The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обзор инструментов 'Port knocking'"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обзор инструментов 'Port knocking'"  +/
Сообщение от opennews (??) on 30-Янв-13, 20:11 
Опубликована серия статей (http://blogerator.ru/page/pozadi-zakrytyh-dverej-port-knocki...) о возможностях и доступном  ПО для реализации  техники port knoсking (http://en.wikipedia.org/wiki/Port_knocking), позволяющей инициировать на межсетевом экране временное открытие заданного сетевого порта, только после предварительного обращения к определённой последовательности портов (например, доступ к порту SSH может быть открыт для текущего хоста после попытки соединения к 1563, 1418 и 1275 портам).

В статьях рассмотрены:


-  Часть 1 (http://blogerator.ru/page/pozadi-zakrytyh-dverej-port-knocki...) - общие концепции "Port knocking" и пакет knockd (http://www.zeroflux.org/projects/knock) (traditional port knocking, TPK);

-  Часть 2 (http://blogerator.ru/page/pozadi-dverej-port-knosking-skryty...) - Cerberus (http://silverstr.ufies.org/blog/archives/000625.html) (авторизация с одноразовым паролем (OTP)), Sig^2 (http://www.security.org.sg/code/portknock1.html) (двунаправленная система port knocking'a), Fwknop (http://www.cipherdyne.org/fwknop/docs/SPA.html) (Single Packet Authorization, SPA);
-  Часть 3 (http://blogerator.ru/page/pozadi-dverej-port-knocking-securi...) - Tariq (http://code.google.com/p/tariq/) (гибридный port-knocking, HPK).

URL: http://blogerator.ru/page/pozadi-zakrytyh-dverej-port-knocki...
Новость: http://www.opennet.ru/opennews/art.shtml?num=35968

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обзор инструментов Port knocking"  +/
Сообщение от Аноним (??) on 30-Янв-13, 20:11 
А не лучше ли сделать доступ к SSH только из I2P?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обзор инструментов Port knocking"  +/
Сообщение от Аноним (??) on 30-Янв-13, 20:18 
Зачем? И, самое главное, как?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Обзор инструментов Port knocking"  +/
Сообщение от Аноним (??) on 30-Янв-13, 21:36 
>Зачем?

Чтобы посторонние не могли подключиться. Или даже не узнали о существовании.

>как?

Точно так же, как и eepsite, невидимый из интернета, только порт другой.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Обзор инструментов Port knocking"  +/
Сообщение от Stax (ok) on 30-Янв-13, 22:05 
Так подключаться как - всюду ставить i2p? А если мне с телефона нужно заходить, например?
Уж лучше (если есть возможность в тех местах, куда заходишь, что-то ставить) ставить vpn-клиент, или использовать имеющийся. Поднять дома какой-нибудь vpn и пускать в ssh только для подключившихся. Больше ничего из vpn делать не давать, разумеется. А при риске компрометации достаточно убрать очередной логин или ключ из vpn и начать использовать новый.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "Обзор инструментов Port knocking"  +/
Сообщение от Аноним (??) on 30-Янв-13, 22:13 
SSH это уже какбы TELNET внутри VPN. Достаточно хороший в плане безопасности. Тут идея не добавить слой шифрования, а спрятать. Причём, несколько более надёжно, нежели в новости.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

21. "Обзор инструментов Port knocking"  +/
Сообщение от Дум Дум on 31-Янв-13, 09:17 
Так i2p и knocking прячут немного разные вещи, нет?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

24. "Обзор инструментов Port knocking"  +/
Сообщение от анноним on 02-Фев-13, 19:40 
Если речь о надежности, то не вполне понятно, зачем вообще что-то прятать при наличии шифрования (в т.ч. адекватного пароля)? Или важно именно утаить наличие ssh, но зачем?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

25. "Обзор инструментов Port knocking"  +/
Сообщение от анноним on 02-Фев-13, 19:47 
Эх, уже сам прочитал на википедии. Да, может быть полезным в отдельных случаях..

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

12. "Обзор инструментов Port knocking"  +/
Сообщение от Аноним (??) on 30-Янв-13, 22:18 
А не лучше ли скрестить верблюда с муравьем?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Обзор инструментов Port knocking"  +1 +/
Сообщение от Аноним (??) on 30-Янв-13, 23:51 
> А не лучше ли сделать доступ к SSH только из I2P?

И потом наслаждаться эхом в 5 секунд, пока оно ползет через перегруженные узлы на тормозной яве...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "Обзор инструментов Port knocking"  +/
Сообщение от Xasd (ok) on 31-Янв-13, 03:05 
> И потом наслаждаться эхом в 5 секунд, пока оно ползет через перегруженные узлы на тормозной яве...

а разве в i2p -- происходит постоянно то запуск то снова отключение JVM?

я наблюдал что проблемы производительности Java (JVM) ведь в:

1. долго стартуется.

2. много жрёт памяти.

я спрашиваю потому что ещё не использовал ни разу i2p, но вроде бы не слышал чтобы Java медленно выполняла бы программный код.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

20. "Обзор инструментов Port knocking"  +/
Сообщение от Аноним (??) on 31-Янв-13, 08:10 
>> И потом наслаждаться эхом в 5 секунд, пока оно ползет через перегруженные узлы на тормозной яве...
> а разве в i2p -- происходит постоянно то запуск то снова отключение
> JVM?

