Когда-то давно читал об этом, но не пробовал ...

"К маме своей залезь в шифонер и головой там постучи" (с)

Это пилять такие грабли будут, что мама не горюй.

а стучат в соответствии с one time password?

Давайте устроим день вчерашнего поста.

ИМХО это подходиящий вариант, если доступ к "замаскированному" порту требуется крайне редко. Например чтобы иметь возможность зайти на домашнюю машину, будучи в командировке, и в то же время не особо заботиться о дырах в сервисах и сканировании портов.

С другой стороны, придумать способ нагадить против такой защиты несложно. Как, например, должна себя вести эта система при интенсивном хаотичном сканировании портов? Либо она не впустит пользователя, знающего "секретный код", либо будет открывать на любую достаточно длинную хаотическую последовательность.

Потом, как я понял, при "стуке" обратный ip можно сделать любым, так как ответа не будет.

Такая защита будет устойчива в меру своей хитровыебанности. А можно например подключить к компьютеру мобилу и слать sms с адресом, которому нужно открыть. Кто догадается?

>Это пилять такие грабли будут, что мама не горюй.

Дык грабелки это же самый цымис ;))

Надо же занятие народу найти ;))

На сервере в качестве генератора паролей юзаем стиральную машину для которой имеем гистограмму случайных чисел. На клиенте заводим это распределение в кластер ( две - три машины под мосикс). Далее вычисляя возможные пароли пытаемся зайти к себе на сервер. Выгода очевидна - и носки постирали и безопасность обеспечили.

аха... такая фишка... стара как мир... в свое время нами так писались бекдоры чтобы по сети обычным сканированием их нельзя было обнаружить.

есть альтернатива (более эффективна) просушивается какойнить удп порт... на приход нужной дейтаграммы, после чего стартует махоньий такой демон который уже и открывает доступ к системе

Дайте пожалуйста ссылку на реализацию mosix для стиральных машин, желательно Вятка-автомат или совместимых!

Каким порошком Вы посоветуете стирать носки? У меня socks5!

такого кандидата на 1 апреля про*бали

Похоже они просто делали proof of concept и сделали так чтобы по быстрому внося минимальные изменения в систему. Зачем вообще куча портов. Это что единственный способ прикрепить информацию к пакету? Почему не выделить конкретный порт, посылать на него пакеты такого размера чтобы они не фрагментились, в пакете ложить one time password. Если он совпадает то открывать порт.

Имхо.

Вместо глагола "ложить", лучше употреблять глагол "класть"

спасибо, я наклал себе это в память:)

Проверочное слово - "класть на все"

Саныч, не доказывай что знаешь Даля и Розенталя наизусть.
Гдупо выглядишь - и на пьяно плэишь и опенбэзэдэ админишь
и грамотей всем известный :)).

>Саныч, не доказывай что знаешь Даля и Розенталя наизусть. 
>и на пьяно плэишь и опенбэзэдэ админишь 
>и грамотей всем известный :)).
>anonymous (*) (16.03.2004 17:32:13)

Завидно ?  :-))))

нет, просто неплохо бы соблюдать субординацию.
Не в стиле чин чина почитай, а иногда подтверждать свои слова делом.

Шутю шутю, против саныча ничего не имею, просто он иногда ведет себя
как старпер - начинает поучать :)).

О чём трём мужики..???;)

Ну стыдно ведь "ложить" говорить, прям село какое-то.

Меня тетка-логопед за это в детстве линейкой била по голове.

лОжуть и покладают... %) на лоре как обычно... ирся пропал... саныча задирают... вот млин пионэры....%)

> линейкой била по голове

а, вот она почему..:) ну индусы вообще thru любят писать. И ничего, преуспевают:)

у Саныча было тяжелое детство. А в юности Кац-Муди оставил на нем неизгладимый след.

тук-тук

Кто стучится в дверь ко мне

с секретным кодом на спине,

И сообщает что бэкдоры

Теперь отзывчивы вдвойне?

Можно еще послать курьера с опечатаным сургучной печатью пакетом, а в пакете - записка дежурному сисадмину. На салфетке из ресторана. Левой рукой и на французском языке. С требованием открыть указаный порт для указаного ip-шника по указаному протоколу на столько-то секунд в такое-то время. Впрочем, вы правы - не стоит тащить это через три границы...

А в качестве кандидата на первое апреля предлагаю протокол передачи данных, в котором биты будут передаваться icmp-пакетами с двух ip-адресов. С первого - 1, с нулевого - соответственно.

есть еще проект обобщения portknock.
TCP over portknock ;).
Правильно говоришь - легко подстроить запуск/останов сервисов по
времени cron'ом, чтобы пока в электричке едешь никто не успел
какнуть сервер.

> Меня тетка-логопед за это в детстве линейкой била по голове.

Вон оно откуда твоё пристрастие к левым новостям про BSD-RIP... Ну, прости, что на тебя бочку катил, раз такое дело.

надеюсь Crew IT labs нам подкинет на 1 апреля что-нибудь:) они продуктивные

Они и к 15 марта уже подкинули...

