View previous topic :: View next topic |
Author |
Message |
specialk74 n00b

Joined: 09 Oct 2006 Posts: 13
|
Posted: Thu Feb 08, 2007 8:59 am Post subject: Port knocking! |
|
|
Avrei bisogno di implementare il port knocking su un paio di pc.
Ho installato "knock" però purtroppo, per come bisogna utilizzarlo, io ho accesso solo alla porta ssh mentre "knock" vuole varie porte per poter funzionare.
Ho letto di Doorman ma non c'è l'ebuild e poi mi sembra un po' vecchiotto.
Qualcuno può aiutarmi? |
|
Back to top |
|
 |
lavish Bodhisattva

Joined: 13 Sep 2004 Posts: 4296
|
Posted: Thu Feb 08, 2007 9:01 am Post subject: |
|
|
Spostato da Forum italiano (Italian) a Forum di discussione italiano. _________________ minimalblue.com | secgroup.github.io/ |
|
Back to top |
|
 |
Kernel78 Moderator

Joined: 24 Jun 2005 Posts: 3654
|
Posted: Thu Feb 08, 2007 9:20 am Post subject: Re: Port knocking! |
|
|
specialk74 wrote: | Avrei bisogno di implementare il port knocking su un paio di pc.
Ho installato "knock" però purtroppo, per come bisogna utilizzarlo, io ho accesso solo alla porta ssh mentre "knock" vuole varie porte per poter funzionare. |
Premetto che ci sono di sicuro altre discussioni a riguardo.
Non ho capito assolutamente quale sia il tuo problema ...
Knock non "vuole" varie porte per funzionare, viene configurato per ricevere una bussata su una o più porte (normalmente si usano più porte per maggiore sicurezza) ma le porte le decidi tu quando lo configuri.
Prova a spiegare meglio il tuo problema, la tua situazione e quello che vorresti ottenere. _________________ Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con Code: | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
Back to top |
|
 |
specialk74 n00b

Joined: 09 Oct 2006 Posts: 13
|
Posted: Thu Feb 08, 2007 9:29 am Post subject: |
|
|
Cercherò di spiegarmi meglio:
ho un pc dietro un router che fa il forwarding della sola porta 22/tcp (per ssh) e devo potergli accedere da internet.
Se utilizzo knock, da quanto ho visto, questi mi chiede di fare varie bussate su varie porte per potermi avviare il servizio ssh. Se il router mi fa passare solo richieste dalla porta 22 non posso da internet bussare alla porta per esempio 9000, 7000, 6000 perchè le bussate si fermano al router e non raggiungeranno mai il mio pc. Giusto?
Non c'è un modo di fare il port knocking utilizzando solo la porta 22 e passargli, che ne so', un file hash che il pc riconosce per potermi abilitare il servizio ssh?
Grazie e bye. |
|
Back to top |
|
 |
Dece Apprentice


Joined: 23 Nov 2004 Posts: 291 Location: Bologna/Rimini Italy
|
Posted: Thu Feb 08, 2007 9:32 am Post subject: |
|
|
specialk74 wrote: | Se il router mi fa passare solo richieste dalla porta 22 non posso da internet bussare alla porta per esempio 9000, 7000, 6000 perchè le bussate si fermano al router e non raggiungeranno mai il mio pc. Giusto?
|
Si ma allora a che ti serve il portknocking se sei dietro ad un router...? Ti servirebbe se potessi farlo sul router, in modo che ti apra la porta 22 quando fai il knock, ovvero: il router ha tutte le porte chiuse quindi un ipotetico portscan non rileva nulla, mentre dopo che hai mandato i giusti pacchetti ti apre la porta 22 (forwardata dove vuoi tu) _________________ http://www.last.fm/user/Dece/ |
|
Back to top |
|
 |
specialk74 n00b

