Vlákno názorů k článku
Port knocking: zaklepejte na svůj server

Něco podobného jsem kdysi dělal tuším pomocí modulu recent v iptables. Ikdyž uznávám, je to asi trochu omezenější než knockd.

Taky jsem si dělal něco podobného, ale přes HTTPS přihlášení na určité webové stránce. Pak se mi otevřel port na minutu a mohl jsem se přihlásit.
Každopádně port knocking je zajímavé řešení :-)

To musi byt super kdyz ti zuchne apache a ty se chces prez ssh podivat co se deje :)

Tak si pres ssh restartuje Apache a po ptakach. Dulezite je, ze super tajny server zustane bezpecny. Jinak by nebyl problem, aby takovych stranek mel vic, kdyby jedna lehla. Nahodou, celkem chytry napad.

Pres jake ssh ???

Pres to, co je blokovano, protoze ceka na autorizaci pres Apache ? Hehe …

Pokud Apache a ssh bezi na stejnem stroji, tak samozrejme ne. Ale ssh muze bezet na firewallu v Cechach, zatimco Apache na nejakem nedulezitem stroji v Gronsku.

To samozrejme muze, jak ale Apache v Gronsku povoli pristup na firewallu v Cechach ? Ze by pres port-knocking ? To by sme si ale moc nepomohli co ?

Firewall v Cechach se zepta serveru v Gronsku, ma-li nekomu povolit ssh port. Napriklad se jednou za minutu podiva, jestli tam nekdo nekam neulozil jednorazove heslo (nahodne smeti). Nebo se podiva, jestli tam neni soubor, zasifrovany „verejnym“ klicem, ktery ma k dispozici akorat uzivatel, dozadujici se pristupu. V tom souboru bude adresa stroje, odkud se uzivatel hodla pripojit a firewal mu z ni povoli spojeni na ssh ne urcitou dobu. Nebo tam bude fotka Radka Hulana se steganografickou zpravou, obsahujici jednorazove heslo a ip adresu.

a jak se tam „podiva“ ? Pres ssh ? A jsme zase z5 … zbytecne slozite a spousta clanku zvysujicich riziko toho, ze se tam nekdo dostane nebo to nebude fungovat. Nechtel bych mit pristup k FW zavisly za serveru „nekde v Gronsku“

Mam supertajny firewal na podzemni zakladne jadernych ponorek na Machove jezere. Potrebuji se na nej pripojit ze sve dovolene na Mysu dobre nadeje. Nahraji tedy do Gronska do adresare s 10000 jinymi blbymi fotografiemi fotografii Radka Hulana se steganografickou zpravou zasifrovanou verejnym klicem firewallu. Firewall se jednou za minutu podiva, jestli v Gronsku maji Radka Hulana. Pokud najde, tak stahne a pokusi se vyextrahovat skrytou zpravu a rozsifrovat ji svym privatnim klicem. Pokud se mu to povede a ve zprave najde ocekavany obsah, otevre mi na 10 minut ssh port pro adresu obsazenou ve zprave. Pokud se do te doby nepripojim, protoze me prave unesli teroristi dotovani CIA z fondu ziskanych z ilegalniho obchodu s narkotiky, port zase zavre.
P.S.: Pro pomale: Server v Gronsku nema port knocking ani nic podobneho. Muze to byt treba uplne nudny Windozestroj, nabizejici pres IIS primitivni stranky plne totalne nudnych fotografii, bez nejmensich umeleckych aspiraci, nesoucich znamky totalni technicke neschopnosti fotografa. Tedy server, kteremu se i otrly webovy cumil zdalky vyhne.

a na tomhle stroji bude zaviset, zda se dostanu na fw ? Nevim, kdo je tu pomaly, ale slusne predpokladam, ze server v Gronsku, howgh

Je problem mit zalozni server v Iranu, pro pripad, ze by Gronsko postihl osud Atlantidy? A dalsi v Australii, kdyby USA vybombardovaly I­ran?

Stacilo napsat, zes to proste nedomyslel …

to mam rad, ked niekto vymysli vtakovinu a potom za kazdu cenu sa jej bude drzat… preco server v gronsku nevypusti postoveho holuba, ktory vypne v cechach firewall ?

Protoze: 1) Holubi nemaji dostatecnou odolnost proti mrazu. 2) Prestoze prumerna prenosova rychlost je, pri pouziti vysokokapacitnich sd karet pomerne slusna, latence je neunosne vysoka. 3) Prenos holubi postou je pomerne nespolehlivy: Vyskytuji se ztraty dat, zpusobene napriklad dravci nebo nenazranymi strelci. Nejsem si jist, co se tyce schopnosti holubu preletet ocean na jeden zatah. Pri UDP prenosu je pak nutno znovu vyslat paket vzdy po nekolika tydnech, nedojde-li ke kyzenemu vysledku, pri TCP prenosu je navic nutno dostatecne dlouho (dalsich nekolik tydnu) pockat, prijde-li SD karta s potvrzovacim paketem. Za techto okolnosti si to radsi s nekym vyridim po telefonu. 4) Je vyzadovana znacna ucast lidske obsluhy, i kdyz to by se snad dalo obstarat prenosem dat pres radio, nainstalovane v holubniku. 5) Mnou uvedeny priklad s ponorkovou zakladnou a Gronskem byla do nesmyslnosti vyhnana blbost pro milovniky spionaznich filmu. Podobny princip, akorat trochu mene pritazeny za vlasy, by se ovsem vyuzit dal. Treba jako varianta pro ty, kteri nemohou pouzit port knocking z nabozenskych duvodu nebo z duvodu jejich sexualni orientace. Nebo jako doplnek port knockingu pro paranoidni, po kterych jdou.

A je to v běžné praxi použitelné? Moje představa je, že budu mít server, který bude naslouchat jen na portech 80 a 443. Přes https se přihlásím ke speciální straně, kde se autentizuji (heslem nebo certifikátem) a zároveň si vyberu port, který chci otevřít. Port se otevře jen pro adresu REMOTE_ADDR, ze které jsem se na stranu připojil.

Je tohle dobré řešení? Nemá to nějakou slabinu?

A co to vlastně má přinést? Jediné, před čím mě to ochrání, je bug v autentizaci nějaké služby, kterou za takovouhle ochranu umístím. A platím za to nepříjemným zesložitěním autentizace.

Nepřijde mi to jako moc zajímavý poměr cena/výkon...