Vlákno názorů k článku Port knocking: zaklepejte na svůj server od Kajos - Něco podobného jsem kdysi dělal tuším pomocí modulu...
-
Firewall v Cechach se zepta serveru v Gronsku, ma-li nekomu povolit ssh port. Napriklad se jednou za minutu podiva, jestli tam nekdo nekam neulozil jednorazove heslo (nahodne smeti). Nebo se podiva, jestli tam neni soubor, zasifrovany „verejnym“ klicem, ktery ma k dispozici akorat uzivatel, dozadujici se pristupu. V tom souboru bude adresa stroje, odkud se uzivatel hodla pripojit a firewal mu z ni povoli spojeni na ssh ne urcitou dobu. Nebo tam bude fotka Radka Hulana se steganografickou zpravou, obsahujici jednorazove heslo a ip adresu.
-
Mam supertajny firewal na podzemni zakladne jadernych ponorek na Machove jezere. Potrebuji se na nej pripojit ze sve dovolene na Mysu dobre nadeje. Nahraji tedy do Gronska do adresare s 10000 jinymi blbymi fotografiemi fotografii Radka Hulana se steganografickou zpravou zasifrovanou verejnym klicem firewallu. Firewall se jednou za minutu podiva, jestli v Gronsku maji Radka Hulana. Pokud najde, tak stahne a pokusi se vyextrahovat skrytou zpravu a rozsifrovat ji svym privatnim klicem. Pokud se mu to povede a ve zprave najde ocekavany obsah, otevre mi na 10 minut ssh port pro adresu obsazenou ve zprave. Pokud se do te doby nepripojim, protoze me prave unesli teroristi dotovani CIA z fondu ziskanych z ilegalniho obchodu s narkotiky, port zase zavre.
P.S.: Pro pomale: Server v Gronsku nema port knocking ani nic podobneho. Muze to byt treba uplne nudny Windozestroj, nabizejici pres IIS primitivni stranky plne totalne nudnych fotografii, bez nejmensich umeleckych aspiraci, nesoucich znamky totalni technicke neschopnosti fotografa. Tedy server, kteremu se i otrly webovy cumil zdalky vyhne. -
Protoze: 1) Holubi nemaji dostatecnou odolnost proti mrazu. 2) Prestoze prumerna prenosova rychlost je, pri pouziti vysokokapacitnich sd karet pomerne slusna, latence je neunosne vysoka. 3) Prenos holubi postou je pomerne nespolehlivy: Vyskytuji se ztraty dat, zpusobene napriklad dravci nebo nenazranymi strelci. Nejsem si jist, co se tyce schopnosti holubu preletet ocean na jeden zatah. Pri UDP prenosu je pak nutno znovu vyslat paket vzdy po nekolika tydnech, nedojde-li ke kyzenemu vysledku, pri TCP prenosu je navic nutno dostatecne dlouho (dalsich nekolik tydnu) pockat, prijde-li SD karta s potvrzovacim paketem. Za techto okolnosti si to radsi s nekym vyridim po telefonu. 4) Je vyzadovana znacna ucast lidske obsluhy, i kdyz to by se snad dalo obstarat prenosem dat pres radio, nainstalovane v holubniku. 5) Mnou uvedeny priklad s ponorkovou zakladnou a Gronskem byla do nesmyslnosti vyhnana blbost pro milovniky spionaznich filmu. Podobny princip, akorat trochu mene pritazeny za vlasy, by se ovsem vyuzit dal. Treba jako varianta pro ty, kteri nemohou pouzit port knocking z nabozenskych duvodu nebo z duvodu jejich sexualni orientace. Nebo jako doplnek port knockingu pro paranoidni, po kterych jdou.
-
Miro (neregistrovaný)
A je to v běžné praxi použitelné? Moje představa je, že budu mít server, který bude naslouchat jen na portech 80 a 443. Přes https se přihlásím ke speciální straně, kde se autentizuji (heslem nebo certifikátem) a zároveň si vyberu port, který chci otevřít. Port se otevře jen pro adresu REMOTE_ADDR, ze které jsem se na stranu připojil.
Je tohle dobré řešení? Nemá to nějakou slabinu?