нет, но при чем это тут?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

3. "Обзор инструментов Port knocking"  +/
Сообщение от Alexvk (ok) on 30-Янв-13, 21:31 
Хм, забавная идея, изящненько
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обзор инструментов Port knocking"  +3 +/
Сообщение от pavlinux (ok) on 30-Янв-13, 21:49 
Баян великий! Из серии: Cебе жизнь засрал, а пароль всё равно "123qwerty"
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

17. "Обзор инструментов Port knocking"  +/
Сообщение от Аноним (??) on 31-Янв-13, 03:11 
за ssh-пароли нужно расстреливать на месте
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

18. "Обзор инструментов Port knocking"  +5 +/
Сообщение от Батяня Комбат on 31-Янв-13, 05:08 
Салага дочитал до главы про авторизацию по ключам? :-) Похвально.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "Обзор инструментов Port knocking"  +/
Сообщение от pavlinux (ok) on 31-Янв-13, 16:29 
> за ssh-пароли нужно расстреливать на месте

А давай я продолжу и ты сам повесишься! :)

Четвертовать, делать лоботомию, ректальное шунтирование, 10000-вольтную мезотерапию,... за:

- одинаковый SSH ключ ко всем 50 серверам;
- одинаковый логин на 50 серверах;
- генерацию SSH ключа с использованием не сертифицированного ГСЧ;
- хранение SSH ключей в не зашифрованном виде;  
- хранение SSH ключей на не шифрованной файловой системе;
- использование одного и того же компьютера для доступа в интернет и хранения ключей;
- использование проводов периферийных устройств с повышенным ЭМИ.
- расположение монитора в менее, чем 90° к плоскости окна.
- расположение рабочего места в прямой видимости к траектории спутников!
- работа с ключами в помещении не оборудованном ГБШ
- работа с ключами в помещении имеющими толщину стен менее 50 см.
- работа в помещении без акта проверки на отсутствие передающих устройств.
....

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Обзор инструментов Port knocking"  +/
Сообщение от Аноним (??) on 31-Янв-13, 07:21 
Гммм. Для защиты от replay-атаки тут предлагается использовать одинаковые секретные списки knock-последовательностей на сервере и клиенте. Значит, эти секретные списки заранее нужно создавать, копировать надёжным способом с сервера на клиент (или наоборот) и пополнять. Если речь идёт о такой хлопотной процедуре, может тогда не стесняться и сразу реализовать для обмена данными шифрование с бесконечным ключом?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Обзор инструментов Port knocking"  –1 +/
Сообщение от Аноним (??) on 30-Янв-13, 21:57 
вот спасибо авторам, за то что вкусно пишут нам!

а для тех кто не читал - штатный ssh (клиент) умеет port knocking? ну чтоб telnet/nc не заморачиваться. Али может тулзы какие специальные?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Обзор инструментов Port knocking"  +1 +/
Сообщение от Alexvk (ok) on 30-Янв-13, 22:00 
> а для тех кто не читал - штатный ssh (клиент) умеет port
> knocking? ну чтоб telnet/nc не заморачиваться. Али может тулзы какие специальные?

специальная тулза:
$nmap -sS -T Polite -p<port1>,<port2>,<portN>... <target>

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Обзор инструментов Port knocking"  +/
Сообщение от Аноним (??) on 30-Янв-13, 22:02 
ясно, в общем без алиасов не обойтись. спасибо, мил человек, уважил дедушку-анонимуса
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

14. "Обзор инструментов Port knocking"  +/
Сообщение от Аноним (??) on 30-Янв-13, 23:52 
> специальная тулза:

Неткат/телнет/вгет/... :)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Обзор инструментов Port knocking"  +1 +/
Сообщение от pavlinux (ok) on 30-Янв-13, 22:10 
> вот спасибо авторам, за то что вкусно пишут нам!
> а для тех кто не читал - штатный ssh (клиент) умеет port
> knocking? ну чтоб telnet/nc не заморачиваться. Али может тулзы какие специальные?

http://roland.entierement.nu/blog/2008/08/19/netfilter-based...

---

Где-то тут на форуме я скриптик писал, который раз в час генерит новые порты для простука
отсылает почту с уведомлением о доставке и только тогда меняет порты. :)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "Обзор инструментов Port knocking"  +/
Сообщение от Аноним (??) on 30-Янв-13, 23:54 
> http://roland.entierement.nu/blog/2008/08/19/netfilter-based...

Годно. Кому не лень - добавьте в новость.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

23. "Обзор инструментов Port knocking"  +/
Сообщение от Andrey Mitrofanov on 31-Янв-13, 19:34 
>> вот спасибо авторам, за то что вкусно пишут нам!
>> а для тех кто не читал - штатный ssh (клиент) умеет port
>> knocking? ну чтоб telnet/nc не заморачиваться.

ProxyCommand в ~/.ssh/config + netcat и, таки да, как бы скрипт.

>> Али может тулзы какие специальные?

Конечно! Ищите knocking в ближайшем к Вам app-store.

> http://roland.entierement.nu/blog/2008/08/19/netfilter-based...

Я себе ноком повесил один пинг _размером NMYZ байт. Одна строчка с -m recent. Всё лучше, чем перевешивание sshd на другой порт. Вписал ping в ~/.ssh/config. Да, netcat нужен, но без скриптов обошёлся.

> ---
> Где-то тут на форуме я скриптик писал, который раз в час генерит

http://www.google.com/search?q=iptables+knock+site:opennet.ru
и там же //knock скрипт pavlinux

> отсылает почту с уведомлением о доставке и только тогда меняет порты. :)

И ждёт, и читает это уведомление?B-O

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

26. "Обзор инструментов Port knocking"  +/
Сообщение от pavlinux (ok) on 02-Фев-13, 22:18 
> И ждёт, и читает это уведомление?B-O

Да уже выкинул давно всё это, от скан-ботов - смены порта хватает,
от бутфорса - генератор паролей и 5 соединений в сек., больше - бан на три минуты.
и к тому же есть PAM с белым списком.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру