Vlákno názorů k článku Port knocking: zaklepejte na svůj server od fo - PK nie je „metoda“, ktoru ma zmysel pouzivat...

PK nie je „metoda“, ktoru ma zmysel pouzivat neustale pri kazdom/beznom prihlasovani (na to vieme pouzit ine „metody“ a formy prihlasovania, ktore uz boli spomenute nizsie). Poita PK je v tom, aby sa pouzil len vtedy, kedy je to ako jedno z najvhodnejsich rieseni. Najcastejsie PK nasadzujeme v tomto pripade: niektori z adminov ide na dovolenku a kedze ide dovolenkovat tak si neberie pracovny notebook s mobilnym internetom. Ak nahodou nastane vazny problem, ze je potrebne aby sa na to vzdialene pozrel, tak ma moznost vyuzit prave PK. Dost casto v mieste dovolenkovania sa najde nejake inet cafe apod. Kazdy ma predgenerovanu sekvenciu portov na „otukanie“, ktoru si definoval vacsinou na zaklade nejakeho svojho „algoritmu“ (napr. nejaka geo rada:). Potom je jedno do akeho nezabezpeceneho inet cafe s osekanym hacknutym windowsom pride, staci ze si spusti z webu putty, vykona jednorazovu tukaciu sekvenciu a nasledne sa prihlasi cez SSH na jeden z nasich virtualnych strojov, ktory sluzi cisto pre ucely PK a prihlasovania sa dalej pomocou klucov s passfrazou. Po prihlaseni na stroj s PK staci ze pocka definovanu dobu, nez port prestane prijimat SYN connecty a moze sa zacat prihlasovat dalej. Ak spojenie nahodou spadne (_predtym_ nez zadal passfrazu na kluc pre prihlasenie dalej na servery), tak to moze skusit znovu (novou sekvenciou) atd. Ak nahodou ale spojenie spadne az po tom, co uz bola zadana passfraza, tak z toho inet cafe sa uz neprihlasuje (logicky na tej stanici mu uz mohli byt odchytene login/pass a pass k passfrazi,takze jedine co uz stoji potencialnemu utocnikovi v ceste je otvorenie portu pre SSH vytukanim sekvencie). Za poslednych 6 rokov sa to sice vyuzilo asi len 2×, ale pomohlo to:). A ak by niekoho napadlo, ze si donesiem kluc na USB a pod. tak uz sme zazili inet cafe, kde bol skript nastaveny tak, ze pokial sa detekla jednotka z usb, tak sa automaticky z nej zacali skopirovavat data (tymto sa uz hraju deti na zakladnych skolach:), takze staci uz len keylogger.....

a kto povedal, ze neexistuje nudzova sekvencia zlozena z 80 a 443 ? :)

Není mnohem jednodušší (a i bezpečnější) nahodit mu na SSH autentizaci jednorázovým heslem, než dělat takovéhle šaškárny?