The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

30.01.2013 18:45  Обзор инструментов "Port knocking"

Опубликована серия статей о возможностях и доступном ПО для реализации техники port knoсking, позволяющей инициировать на межсетевом экране временное открытие заданного сетевого порта, только после предварительного обращения к определённой последовательности портов (например, доступ к порту SSH может быть открыт для текущего хоста после попытки соединения к 1563, 1418 и 1275 портам).

В статьях рассмотрены:

  • Часть 1 - общие концепции "Port knocking" и пакет knockd (traditional port knocking, TPK);
  • Часть 2 - Cerberus (авторизация с одноразовым паролем (OTP)), Sig^2 (двунаправленная система port knocking'a), Fwknop (Single Packet Authorization, SPA);
  • Часть 3 - Tariq (гибридный port-knocking, HPK).


  1. Главная ссылка к новости (http://blogerator.ru/page/poza...)
  2. OpenNews: Реализация идеи "port knocking" на bash для Linux iptables
  3. OpenNews: Интересное ПО: knockd - простой "port-knock" сервер
Автор новости: Igor Savchuk
Тип: яз. русский / Практикум
Ключевые слова: portknocking, port, knocking, ssh, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 20:11, 30/01/2013 [ответить] [смотреть все]
  • +/
    А не лучше ли сделать доступ к SSH только из I2P?
     
     
  • 2.2, Аноним, 20:18, 30/01/2013 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Зачем? И, самое главное, как?
     
     
  • 3.4, Аноним, 21:36, 30/01/2013 [^] [ответить] [смотреть все]
  • +/
    Чтобы посторонние не могли подключиться Или даже не узнали о существовании Точ... весь текст скрыт [показать]
     
     
  • 4.9, Stax, 22:05, 30/01/2013 [^] [ответить] [смотреть все]  
  • +/
    Так подключаться как - всюду ставить i2p А если мне с телефона нужно заходить, ... весь текст скрыт [показать]
     
     
  • 5.11, Аноним, 22:13, 30/01/2013 [^] [ответить] [смотреть все]  
  • +/
    SSH это уже какбы TELNET внутри VPN Достаточно хороший в плане безопасности Ту... весь текст скрыт [показать]
     
     
  • 6.21, Дум Дум, 09:17, 31/01/2013 [^] [ответить] [смотреть все]  
  • +/
    Так i2p и knocking прячут немного разные вещи, нет?
     
  • 6.24, анноним, 19:40, 02/02/2013 [^] [ответить] [смотреть все]  
  • +/
    Если речь о надежности, то не вполне понятно, зачем вообще что-то прятать при на... весь текст скрыт [показать]
     
     
  • 7.25, анноним, 19:47, 02/02/2013 [^] [ответить] [смотреть все]  
  • +/
    Эх, уже сам прочитал на википедии Да, может быть полезным в отдельных случаях ... весь текст скрыт [показать]
     
  • 2.12, Аноним, 22:18, 30/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А не лучше ли скрестить верблюда с муравьем?
     
  • 2.13, Аноним, 23:51, 30/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    И потом наслаждаться эхом в 5 секунд, пока оно ползет через перегруженные узлы н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, Xasd, 03:05, 31/01/2013 [^] [ответить] [смотреть все]  
  • +/
    а разве в i2p -- происходит постоянно то запуск то снова отключение JVM я наблю... весь текст скрыт [показать]
     
     
  • 4.20, Аноним, 08:10, 31/01/2013 [^] [ответить] [смотреть все]  
  • +/
    нет, но при чем это тут ... весь текст скрыт [показать]
     
  • 1.3, Alexvk, 21:31, 30/01/2013 [ответить] [смотреть все]  
  • +/
    Хм, забавная идея, изящненько
     
     
  • 2.5, pavlinux, 21:49, 30/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Баян великий! Из серии: Cебе жизнь засрал, а пароль всё равно "123qwerty"
     
     
  • 3.17, Аноним, 03:11, 31/01/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    за ssh-пароли нужно расстреливать на месте
     
     
  • 4.18, Батяня Комбат, 05:08, 31/01/2013 [^] [ответить] [смотреть все]  
  • +4 +/
    Салага дочитал до главы про авторизацию по ключам? :-) Похвально.
     
