https://opennet.ru/openforum/vsluhforumID3/39662.html В проекте shimmer (http://shimmer.sourceforge.net/) реализован интересный способ повышения безопасности служебных сетевых сервисов, таких как SSH или telnet. Суть метода в том, что система начинает принимать соединения для заданного сервиса не по одному порту, а по группе сетевых портов, причём номер рабочего порта меняется каждую минуту и определяется в соответствии с определённым колючем, известным только уполномоченным на использование сервиса лицам. Остальные порты выступают в в роли "honeypot" пустышек, постоянно выдающих ошибку аутентификации.<br><br><br><br><br>URL: http://it.slashdot.org/article.pl?sid=08/01/08/1417214<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=13576<br> https://opennet.ru/openforum/vsluhforumID3/39662.html#32 Sat, 18 Oct 2008 14:29:20 GMT &gt;&gt;это всё бред. самая крутая защита это чтобы фаервол открывал соединения на 22порт<br>&gt;&gt;тока для тех кто стукнется предварительно на какой-то свой секретный порт.<br>&gt;метод называется portknocking. <br><br>И по "крутости" его уже тоже апгрейдили, см. SPA (Single Packet Authorization).<br> https://opennet.ru/openforum/vsluhforumID3/39662.html#31 Mon, 19 May 2008 06:37:40 GMT Я уже долгое время пытаюсь настроить FlyLinkDC++, но у меня ничего не выходит...<br>Я не знаю свой номер порта. Пожалуйста скажите мне как я могу его узнать. <br> https://opennet.ru/openforum/vsluhforumID3/39662.html#30 Fri, 11 Jan 2008 12:58:44 GMT а vpn реализовать через ssh-туннель %)<br>а вообще - забавный ход но бесполезный<br> https://opennet.ru/openforum/vsluhforumID3/39662.html#29 Thu, 10 Jan 2008 18:48:26 GMT эта система - потенциальный DoS.<br> https://opennet.ru/openforum/vsluhforumID3/39662.html#28 Thu, 10 Jan 2008 18:43:33 GMT &gt;это всё бред. самая крутая защита это чтобы фаервол открывал соединения на 22порт тока для тех кто стукнется предварительно на какой-то свой секретный порт. Вот это я понимаю защита. На iptables делается легко state-правилами.<br><br>метод называется portknocking.<br> https://opennet.ru/openforum/vsluhforumID3/39662.html#27 Thu, 10 Jan 2008 14:32:19 GMT Не дочитали друзья мои, есть shimmerd который вешается на сервер, а есть shimmer клиент который запускается с клиентской машины:<br> ssh user@remote.host -p `./shimmer --open ssh:10000:10999 --secret password`<br>Так что никаких алгоритмов в голове держать не надо и угадывать порт, достаточно знать диапазон портов и пароль... так что вполне хороiая система безопасности с использованием AES.<br> Остальные могут держать алгоритм в голове :)<br> https://opennet.ru/openforum/vsluhforumID3/39662.html#26 Thu, 10 Jan 2008 12:33:58 GMT Лично я не понял, как клиент сможет узнать, на какой порт ему коннектиться в данный момент. IMHO, гораздо проще сделать VPN-вход, и только после установленного VPN-соединения пускать по SSh и др.протоколам.<br><br>А ещё хотелось бы иметь имитацию SSh, которая при попытке подбора как бы пускала юзера, но в "песочницу", когда на каждую введённую команду в ответ рандомно выдаётся одно из заранее заготовленных сообщений (можно анекдот).<br> https://opennet.ru/openforum/vsluhforumID3/39662.html#25 Thu, 10 Jan 2008 03:10:36 GMT это всё бред. самая крутая защита это чтобы фаервол открывал соединения на 22порт тока для тех кто стукнется предварительно на какой-то свой секретный порт. Вот это я понимаю защита. На iptables делается легко state-правилами.<br><br>PS метод придумал не я.<br> https://opennet.ru/openforum/vsluhforumID3/39662.html#24 Thu, 10 Jan 2008 01:52:21 GMT не отзалупы надо давать, а на фаырволе tcp-reset <br><br>