LINUX.ORG.RU

Port knocking: назначение и обзор инструментов

 , ,


0

1

Представлена серия статей, подробно описывающая возможности популярной техники port knoсking и весь арсенал соответствующего ПО для дополнительной защиты и сокрытия сетевого доступа к интернет-сервисам.
В трех частях рассмотрены: популярный пакет knockd (traditional port knocking, TPK), Cerberus (авторизация с одноразовым паролем, OTP), Sig^2 (двунаправленная система port knocking'a), Fwknop (Single Packet Authorization, SPA), Tariq (hybrid port-knocking, HPK). Большинство описанных пакетов свободно доступны как OpenSource.

>>> Подробности



Проверено: tazhate ()
Последнее исправление: Klymedy (всего исправлений: 3)

Хорошие статьи, спасибо. Кстати, существуют в природе простые гуёвые клиенты для винды, подобные клиентам для iOS/Android? Я понимаю, что вин-пользователи должны страдать, но всё же :)

ollowtf ★★★
()

а чем port knoсking лучше просто блокировки через какое-то кол-во попыток тем-же fail2ban?

У меня, например, fail2ban отшивает на час после 3-х попыток ввести пароль.

Для пароля вида qcs9Xrxt71G1XK59 бутфорс при трех попытках в час займет совсем чуть-чуть времени.

kombrig ★★★
()
Последнее исправление: kombrig (всего исправлений: 2)
Ответ на: комментарий от kombrig

А если у меня ботнет с 1000000 IP и тыкаются в твою машину с одного IP не более 2 раз в час?

По факту кнокинг просто прячет порт, тем самым давая злоумышленнику меньше информации о хосте.

StreSS
()

Промт штоле..

Что касается разнообразия подходов по реализации PK, то условно их все можно выделить в две группы.

Реализации PK можно разделить на две группы -_-

С одной стороны, это.. бла-бла-бла

а где с другой?

существуют также и другие вариации на вечную сисадминскую тему «сделано на коленке».

x_x

крупной группы в зоопарке решений

X_X

special-k ★★★★
()
Последнее исправление: special-k (всего исправлений: 1)
Ответ на: комментарий от StreSS

А если у меня ботнет с 1000000 IP и тыкаются в твою машину с одного IP не более 2 раз в час?

пусть у нас скажем 16 символьный пароль. пусть символы A-Za-z0-9, итого 26*2+10 = 62 символа.
пусть один «вредоносный» ip может открыть 65536 соединений к серверу (учитывая что tcp/ip соединение характеризуется четвёркой «удалённый_ip:удалённый_порт:локальный_ip:локальный_порт» это впринципе должно быть осуществимо, но это верхний предел для одного реального ip-шника в ipv4 на сколько я понимаю).
пусть каждое соединение пытается 10 раз в секунду (что невозможно для ssh на сколько я поинмаю потому что там задержки стоят, но примем чтобы просто оценить сверху «уж точно»).

итого имеем 62^16 возможных комбинаций. 62^16 это больше чем 4,7E28 комбинаций если я верно посчитал.

далее, 10*65536 = 655360 попыток в секунду с одного ip что меньше чем 2,6E5. ipшников у тебя 1E6, итого 2,6E11 попыток в секунду. в году 3600*24*366 <= 3,2E7 секунд, итого 2,6E11*3,2E7 <= 8,32E18 попыток в год. Ну и 4,7E28/8,32E18 <= 0,5E10 лет нужно чтобы сделать брутфорс, что всего навсего в три раза меньше времени существования нашей вселенной :)

так что можешь не волноваться если у тебя 16 символьный случайный пароль. как бы тебя не ломали, но это будет точно не брутфорс.

PS. против портнокинга и фейл2бан ничего не имею, с ними гораздо чище в логах. но с т.з. безопасности надёжнее иметь хороший пароль или/и авторизацию по ключу.

UPD1. да, там у меня 2,6E5 неверно, получается 6,6E5 вроде. лень пересчитывать так как порядок практически не измениться. может это будет 200млн лет вместо 500млн. практической угрозы это не несёт.

UPD2. ну и да, два раза в час это смешно, сколько бы ip не было, время нужное для реализации атаки перебором на случайный 16 символьный пароль с любого разумного количества ip при двух запросах в секунду с одного ip заведомо значительно превысит время существования нашей вселенной.

AndreyKl ★★★★★
()
Последнее исправление: AndreyKl (всего исправлений: 4)

спасибо за новость. крайне любопытно было поглядеть на инструментарий.

AndreyKl ★★★★★
()
Ответ на: комментарий от StreSS

Ну это я увижу по вздувщимся логам fail2ban Хотя почитать про методы безусловно стоит. Как минимум информации о системе потенциальному злоумышленнику явно меньше.

kombrig ★★★
()
Последнее исправление: kombrig (всего исправлений: 2)
Ответ на: комментарий от MiniRoboDancer

Ну а мы после выдергивания будем производить кабелем движения по замысловатой траектории, кореллирующей с выхлопом /dev/random

kombrig ★★★
()
Ответ на: комментарий от kombrig

да, это да, я как то не подумал о таком варианте :)

AndreyKl ★★★★★
()
Ответ на: комментарий от kombrig

Они запатентуют сам момент выхода штекера из гнезда:) Тут уж без расшатки гнезда никак финтов не придумаешь.

MiniRoboDancer ★☆
()
Ответ на: комментарий от StreSS

да вы просто в ударе, кэп! в любом случае если пароль 16 символов то брутфорсить не имеет смысла. какой «этот» случай вы имели ввиду?

AndreyKl ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.