  • 4.22, pavlinux, 16:29, 31/01/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    > за ssh-пароли нужно расстреливать на месте

    А давай я продолжу и ты сам повесишься! :)

    Четвертовать, делать лоботомию, ректальное шунтирование, 10000-вольтную мезотерапию,... за:

    - одинаковый SSH ключ ко всем 50 серверам;
    - одинаковый логин на 50 серверах;
    - генерацию SSH ключа с использованием не сертифицированного ГСЧ;
    - хранение SSH ключей в не зашифрованном виде;  
    - хранение SSH ключей на не шифрованной файловой системе;
    - использование одного и того же компьютера для доступа в интернет и хранения ключей;
    - использование проводов периферийных устройств с повышенным ЭМИ.
    - расположение монитора в менее, чем 90° к плоскости окна.
    - расположение рабочего места в прямой видимости к траектории спутников!
    - работа с ключами в помещении не оборудованном ГБШ
    - работа с ключами в помещении имеющими толщину стен менее 50 см.
    - работа в помещении без акта проверки на отсутствие передающих устройств.
    ....

     
  • 2.19, Аноним, 07:21, 31/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Гммм Для защиты от replay-атаки тут предлагается использовать одинаковые секрет... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, Аноним, 21:57, 30/01/2013 [ответить] [смотреть все]  
  • –1 +/
    вот спасибо авторам, за то что вкусно пишут нам а для тех кто не читал - штатны... весь текст скрыт [показать]
     
     
  • 2.7, Alexvk, 22:00, 30/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    > а для тех кто не читал - штатный ssh (клиент) умеет port
    > knocking? ну чтоб telnet/nc не заморачиваться. Али может тулзы какие специальные?

    специальная тулза:
    $nmap -sS -T Polite -p<port1>,<port2>,<portN>... <target>

     
     
  • 3.8, Аноним, 22:02, 30/01/2013 [^] [ответить] [смотреть все]  
  • +/
    ясно, в общем без алиасов не обойтись спасибо, мил человек, уважил дедушку-анон... весь текст скрыт [показать]
     
  • 3.14, Аноним, 23:52, 30/01/2013 [^] [ответить] [смотреть все]  
  • +/
    > специальная тулза:

    Неткат/телнет/вгет/... :)

     
  • 2.10, pavlinux, 22:10, 30/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    > вот спасибо авторам, за то что вкусно пишут нам!
    > а для тех кто не читал - штатный ssh (клиент) умеет port
    > knocking? ну чтоб telnet/nc не заморачиваться. Али может тулзы какие специальные?

    http://roland.entierement.nu/blog/2008/08/19/netfilter-based-port-knocking.ht

    ---

    Где-то тут на форуме я скриптик писал, который раз в час генерит новые порты для простука
    отсылает почту с уведомлением о доставке и только тогда меняет порты. :)

     
     
  • 3.15, Аноним, 23:54, 30/01/2013 [^] [ответить] [смотреть все]  
  • +/
    Годно Кому не лень - добавьте в новость ... весь текст скрыт [показать]
     
  • 3.23, Andrey Mitrofanov, 19:34, 31/01/2013 [^] [ответить] [смотреть все]  
  • +/
    >> вот спасибо авторам, за то что вкусно пишут нам!
    >> а для тех кто не читал - штатный ssh (клиент) умеет port
    >> knocking? ну чтоб telnet/nc не заморачиваться.

    ProxyCommand в ~/.ssh/config + netcat и, таки да, как бы скрипт.

    >> Али может тулзы какие специальные?

    Конечно! Ищите knocking в ближайшем к Вам app-store.

    > http://roland.entierement.nu/blog/2008/08/19/netfilter-based-port-knocking.ht

    Я себе ноком повесил один пинг _размером NMYZ байт. Одна строчка с -m recent. Всё лучше, чем перевешивание sshd на другой порт. Вписал ping в ~/.ssh/config. Да, netcat нужен, но без скриптов обошёлся.

    > ---
    > Где-то тут на форуме я скриптик писал, который раз в час генерит

    http://www.google.com/search?q=iptables+knock+site:opennet.ru
    и там же //knock скрипт pavlinux

    > отсылает почту с уведомлением о доставке и только тогда меняет порты. :)

    И ждёт, и читает это уведомление?B-O

     
     
  • 4.26, pavlinux, 22:18, 02/02/2013 [^] [ответить] [смотреть все]  
  • +/
    > И ждёт, и читает это уведомление?B-O

    Да уже выкинул давно всё это, от скан-ботов - смены порта хватает,
    от бутфорса - генератор паролей и 5 соединений в сек., больше - бан на три минуты.
    и к тому же есть PAM с белым списком.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor