
Premetto che ci sono di sicuro altre discussioni a riguardo.
|
questa, per esempio, mi sembra una cosa divertente.
_________________
vu vu vu
gentù
mi piaci tu |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Fri Feb 09, 2007 9:50 am Post subject: Re: Port knocking! |
|
|
| cloc3 wrote: | | Kernel78 wrote: |
Premetto che ci sono di sicuro altre discussioni a riguardo.
|
questa, per esempio, mi sembra una cosa divertente. |
Mi sembra di aver partecipato anche ad altre discussioni su knock ma non ho voglia di mettermi a cercarle (equo rapporto tra pigrizia e troppo lavoro).
P.S. non capisco cosa ci trovi di divertente 
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
federico
Advocate
Joined: 18 Feb 2003
Posts: 3272
Location: Italy, Milano
|
|
| Back to top |
|
|
Frez
Apprentice
Joined: 29 Aug 2003
Posts: 166
|
| Posted: Fri Feb 09, 2007 3:30 pm Post subject: |
|
|
Questo thread potrebbe essere interessante. Si parlava di accessi tramite ssh e ci fu un simpatico scambio di insulti & sprangate (  ) tra i sostenitori dell'accesso con password e quelli che invece spostano sshd su porte a 5 cifre.
In particolare venne fuori l'idea di utilizzare denyhost per bloccare l'accesso agli indirizzi IP dai quali siano pervenute troppe richieste di accesso che non siano andate a buon fine.
Personalmente non l'ho mai provato, ma in teoria questo renderebbe abbastanza sicuro anche l'utilizzo su porta 22 con accesso tramite password (e giù sputi & insulti )
_________________
There is one more thing ... it's been emotional |
|
| Back to top |
|
|
funkoolow
Guru
Joined: 21 Sep 2004
Posts: 545
Location: er paese delle anguille
|
|
| Back to top |
|
|
|
Forum italiano (Italian) 
