Port knocking com o knockd
“O knockd é uma implementação de port-knocking. Resumidamente falando, com ele podemos deixar todas as portas do servidor fechadas e tê-lo configurado para ouvir “batidas” em algumas portas específicas, sendo que as batidas (corretas) podem gerar a execução de uma regra de firewall para abrir uma porta ou executar qualquer outro comando.”
Enviado por Fernando Scherrer (fernando·scherrerΘfernando·scherrer·nom·br) – referência (fernando.scherrer.nom.br).
• Publicado por Augusto Campos em
2008-03-28
Acho importantíssimo este tema para quem tem servidores expostos à Internet ou mesmo para uso em redes internas. Com a proteção de serviços como o SSH, por exemplo, fica praticamente impossível um ataque por força bruta ou tentativas de invasão sem saber a forma correta (e as chaves) para se autenticar primeiro no servidor de knock.
Eu fiz minha monografia da Pós-Graduação sobre Port Knocking com FWKnop e recomendo não usar knockd ou qualquer outro que use knock por sequência de portas. É muito fácil usar um ataque chamado de Replay, justamente por repetir a sequência de portas. Além disso há problemas de tempo necessário para emitir a sequência pois tem que existir um intervalo entre os pacotes para que não corra o risco de um pacote ir por um caminho mais longo e o segundo pacote ir por um mais rápido e chegar na frente do primeiro.
Recomendo o FWKnop, resolve vários desses problemas, usa uma técnica chamada de SPA (Single Packet Authorization) que usa um único pacote, usa criptografia pesada (assimétrica), permite enviar comandos dentro do pacote (flexibilidade total, que pode ser proibida), ou seja, é muito completo e muito seguro.
Para quem quiser ler mais, http://cipherdyne.org/fwknop/. Logo que tiver minha monografia publicada no site da UFLA, eu passo o link. Afinal o objetivo da monografia foi analisar o uso do FWKnop e sua adequação. Posso adiantar que o software é muito fácil de configurar e muito poderoso.
Parabéns ao autor por levantar a questão e se prontificar a ajudar os outros.
Flávio
Se eu não me engano jã li um artigo sobre esta técnica diretamente com o iptables, mas uma ferramenta que facilita a vida é sempre bem-vinda.
Muito boa a dica do fwknop, valeu Flavio!
Realmente é possível fazer com iptables usando o módulo RECENT. Muito interessante mas tem os mesmos defeitos de se poder ver a sequência de portas.
O FWKnop é absolutamente fascinante. Simples, poderoso e flexível. Recomendo saber mais sobre ele.
Flávio:
Sua monografia está disponível, desde 28/02:
Implementação de Port Knocking com FWKnop
Não tive ainda o prazer de ler sua mono, mas ela foi bastante elogiada pela banca, assim recomendo fortemente a leitura aos interessados pelo assunto.