port knocking

[Pavel Kankovsky]

On Thu, 26 Feb 2004, outmail wrote:

> dnes na lupe vysel clanek o port knockingu.

Koukam, ze zas nekdo objevil Ameriku. :)

Ja osobne se chystam (uz asi tak mesic <g>) ve vybranych pripadech nasadit
neco podobneho: nebudu schovavat otevreny port, ale u kazdeho TCP spojeni
bude nejdriv potreba podstoupit urcity autentizacni dialog. Motivace je
takova, ze je zadouci, aby to dobre fungovalo i skrz ruzne divne proxy
servery, ktere mne pusti tak maximalne na 80/tcp a 443/tcp (cili nejake
otukavani zavrenych portu moc neprichazi v uvahu (*)).

(*) Mimochodem si myslim, ze osahavani zavrenych portu, na kterych obvykle
nic neni, je natolik specificka a neobvykla aktivita, ze by v praxi bylo
pomerne jednoduche odlisit port-knockery od ostatnich.


On Thu, 26 Feb 2004, Vancl Miroslav (QRIS) wrote:

> Zajímavý nápad. Trochu bych se ale bál možnosti odposlechu otevíracích
> sekvencí (leda že by se použila technika OTP).

Samozrejme, ze je smysluplne pouzit nejaka jednorazova hesla (pripadne
challenge response). Na druhou stranu je treba si uvedomit, ze kdyz nekdo
aktivne sedi na drate, tak se muze vecpat mezi autentizacni dialog a
vlastni komunikaci.

> Proč ale radši nepoužít klasických tunelů (třeba ssh nebo IPSec) ? 

To na www.portknocking.org zrovna nevypada moc jednodusse, ale to, co
chci udelat ja, je zamysleno tak, aby to bylo implementacne podstatne
jednodussi nez nejaky tunel, tedy mene nachylne k tomu, ze tam bude neco
blbe (a navic, jak uz jsem psal, by to melo fungovat i pres ruzne otravne
proxy servery).


--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."