Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Port knocking!
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) Forum di discussione italiano
View previous topic :: View next topic  
Author Message
specialk74
n00b
n00b


Joined: 09 Oct 2006
Posts: 13

PostPosted: Thu Feb 08, 2007 8:59 am    Post subject: Port knocking! Reply with quote

Avrei bisogno di implementare il port knocking su un paio di pc.
Ho installato "knock" però purtroppo, per come bisogna utilizzarlo, io ho accesso solo alla porta ssh mentre "knock" vuole varie porte per poter funzionare.
Ho letto di Doorman ma non c'è l'ebuild e poi mi sembra un po' vecchiotto.
Qualcuno può aiutarmi?
Back to top
View user's profile Send private message
lavish
Bodhisattva
Bodhisattva


Joined: 13 Sep 2004
Posts: 4296

PostPosted: Thu Feb 08, 2007 9:01 am    Post subject: Reply with quote

Spostato da Forum italiano (Italian) a Forum di discussione italiano.
_________________
minimalblue.com | secgroup.github.io/
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3654

PostPosted: Thu Feb 08, 2007 9:20 am    Post subject: Re: Port knocking! Reply with quote

specialk74 wrote:
Avrei bisogno di implementare il port knocking su un paio di pc.
Ho installato "knock" però purtroppo, per come bisogna utilizzarlo, io ho accesso solo alla porta ssh mentre "knock" vuole varie porte per poter funzionare.

Premetto che ci sono di sicuro altre discussioni a riguardo.

Non ho capito assolutamente quale sia il tuo problema ...
Knock non "vuole" varie porte per funzionare, viene configurato per ricevere una bussata su una o più porte (normalmente si usano più porte per maggiore sicurezza) ma le porte le decidi tu quando lo configuri.
Prova a spiegare meglio il tuo problema, la tua situazione e quello che vorresti ottenere.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
specialk74
n00b
n00b


Joined: 09 Oct 2006
Posts: 13

PostPosted: Thu Feb 08, 2007 9:29 am    Post subject: Reply with quote

Cercherò di spiegarmi meglio:
ho un pc dietro un router che fa il forwarding della sola porta 22/tcp (per ssh) e devo potergli accedere da internet.
Se utilizzo knock, da quanto ho visto, questi mi chiede di fare varie bussate su varie porte per potermi avviare il servizio ssh. Se il router mi fa passare solo richieste dalla porta 22 non posso da internet bussare alla porta per esempio 9000, 7000, 6000 perchè le bussate si fermano al router e non raggiungeranno mai il mio pc. Giusto?
Non c'è un modo di fare il port knocking utilizzando solo la porta 22 e passargli, che ne so', un file hash che il pc riconosce per potermi abilitare il servizio ssh?
Grazie e bye.
Back to top
View user's profile Send private message
Dece
Apprentice
Apprentice


Joined: 23 Nov 2004
Posts: 291
Location: Bologna/Rimini Italy

PostPosted: Thu Feb 08, 2007 9:32 am    Post subject: Reply with quote

specialk74 wrote:
Se il router mi fa passare solo richieste dalla porta 22 non posso da internet bussare alla porta per esempio 9000, 7000, 6000 perchè le bussate si fermano al router e non raggiungeranno mai il mio pc. Giusto?

Si ma allora a che ti serve il portknocking se sei dietro ad un router...? Ti servirebbe se potessi farlo sul router, in modo che ti apra la porta 22 quando fai il knock, ovvero: il router ha tutte le porte chiuse quindi un ipotetico portscan non rileva nulla, mentre dopo che hai mandato i giusti pacchetti ti apre la porta 22 (forwardata dove vuoi tu)
_________________
http://www.last.fm/user/Dece/
Back to top
View user's profile Send private message
specialk74
n00b
n00b