Joined: 09 Oct 2006 Posts: 13
|
Posted: Thu Feb 08, 2007 9:35 am Post subject: |
|
|
Purtroppo il router non è mio e non posso modificare nulla: mi hanno lasciato aperta solo quella porta e vedendo i log sul pc ho notato una svalangata di tentati accessi alla porta ssh. Se utilizzo il port knocking solo sulla porta 22, aumento la sicurezza del mio pc senza alterare la configurazione del router. |
|
Back to top |
|
 |
Dece Apprentice


Joined: 23 Nov 2004 Posts: 291 Location: Bologna/Rimini Italy
|
Posted: Thu Feb 08, 2007 9:41 am Post subject: |
|
|
specialk74 wrote: | Purtroppo il router non è mio e non posso modificare nulla: mi hanno lasciato aperta solo quella porta e vedendo i log sul pc ho notato una svalangata di tentati accessi alla porta ssh. Se utilizzo il port knocking solo sulla porta 22, aumento la sicurezza del mio pc senza alterare la configurazione del router. |
Allora knock non ti è di aiuto: l'idea che sta alla base è che tu puoi accedere a tutte le porte "bussando" solo su alcune, se la porta disponibile è una sola allora il tutto ha poco senso...
Io più semplicemente metterei qualche regola iptables per droppare i pacchetti provenienti dall'host (o dagli host) che tentano di accedere _________________ http://www.last.fm/user/Dece/ |
|
Back to top |
|
 |
specialk74 n00b

Joined: 09 Oct 2006 Posts: 13
|
Posted: Thu Feb 08, 2007 9:48 am Post subject: |
|
|
Purtroppo anche questo non posso farlo perchè io accedo sempre da un indirzzo ip diverso.
Ma non posso spedirli un file, con la porta chiusa, in modo che il pc lo riconosca e mi apra il servizio ssh? |
|
Back to top |
|
 |
Kernel78 Moderator

Joined: 24 Jun 2005 Posts: 3654
|
Posted: Thu Feb 08, 2007 9:52 am Post subject: |
|
|
Si potrebbe anche far si che normalmente il firewall del pc droppi le connessioni nuove e permetta quelle già stabilite.
In questo modo di default non sarà possibile collegarsi.
Si configura knock in modo che dopo X bussate sulla 22 rimuova la regola del firewall che droppa le nuove connessioni e dopo Y secondi la ripristini, in questo modo dopo la bussata ci si può collegare solo per pochi secondi, trascorsi i quali il firewall consentirà solo le connessioni stabilite e impedirà le nuove.
Resta da vedere quale sia la reale utilità e sicurezza di un simile accrocchio ma dovrebbe funzionare. _________________ Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con Code: | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
Back to top |
|
 |
Kernel78 Moderator

Joined: 24 Jun 2005 Posts: 3654
|
Posted: Thu Feb 08, 2007 9:54 am Post subject: |
|
|
specialk74 wrote: | Purtroppo anche questo non posso farlo perchè io accedo sempre da un indirzzo ip diverso.
Ma non posso spedirli un file, con la porta chiusa, in modo che il pc lo riconosca e mi apra il servizio ssh? |
Se non hai un qualche server che stia in ascolto aspettando il file è difficile riuscire a inviarglielo ...
A questo punto non ti conviene configurare ssh in modo che accetti solo connessioni con chiave, tutti i tentativi di brute force che sporcano i log diventerebbero inutili al 100% _________________ Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con Code: | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
Back to top |
|
 |
specialk74 n00b

Joined: 09 Oct 2006 Posts: 13
|
Posted: Thu Feb 08, 2007 10:05 am Post subject: |
|
|
Quote: | Si potrebbe anche far si che normalmente il firewall del pc droppi le connessioni nuove e permetta quelle già stabilite.
In questo modo di default non sarà possibile collegarsi.
Si configura knock in modo che dopo X bussate sulla 22 rimuova la regola del firewall che droppa le nuove connessioni e dopo Y secondi la ripristini, in questo modo dopo la bussata ci si può collegare solo per pochi secondi, trascorsi i quali il firewall consentirà solo le connessioni stabilite e impedirà le nuove.
Resta da vedere quale sia la reale utilità e sicurezza di un simile accrocchio ma dovrebbe funzionare. |
Mi sembra, x me, un gran passo avanti: se il servizio non è aperto non troverò più nessuno che cerca di entrare in modo bruto anche perchè un port scanning non vede più nulla. Ma come lo implemento?
Avevo tirato fuori l'idea del file perchè tempo fa avevo letto un'articolo di "hacking9" sul programma Doorman che permetteva di spedire un file md5 per l'autenticazione della "bussata". Comunque già questo suggerimento mi leva qualche rogna.
Quote: |
A questo punto non ti conviene configurare ssh in modo che accetti solo connessioni con chiave, tutti i tentativi di brute force che sporcano i log diventerebbero inutili al 100%
|
Scusa ma non capito che cosa mi vuoi dire. |
|
Back to top |
|
 |
Peach Advocate


Joined: 08 Mar 2003 Posts: 3686 Location: London, UK
|
Posted: Thu Feb 08, 2007 10:13 am Post subject: |
|
|
butto lì un'altra soluzione con solo l'uso di ssh.
configura ssh per non accettare autenticazioni tastiera, ma solo per chiave.
Robbins ha scritto una guida su ssh abbastanza interessante a riguardo proprio tra la documentazione ufficiale gentoo. _________________ Gentoo user since 2004.
"It's all fun and games, until someone loses an eye" - mom |
|
Back to top |
|
 |
Onip Advocate


Joined: 02 Sep 2004 Posts: 2912 Location: Parma (Italy)
|
Posted: Thu Feb 08, 2007 10:15 am Post subject: |
|
|
se cerchi sul forum ci sono svariate discussioni per accedere a ssh senza password ma con un certificato. Più sicuro di così...
EDIT: quello che dice Peach _________________ Linux Registered User n. 373835
Titus Lucretius Carus, De Rerum Natura - Tantum religio potuit suadere malorum |
|
Back to top |
|
 |
specialk74 n00b

Joined: 09 Oct 2006 Posts: 13
|
Posted: Thu Feb 08, 2007 10:16 am Post subject: |
|
|
Gli do un'occhiata.
Comunque grazie a tutti (per il momento).
x Kernel78: se hai un link dove poter scaricare un script ben venga.
 |
|
Back to top |
|
 |
specialk74 n00b

Joined: 09 Oct 2006 Posts: 13
|
|
Back to top |
|
 |
Kernel78 Moderator

Joined: 24 Jun 2005 Posts: 3654
|
Posted: Thu Feb 08, 2007 11:48 am Post subject: |
|
|
specialk74 wrote: | Gli do un'occhiata.
Comunque grazie a tutti (per il momento).
x Kernel78: se hai un link dove poter scaricare un script ben venga.
 |
Basta prendere il secondo esempio dal sito di knock e modificare leggermente la regola di iptables ...
Code: | [options]
logfile = /var/log/knockd.log
[opencloseSSH]
sequence = 22, 22 ,22
seq_timeout = 15
tcpflags = syn,ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --syn -m state --state NEW --dport 22 -j ACCEPT
cmd_timeout = 10
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --syn -m state --state NEW --dport 22 -j ACCEPT
|
Ti assicuri che di default iptables droppi tutti gli input e il gioco dovrebbe essere fatto ...
Potrei essermi dimenticato qualcosa quindi attento a non tagliarti fuori quando fai le prove  _________________ Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con Code: | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
Back to top |
|
 |
GiRa l33t

Joined: 07 Apr 2005 Posts: 717
|
Posted: Thu Feb 08, 2007 2:16 pm Post subject: |
|
|
Mi sembra una soluzione un po' puerile, basta che uno provi tre volte e poi ha ssh aperto no?
Ci sono un miliardo di script che lo fanno.
Io userei l'autenticazione solo tramite chiave. |
|
Back to top |
|
 |
Kernel78 Moderator

Joined: 24 Jun 2005 Posts: 3654
|
Posted: Thu Feb 08, 2007 2:50 pm Post subject: |
|
|
GiRa wrote: | Mi sembra una soluzione un po' puerile, basta che uno provi tre volte e poi ha ssh aperto no?
Ci sono un miliardo di script che lo fanno.
|
No, gli script in circolazione iniziano a sparare utente/password solo verso le macchine su cui trovano ssh, se vedono la porta ssh chiusa non si mettono nemmeno a tentare, certo chi frequenta questo forum e vede questa mia proposta potrebbe decidere di creare uno script così furbo da tentare N volte di accedere anche a macchine sulle quali non sembra esserci ssh attivo ... certo la probabilità che un utente così indifferente alla sicurezza da usare username e password uguali si ingegni al punto da far risultare chiusa la porta ssh.
Queste considerazioni diventano però un po' troppo OT ...
Cmq sulla effettiva utilità di tale soluzione sono stato il primo a esprimere dei dubbi. _________________ Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con Code: | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
Back to top |
|
 |
GiRa l33t

Joined: 07 Apr 2005 Posts: 717
|
Posted: Fri Feb 09, 2007 7:51 am Post subject: |
|
|
Kernel78 wrote: | Cmq sulla effettiva utilità di tale soluzione sono stato il primo a esprimere dei dubbi. |
Infatti il mio commento non era destinato a te ma a specialk74. |
|
Back to top |
|
 |
cloc3 Advocate


Joined: 13 Jan 2004 Posts: 4815 Location: http://www.gentoo-users.org/user/cloc3/
|
Posted: Fri Feb 09, 2007 9:46 am Post subject: Re: Port knocking! |
|
|
Kernel78 wrote: |
Premetto che ci sono di sicuro altre discussioni a riguardo.
|
questa, per esempio, mi sembra una cosa divertente. _________________ vu vu vu
gentù
mi piaci tu |
|
Back to top |
|
 |
Kernel78 Moderator

Joined: 24 Jun 2005 Posts: 3654
|
Posted: Fri Feb 09, 2007 9:50 am Post subject: Re: Port knocking! |
|
|
cloc3 wrote: | Kernel78 wrote: |
Premetto che ci sono di sicuro altre discussioni a riguardo.
|
questa, per esempio, mi sembra una cosa divertente. |
Mi sembra di aver partecipato anche ad altre discussioni su knock ma non ho voglia di mettermi a cercarle (equo rapporto tra pigrizia e troppo lavoro).
P.S. non capisco cosa ci trovi di divertente  _________________ Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con Code: | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
Back to top |
|
 |
federico Advocate


Joined: 18 Feb 2003 Posts: 3272 Location: Italy, Milano
|
|
Back to top |
|
 |
Frez Apprentice


Joined: 29 Aug 2003 Posts: 166
|
Posted: Fri Feb 09, 2007 3:30 pm Post subject: |
|
|
Questo thread potrebbe essere interessante. Si parlava di accessi tramite ssh e ci fu un simpatico scambio di insulti & sprangate ( ) tra i sostenitori dell'accesso con password e quelli che invece spostano sshd su porte a 5 cifre.
In particolare venne fuori l'idea di utilizzare denyhost per bloccare l'accesso agli indirizzi IP dai quali siano pervenute troppe richieste di accesso che non siano andate a buon fine.
Personalmente non l'ho mai provato, ma in teoria questo renderebbe abbastanza sicuro anche l'utilizzo su porta 22 con accesso tramite password (e giù sputi & insulti ) _________________ There is one more thing ... it's been emotional |
|
Back to top |
|
 |
funkoolow Guru


Joined: 21 Sep 2004 Posts: 545 Location: er paese delle anguille
|
|
Back to top |
|
 |
|