welinux.ru/How-to`s — Port Knocking на примере защиты ssh от брутфорса.

derfenix 07.01.11 02:37 # +0–

--dport 1500 -m recent --name SSH --set -j DROP
--dport 1499 -m recent --name SSH --remove -j DROP

Теперь, чтобы получить доступ к серверу по ssh, нужно постучать на порт 1500
Соответственно, чтобы закрыть порт, нужно постучать на порт 1499.

А не наоборот?.. Может я чего путаю, но --set -j DROP как раз заблокирует доступ..

: T1mbo 07.01.11 12:20 # ↑ +1–

Возможно синтаксис немного запутанный, но при таком порядке все работает правильно.

cooler 07.01.11 12:31 # ↑ +3–

Ключевой момент как-раз в

--name SSH --set -j DROP
--name SSH --remove -j DROP

А дропы стоят для того, чтоб при сканировании не отдетектились.

: derfenix 07.01.11 20:32 # ↑ +0–

как всё запутанно... =)

cepxuo 07.01.11 10:07 # +0–

А как сделать последовательность портов? В смысле, чтоб SSH открывался, если я постучу на определённые порты, в определённом порядке? А то в приведённом примере нужный порт можно открыть простым сканированием (перебором) портов... :(

derfenix 07.01.11 10:49 # ↑ +3–

ну так а кто мешает? сначала разблокировать не ssh, а например порт 1777, потом постучался на него - разблокировал 2555 и уж постучался на него - разблокировал ssh.

: cepxuo 07.01.11 11:58 # ↑ +0–

Спасибо! что-то я не допёр сразу :)

Sokoloff 08.01.11 01:49 # ↑ +1–

Вот

: cepxuo 08.01.11 16:37 # ↑ +1–

спасибо! то что надо!

: bkmz 07.01.11 17:27 # +0–

Можно узнать, как сделать подобное для http протокола? фишка будет полезная, а времени сейчас разгребаться нет. Может кто поможет?))

Zend 07.01.11 19:14 # +1–

Заменить 22-ой порт на 80-ый?

derfenix 07.01.11 20:32 # ↑ +1–

спасёт только от совершенно тупых скриптов или недохацкеров.

: kstep 08.01.11 22:07 # ↑ +0–

Я так понимаю это был ответ на верхний комментарий, а не на пост, и в этом контексте это правильно.

—

07.01.11 00:36 T1mbo

How-to`s — Port Knocking на примере защиты ssh от брутфорса.

Доброй ночи! В данном посте я расскажу как просто защитить ssh сервер от брутфорса. Данный пост использует правило для iptables с использованием механизма port knocking.

Технология port knocking позволяет выполнять любые действия на сервере, даже если все порты на нем закрыты. В общем случае, Вам достаточно соедениться с определенными портами, в определенной последовательности, которую знаете только Вы и на сервере выполнятся определенные действия, в последствии которых, нужный порт откроется.

Приступим к практике:

В данном примере я использую дистрибутив Debian и ip 192.168.11.1.

Создадим скрипт с правилом и дадим права на запуск:

1
2
3 t1mbo:~# touch /etc/portknock.sh && chmod 775 /etc/portknock.sh

Теперь задействуем наше правило в файле portknock.sh:

1
2
3 t1mbo:~# nano /etc/portknock.sh

Правило:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17 # Создаем цепочку правил sshprotect iptables -N sshprotect # Если адрес в списке, то подключение разрешено iptables -A sshprotect -m state --state NEW -m recent --rcheck --name SSH -j ACCEPT # Разрешить пакеты для уже установленных соединений iptables -A sshprotect -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A sshprotect -j DROP # Заносит адрес в список iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP # Удаляет адрес из списка iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP # Применение для трафика ssh цепочку sshprotect iptables -A INPUT -p tcp --dport 22 -j sshprotect

Запустим скрипт с правилом:

1
2
3 t1mbo:~# cd /etc/ && ./portknock.sh

Что бы добавить правило в автозагрузку, можно поместить скрипт, например в rc.local.

Теперь, чтобы получить доступ к серверу по ssh, нужно постучать на порт 1500, сделать это можно как и по telnet так и простым http запросом. Например:

Telnet:

1
2
3 telnet 192.168.11.1 1500

HTTP:

1
2
3 http://192.168.11.1:1500

Соответственно, чтобы закрыть порт, нужно постучать на порт 1499.

Вот таким способом можно избавиться от толпы желающих получить доступ к вашему серверу.

Похожие +16–

flashvoid — « Есть вопрос! / ядерная память под buffer = 0 (РЕШЕНО)» Anrock — « Системное администрирование / Hello world!» ozalexo — « Системное администрирование / Hello world!» hate — « Есть вопрос! / Есть роутер D-link dir615 с DD-WRT необходимо перехватить пакеты WiFi клиентов» dr_lo — « Системное администрирование / Hello world!» ( 1 ) ite — « Системное администрирование / Hello world!» ozalexo — « Системное администрирование / Hello world!» Системное администрирование — «Hello world!» ( 1 ) Anrock — « Есть вопрос! / Есть роутер D-link dir615 с DD-WRT необходимо перехватить пакеты WiFi клиентов» Anrock — « Есть вопрос! / Есть роутер D-link dir615 с DD-WRT необходимо перехватить пакеты WiFi клиентов» hate — « Есть вопрос! / Есть роутер D-link dir615 с DD-WRT необходимо перехватить пакеты WiFi клиентов» ( 2 ) XakFak — « Есть вопрос! / Есть роутер D-link dir615 с DD-WRT необходимо перехватить пакеты WiFi клиентов» dr_lo — « Есть вопрос! / Есть роутер D-link dir615 с DD-WRT необходимо перехватить пакеты WiFi клиентов» ( 3 ) dr_lo — « Есть вопрос! / Есть роутер D-link dir615 с DD-WRT необходимо перехватить пакеты WiFi клиентов» ( 2 ) vkotovv — « Talks! / Раздумия по поводу преемника Ubuntu как одного из лучших desktop дистрибутивов» vkotovv — « Talks! / Раздумия по поводу преемника Ubuntu как одного из лучших desktop дистрибутивов»
Последние посты
Последние комментарии
Изменения
Черновики (все)
Избранное (всё)

Лучшие блоги (все 151) Tips & tricks (35) Есть вопрос! (26) How-to`s (26) Archlinux (26) Vim (23) KDE (18) Мой рабочий стол. (18) Linux Games (17) Я рекомендую. (17) Скрипты (17)
Элита (все 3043 из 225 городов) muhas (258.3) Shtsh (170.7) ZogG (147.25) cppmm (142.7) Aesdana (132.1) h0rr0rr_drag0n (124.85) digiwhite (123.3) Minoru (99.15) dr_magnus (93.3) LeniH (92.85)

В сети: WiseLord, nvbn, shidoh

Новенькие: allef, Seryak, panic1329, panic, kuzmoha