portknocking

Houmles h na n.cz
Středa Srpen 4 14:36:43 CEST 2004


helou,
na portknocking jsem si napsal vlastni perlovy script, je to pomerne
jednoduche. bohuzel  stejne jako origosh implementace analyzuji logy z
firewallu. zdrojaky radeji k dispozici davat nebudu, jeste by mi nekdo muj
stroj haknul :-)
nicmene "uzavirani" mam vyreseno jednoduchou metodou: po prijeti ssh SYN
paketu z "klepajici" adresy pravidlo pro povolene SYN pakety z teto IP
opet shodim - tedy jedna klepaci sekvence = jedno spojeni.
jedine co delalo trochu problemy bylo ze mi syslog-ng vzdy v 6 rano
(logrotate etc) "shodil" klogd (respektive NESHODIL, ale pouze nelogoval
pres syslog-ng, alebrz pouze do dmesg), takze to znamenalo jeste odladit
restart vsech zucastnenych sluzeb. ted to jiz funguje nekolik mesicu bez
problemu.
jak je jiz zmineno v dalsich prispevcich - idealni je mit vedle jeste
povolena dalsi "duveryhodna" ipcka natvrdo.
  sh.

On Wed, 4 Aug 2004, Petr Klima wrote:
> Mne se na tom nelibilo prohlaseni, ze je to experimantalni a vzdycky
> bude, takze pouzivam jinou implementaci - knockd. Link vam z hlavy
> nepovim, najdete to na portknocking.org v seznamu ostatnich
> implementaci. Knockd na to jde trosku jinak (pomoci libpcap posloucha
> primo na sitovce jeste pred firewallem) nez originalni implementace
> (analyzuje logy firewallu).
>
> >  Ale taky me ted napadlo, co se stane kdyz to fungovat prestane.
> >  To bych se totiz asi nikam nezalogoval :-)
>
> Zatim to mam v testovacim provozu, ale stav je ten, ze je ve firewallu
> povoleno SSH pro nekolik duveryhodnych IP adres, ostatni musi klepat na
> porty.
>
> >  Proto bych se chtel zeptat, zda toto nekdo pouziva.
> >  Jake s tim ma zkusenosti, jestli je to spolehlive a jestli to je tak
> >  prima jako to vypada.
>
> Zatim je to spolehlive (UDP pakety). Je potreba, aby uzivatele nebyli
> hovada a hezky za sebou zavirali dvirka na firewallu - tedy jine
> zaklepani, ktere povolenou IP zase "odpovoli". Taky se to da resit
> "cistenim" pravidel nekdy v cronu...
>
> >  A kdyz uz se to nahodou *, co pak?
>
> Pak smula, nebo nekolik stale povolenych duveryhodnych IP adres.

:wq
 Houmles, h na n.cz, sherlock na inway.cz

lsd fbi cia drugs mafia weapons guns pedophilia fuck - hi Echolon!


Další informace o konferenci Linux