Joined: 09 Oct 2006
Posts: 13

PostPosted: Thu Feb 08, 2007 9:35 am    Post subject: Reply with quote

Purtroppo il router non è mio e non posso modificare nulla: mi hanno lasciato aperta solo quella porta e vedendo i log sul pc ho notato una svalangata di tentati accessi alla porta ssh. Se utilizzo il port knocking solo sulla porta 22, aumento la sicurezza del mio pc senza alterare la configurazione del router.
Back to top
View user's profile Send private message
Dece
Apprentice
Apprentice


Joined: 23 Nov 2004
Posts: 291
Location: Bologna/Rimini Italy

PostPosted: Thu Feb 08, 2007 9:41 am    Post subject: Reply with quote

specialk74 wrote:
Purtroppo il router non è mio e non posso modificare nulla: mi hanno lasciato aperta solo quella porta e vedendo i log sul pc ho notato una svalangata di tentati accessi alla porta ssh. Se utilizzo il port knocking solo sulla porta 22, aumento la sicurezza del mio pc senza alterare la configurazione del router.

Allora knock non ti è di aiuto: l'idea che sta alla base è che tu puoi accedere a tutte le porte "bussando" solo su alcune, se la porta disponibile è una sola allora il tutto ha poco senso...

Io più semplicemente metterei qualche regola iptables per droppare i pacchetti provenienti dall'host (o dagli host) che tentano di accedere
_________________
http://www.last.fm/user/Dece/
Back to top
View user's profile Send private message
specialk74
n00b
n00b


Joined: 09 Oct 2006
Posts: 13

PostPosted: Thu Feb 08, 2007 9:48 am    Post subject: Reply with quote

Purtroppo anche questo non posso farlo perchè io accedo sempre da un indirzzo ip diverso.
Ma non posso spedirli un file, con la porta chiusa, in modo che il pc lo riconosca e mi apra il servizio ssh?
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3654

PostPosted: Thu Feb 08, 2007 9:52 am    Post subject: Reply with quote

Si potrebbe anche far si che normalmente il firewall del pc droppi le connessioni nuove e permetta quelle già stabilite.
In questo modo di default non sarà possibile collegarsi.
Si configura knock in modo che dopo X bussate sulla 22 rimuova la regola del firewall che droppa le nuove connessioni e dopo Y secondi la ripristini, in questo modo dopo la bussata ci si può collegare solo per pochi secondi, trascorsi i quali il firewall consentirà solo le connessioni stabilite e impedirà le nuove.

Resta da vedere quale sia la reale utilità e sicurezza di un simile accrocchio ma dovrebbe funzionare.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3654

PostPosted: Thu Feb 08, 2007 9:54 am    Post subject: Reply with quote

specialk74 wrote:
Purtroppo anche questo non posso farlo perchè io accedo sempre da un indirzzo ip diverso.
Ma non posso spedirli un file, con la porta chiusa, in modo che il pc lo riconosca e mi apra il servizio ssh?

Se non hai un qualche server che stia in ascolto aspettando il file è difficile riuscire a inviarglielo ...
A questo punto non ti conviene configurare ssh in modo che accetti solo connessioni con chiave, tutti i tentativi di brute force che sporcano i log diventerebbero inutili al 100%
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
specialk74
n00b
n00b


Joined: 09 Oct 2006
Posts: 13

PostPosted: Thu Feb 08, 2007 10:05 am    Post subject: Reply with quote

Quote:
Si potrebbe anche far si che normalmente il firewall del pc droppi le connessioni nuove e permetta quelle già stabilite.
In questo modo di default non sarà possibile collegarsi.
Si configura knock in modo che dopo X bussate sulla 22 rimuova la regola del firewall che droppa le nuove connessioni e dopo Y secondi la ripristini, in questo modo dopo la bussata ci si può collegare solo per pochi secondi, trascorsi i quali il firewall consentirà solo le connessioni stabilite e impedirà le nuove.

Resta da vedere quale sia la reale utilità e sicurezza di un simile accrocchio ma dovrebbe funzionare.


Mi sembra, x me, un gran passo avanti: se il servizio non è aperto non troverò più nessuno che cerca di entrare in modo bruto anche perchè un port scanning non vede più nulla. Ma come lo implemento?
Avevo tirato fuori l'idea del file perchè tempo fa avevo letto un'articolo di "hacking9" sul programma Doorman che permetteva di spedire un file md5 per l'autenticazione della "bussata". Comunque già questo suggerimento mi leva qualche rogna.

Quote:

A questo punto non ti conviene configurare ssh in modo che accetti solo connessioni con chiave, tutti i tentativi di brute force che sporcano i log diventerebbero inutili al 100%

Scusa ma non capito che cosa mi vuoi dire.
Back to top
View user's profile Send private message
Peach
Advocate
Advocate


Joined: 08 Mar 2003
Posts: 3686
Location: London, UK

PostPosted: Thu Feb 08, 2007 10:13 am    Post subject: Reply with quote

butto lì un'altra soluzione con solo l'uso di ssh.
configura ssh per non accettare autenticazioni tastiera, ma solo per chiave.
Robbins ha scritto una guida su ssh abbastanza interessante a riguardo proprio tra la documentazione ufficiale gentoo.
_________________
Gentoo user since 2004.
"It's all fun and games, until someone loses an eye" - mom
Back to top
View user's profile Send private message
Onip
Advocate
Advocate


Joined: 02 Sep 2004
Posts: 2912
Location: Parma (Italy)

PostPosted: Thu Feb 08, 2007 10:15 am    Post subject: Reply with quote

se cerchi sul forum ci sono svariate discussioni per accedere a ssh senza password ma con un certificato. Più sicuro di così...

EDIT: quello che dice Peach
_________________
Linux Registered User n. 373835

Titus Lucretius Carus, De Rerum Natura - Tantum religio potuit suadere malorum
Back to top
View user's profile Send private message
specialk74
n00b
n00b


Joined: 09 Oct 2006
Posts: 13

PostPosted: Thu Feb 08, 2007 10:16 am    Post subject: Reply with quote

Gli do un'occhiata.
Comunque grazie a tutti (per il momento).
x Kernel78: se hai un link dove poter scaricare un script ben venga.
:D
Back to top
View user's profile Send private message
specialk74
n00b
n00b


Joined: 09 Oct 2006
Posts: 13

PostPosted: Thu Feb 08, 2007 10:19 am    Post subject: Reply with quote

A chi può interessare esiste:

http://gentoo-wiki.com/HOWTO_sshdfilter

Bye.
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3654

PostPosted: Thu Feb 08, 2007 11:48 am    Post subject: Reply with quote

specialk74 wrote:
Gli do un'occhiata.
Comunque grazie a tutti (per il momento).
x Kernel78: se hai un link dove poter scaricare un script ben venga.
:D

Basta prendere il secondo esempio dal sito di knock e modificare leggermente la regola di iptables ...
Code:
  [options]
        logfile = /var/log/knockd.log

  [opencloseSSH]
        sequence      = 22, 22 ,22
        seq_timeout   = 15
        tcpflags      = syn,ack
        start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --syn -m state --state NEW --dport 22 -j ACCEPT
        cmd_timeout   = 10
        stop_command  = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --syn -m state --state NEW --dport 22 -j ACCEPT


Ti assicuri che di default iptables droppi tutti gli input e il gioco dovrebbe essere fatto ...
Potrei essermi dimenticato qualcosa quindi attento a non tagliarti fuori quando fai le prove :wink:
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
GiRa
l33t
l33t


Joined: 07 Apr 2005
Posts: 717

PostPosted: Thu Feb 08, 2007 2:16 pm    Post subject: Reply with quote

Mi sembra una soluzione un po' puerile, basta che uno provi tre volte e poi ha ssh aperto no?

Ci sono un miliardo di script che lo fanno.

Io userei l'autenticazione solo tramite chiave.
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3654

PostPosted: Thu Feb 08, 2007 2:50 pm    Post subject: Reply with quote

GiRa wrote:
Mi sembra una soluzione un po' puerile, basta che uno provi tre volte e poi ha ssh aperto no?

Ci sono un miliardo di script che lo fanno.

No, gli script in circolazione iniziano a sparare utente/password solo verso le macchine su cui trovano ssh, se vedono la porta ssh chiusa non si mettono nemmeno a tentare, certo chi frequenta questo forum e vede questa mia proposta potrebbe decidere di creare uno script così furbo da tentare N volte di accedere anche a macchine sulle quali non sembra esserci ssh attivo ... certo la probabilità che un utente così indifferente alla sicurezza da usare username e password uguali si ingegni al punto da far risultare chiusa la porta ssh.

Queste considerazioni diventano però un po' troppo OT ...

Cmq sulla effettiva utilità di tale soluzione sono stato il primo a esprimere dei dubbi.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
GiRa
l33t
l33t


Joined: 07 Apr 2005
Posts: 717

PostPosted: Fri Feb 09, 2007 7:51 am    Post subject: Reply with quote

Kernel78 wrote:
Cmq sulla effettiva utilità di tale soluzione sono stato il primo a esprimere dei dubbi.

Infatti il mio commento non era destinato a te ma a specialk74.
Back to top
View user's profile Send private message
cloc3
Advocate
Advocate


Joined: 13 Jan 2004
Posts: 4815
Location: http://www.gentoo-users.org/user/cloc3/

PostPosted: Fri Feb 09, 2007 9:46 am    Post subject: Re: Port knocking! Reply with quote

Kernel78 wrote:

Premetto che ci sono di sicuro altre discussioni a riguardo.

questa, per esempio, mi sembra una cosa divertente.
_________________
vu vu vu
gentù
mi piaci tu
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3654

PostPosted: Fri Feb 09, 2007 9:50 am    Post subject: Re: Port knocking! Reply with quote

cloc3 wrote:
Kernel78 wrote:

Premetto che ci sono di sicuro altre discussioni a riguardo.

questa, per esempio, mi sembra una cosa divertente.

Mi sembra di aver partecipato anche ad altre discussioni su knock ma non ho voglia di mettermi a cercarle (equo rapporto tra pigrizia e troppo lavoro).

P.S. non capisco cosa ci trovi di divertente :?
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
federico
Advocate
Advocate


Joined: 18 Feb 2003
Posts: 3272
Location: Italy, Milano

PostPosted: Fri Feb 09, 2007 2:03 pm    Post subject: Reply with quote

Penso che intendesse divertente da mettere in piedi :)
Fede
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk
Back to top
View user's profile Send private message
Frez
Apprentice
Apprentice


Joined: 29 Aug 2003
Posts: 166

PostPosted: Fri Feb 09, 2007 3:30 pm    Post subject: Reply with quote

Questo thread potrebbe essere interessante. Si parlava di accessi tramite ssh e ci fu un simpatico scambio di insulti & sprangate ( :) ) tra i sostenitori dell'accesso con password e quelli che invece spostano sshd su porte a 5 cifre.

In particolare venne fuori l'idea di utilizzare denyhost per bloccare l'accesso agli indirizzi IP dai quali siano pervenute troppe richieste di accesso che non siano andate a buon fine.
Personalmente non l'ho mai provato, ma in teoria questo renderebbe abbastanza sicuro anche l'utilizzo su porta 22 con accesso tramite password (e giù sputi & insulti :) )
_________________
There is one more thing ... it's been emotional
Back to top
View user's profile Send private message
funkoolow
Guru
Guru


Joined: 21 Sep 2004
Posts: 545
Location: er paese delle anguille

PostPosted: Thu Feb 15, 2007 10:06 pm    Post subject: Reply with quote

la pigrizia autunno-invernale mi ha al massimo concesso l'implementazione di questo comodo tool.
_________________
SabaziaLUG: il LUG a nord di Roma
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) Forum di discussione italiano All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum