PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Port knocking



pibi
03.09.14, 21:17
Hallo zusammen

Hin und wieder ist es noetig, dass ich von fremden Rechnern auf meine Server zuhause zugreifen kann. Bisher waren diese Connections an einer Hand abzaehlbar, so dass ich diese als Ausnahmen fest in meine Firewall eingetragen habe. Nun kommen aber zusaetzlich andere (dynamische) IPs dazu, so dass ich eine andere Moeglichkeit brauche. Eine brauchbare Moeglichkeit dazu scheint mir "port knocking" zu sein.

Ich nutze die openSuSI 13.1 und habe dazu das Paket "knock" respektive "knockd" heruntergeladen und rudimentaer konfiguriert gemaess Doku. Auf dem Zielserver habe ich "knockd" gestartet.
[options]
UseSyslog
logfile = /var/log/knockd.log
interface = enp5s0

[openSSH]
sequence = 7000,8000,9000
seq_timeout = 60
command = /usr/sbin/iptables -A INPUT -s %IP% -j ACCEPTVon meinem zweiten Server versuche ich nun auf den ersten zu "knocken".

knock --verbose myname.darktech.org 7000 8000 9000
hitting tcp a.b.217.197:7000
hitting tcp a.b.217.197:8000
hitting tcp a.b.217.197:9000Ich sehe aber weder einen (geblockten) Connectversuch im Firewall-Log des Zielrechners noch eine Aenderung in dessen iptables-Rules. Logischerweise kann ich daher auch keine ssh-Verbindung aufbauen. Was habe ich uebersehen? Wo liegt mein Denkfehler?

Gruss Pit.

pibi
05.09.14, 09:48
Ist hier wirklich niemand, der PortKnocking einsetzt und mir auf die Spruenge helfen koennte?

Gruss Pit.

DrunkenFreak
05.09.14, 10:01
Portknocking halte ich für eine Methode, die eigentlich überflüssig ist. Im Idealfall ist sowieso alles blockiert in der Firewall, außer die Ports, die du wirklich brauchst. Sind also, im Fall von SSH mit Portknocking, nur noch 3 Ports wirklich offen. Diese durchzuprobieren ist kein Hexenwerk mehr. Du hälst also nur die üblichen Skriptkiddies damit fern. Das gleiche erreichst du auch durch ändern des Ports.

Ich hatte mal Portknocking kurze Zeit am Laufen (ist aber schon ewig her). Wenn ich mich recht erinnere, war die Einrichtung eine Sache von wenigen Minuten und es lief danach problemlos. Habe es dann aber wg. oben genannten Gründen wieder abgeschaltet.

marce
05.09.14, 11:12
Hin und wieder ist es noetig, dass ich von fremden Rechnern auf meine Server zuhause zugreifen kann.
hängt der Server zu Hause direkt im Netz oder ist da noch irgendein Router zwischendrin? Also ggf. mit Port-Forwarding und so?

(ich trau mich ja fast nicht zu fragen...)

pibi
10.09.14, 21:26
Portknocking halte ich für eine Methode, die eigentlich überflüssig ist. Im Idealfall ist sowieso alles blockiert in der Firewall, außer die Ports, die du wirklich brauchst. Sind also, im Fall von SSH mit Portknocking, nur noch 3 Ports wirklich offen. Diese durchzuprobieren ist kein Hexenwerk mehr. Du hälst also nur die üblichen Skriptkiddies damit fern. Das gleiche erreichst du auch durch ändern des Ports.Ich war die letzten Tage recht beschaeftigt, daher die Antwort erst heute. Richtig, ich lasse nur die wenigen Sachen in meiner Firewall durch, die ich wirklich brauche. Dann vergesse ich wohl PortKnocking schnell und suche nach einer Loesung, die dynamischen Ports der Gegenstellen per Script in meine Firewall-Config einzupflegen.

Gruss Pit.

pibi
10.09.14, 21:28
hängt der Server zu Hause direkt im Netz oder ist da noch irgendein Router zwischendrin? Also ggf. mit Port-Forwarding und so?Natuerlich direkt;-)
(ich trau mich ja fast nicht zu fragen...)Warum? Waere doch eine Moeglichkeit, warum es nicht funktioniert hat...

Gruss Pit.