PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : portknocking - öffnen nach definierter sequenz auf ein und dem selben port



meinereinerseiner
20.07.09, 20:42
hi,

mal ne frage....
Beim Portknocking ist es doch so, das meist innerhalb einer bestimmten Zeit, in einer bestimmten Reihenfolge verschiedene Ports angefragt werden müssen, damit der eigentliche Zielport geöffnet wird.

...jetzt würde ich gerne an nur einen port eine anfrage stellen wollen, in der art
anfrage - 2 sec. pause - anfrage 3 sec. pause - anfrage 1 sec pause anfrage und fertig, oder änlich.

hintergrund ist, das ich nicht unbedingt so nen haufen ports auf der firewall in der firma freischalten will.

thx,
tom

derRichard
20.07.09, 22:25
hi!

schon mal was davon gehört, dass im internet pakete verzögert werden können? :rolleyes:

//richard

meinereinerseiner
20.07.09, 22:29
hi!

schon mal was davon gehört, dass im internet pakete verzögert werden können? :rolleyes:

//richard

ja sicher, kann man ja mit entsprechender toleranz versehen und wenns beim ersten mal nicht klappt, versucht man es eben nochmal.


tom

derRichard
20.07.09, 22:33
hi!

dann musst aber eine toleranz von ein paar sekunden machen.
damit es halbwegs sicher ist muss die sequenz recht lang sein.
also ich will nicht eine halbe minute warten bis zum login...

//richard

rudelgurke
21.07.09, 08:56
Warum kein VPN ? Einmal gesnifft bringt die beste Portknocking Sequenz nicht mehr viel. Da hält sich auch die Firewall Konfiguration in Grenzen und Sicherheit ist trotzdem gegeben.

meinereinerseiner
21.07.09, 11:02
openvpn nutze ich wo es nur geht - nur geht das nicht von überall.
ich wollt halt auf der 80 klopfen und über die 443 rein, die sind eigentlich immer offen und selten über einen restriktiven proxy gefiltert.

tom

marce
21.07.09, 11:55
welcher Service soll denn dann laufen? Evtl. gibt's von dessen Seite aus Möglichkeiten...

Pingu
21.07.09, 12:06
openvpn nutze ich wo es nur geht - nur geht das nicht von überall.
Wieso nicht?

Also ich haben meinen OpenVPN auf 443 über UDP und TCP erreichbar. Damit kommt man eigentlich überall dran, wo man auch mit einem normen Web-Browser ran kommt. Bei 443 mit TCP sieht das ganz für einen Proxy/Firewall wie eine ganz normale HTTP-SSL-Session aus.

meinereinerseiner
21.07.09, 14:34
Wieso nicht?

Also ich haben meinen OpenVPN auf 443 über UDP und TCP erreichbar. Damit kommt man eigentlich überall dran, wo man auch mit einem normen Web-Browser ran kommt. Bei 443 mit TCP sieht das ganz für einen Proxy/Firewall wie eine ganz normale HTTP-SSL-Session aus.

naja, den openvpn da laufen zu lassen ist schon nicht dumm, aber wenn ich mal an ner kiste sitze, welche nicht mir ist, brauche ich erstmal meine config, die keys und muss erstmal installieren. und das ganze am ende wieder sicher deinstallieren und löschen.

tom

nubix
21.07.09, 23:36
Wieso muss es denn Portknocking sein?
Wäre es nicht besser einen Rawsocket auf einen Port zu binden und alle Pakete die dadrauf gehen zu untersuchen OHNE eine Tcpverbindung aufzubauen?

Also sendest du z.B. ein TCP-Paket mit nur einer Zahl (Portnummer) an den Port und darauf hin öffnet sich der Port.

Dadurch das es ein Rawsocket ist, ist auch nicht festzustellen das dort jemand lauscht.

Wäre das nicht sinnvoller?

derRichard
22.07.09, 00:20
Wieso muss es denn Portknocking sein?
Wäre es nicht besser einen Rawsocket auf einen Port zu binden und alle Pakete die dadrauf gehen zu untersuchen OHNE eine Tcpverbindung aufzubauen?

Also sendest du z.B. ein TCP-Paket mit nur einer Zahl (Portnummer) an den Port und darauf hin öffnet sich der Port.

Dadurch das es ein Rawsocket ist, ist auch nicht festzustellen das dort jemand lauscht.

Wäre das nicht sinnvoller?

hi!

bei portknocking macht man keine tcp-verbindungen auf.
als alternative könnte man auch shimmer verwenden:
http://shimmer.sourceforge.net/

hth,
//richard