любопытно, авторы примочки слышали про идеальный обнаружитель, корреляцию, обнаружении сигнала на фоне помех и прочую "ерунду" известную примерно с 50-х годов ?

в любом случае, это не тот уровень где стоит думать о таких вещах, в смысде о "ерунде".

Крута! Меня Ваши "три границы" надолго на "хи-хи" пробили. Не знаю даже, с чего - но так получилось...:)))))

> ИМХО это подходиящий вариант, если доступ к "замаскированному" порту > требуется крайне редко. когда угодно.

> С другой стороны, придумать способ нагадить против такой защиты несложно. Как, например, должна себя вести эта система при интенсивном хаотичном сканировании портов?

сразу такой IP посылать - для этого есть portscan daemon нормальному человеку не надо этим заниматься.

> Либо она не впустит пользователя, знающего "секретный код", либо будет открывать на любую достаточно длинную хаотическую последовательность.

будет открывать только тому кому надо и только для нужного IP

> Потом, как я понял, при "стуке" обратный ip можно сделать любым, так как ответа не будет.

не правильно понял

У меня из internet только 80 порт открыт - больше ничего не видно

"пурсиакированная кумбиката с двубахой и ланью на шесте"...

Те кто читал древненький справочник к Нортон Гайдеру (гуидеру) поймут чего это такое.

Или: Штирлиц шел на явку к Плейшнеру. На подоконнике издавали смрад два стоячих носка, надкушеный батончик баунти 3-х летней давности с 3-мя торчащими из него зубами и почему-то свисала изрядно побитая физиономия самого Плейшнера, что означало что явка провалена.

Так вот эта авторизация то же самое.

Накрен такой цирк.

gr_buza - на мыло если такой гон на фронтенд LOR пропускает.

Ну нет :))))))))уй мля :)))))))))- я ржууууууууууу просто :)))))))))))))))))))))))))))))

:)))))))%)))))баунти - уяунти, сникерсы-уикерсы, авторизация-через_задний_проход_выпендризация :))))))))))))))))))))))))))))) Главное чтобы никто не догадался :)))))))))))))))))

А чем это принципиально отличается от посылки определённой последовательности байт на один порт? И дальше - почему такой последовательностью не могут быть "стандартные" протоколы обмена ключами?

> Потом, как я понял, при "стуке" обратный ip можно сделать любым, так как ответа не будет.

> не правильно понял

> У меня из internet только 80 порт открыт - больше ничего не видно

> anonymous (*) (17.03.2004 2:06:31)

бесят иакие вот мудаки на лоре - закрыл все кроме апача и уже секьюрити эксперт. из-за таких вот лялих самая ломаемая система по статистике выходит

Это сродни следующему: вот возьму я, и придумаю свой протокол, поднимающего для меня sshd и прописывающего фаервольное правило для входа на домашнюю машинку.

Ровно до тех пор, пока им буду пользоваться я один - усилия по его взлому будут кратны его криптостойкости с каким-то коэффициентом n. Но как только я опубликую алгоритм, да отдам его в пользование людям, и прочее-прочее - n будет непрерывно снижаться до единицы.

Да, <u>в общем случае</u> взломать систему с двумя последовательными защитами сложнее, чем с одной. Но что мне мешает сейчас сделать так, чтобы sshd поднимался после специального вида GET запроса на HTTP сервер, который крутится там же? В-общем, на откровение идея не тянет.

//Losiki

>Накрен такой цирк.

На улице шел снег, и рота красноармейцев...

Бред горячечный. Вобщем-то на салфетке, через три границы, надежнее будет...

оставить только 80-й порт очень правильно! еще очень важно отпиздячить себе icmp !

А чё вам не понравилось? Лучше когда sshd торчит наружу и доступен всем для скана? А то что рутовые дырки в нем раз в полгода выявляют, это нормально?

Лучше уж его так прикрыть по-хитрому. Вообще, редкоиспользуемые, но важные сервисы лучше чтобы пассивно слушали сеть и не выявлялись сканированием.

>У меня из internet только 80 порт открыт - больше ничего не видно

Да и тебя дальше твоего провайдера не видно...

> Да, <u>в общем случае</u> взломать систему с двумя последовательными защитами сложнее, чем с одной. Но что мне мешает сейчас сделать так, чтобы sshd поднимался после специального вида GET запроса на HTTP сервер, который крутится там же? В-общем, на откровение идея не тянет.

Не, GET на HTTP это не круто, это не по кулхацкерски. И уж тем более пакет с ключом на UDP-порт.

Впрочем у портостучания есть одно преимущество перед отправкой ключа на uDP - его можно сделать с win95/winXP встроенным telnet'ом, а ведь у большинства кулхацкеров именно одна из этих осей стоит.

Интересно было бы видеть реализацию этой идеи от crew it labs. Это же на си за два часа с пол-пинка пишется!

telnet'ом вряд ли получится и вот почему:

Если закладываться на то, что пользователь делает это руками, то
а) период, в течение которого магическая последовательность стуков может быть введена - десятки секунд.

б) если сбрасывать последовательность при прилёте левых пакетов - возможен DOS, машина атакующего будет раз в секунду посылать пакет на случайный порт атакуемой, в результате последовательность ввода никогда не будет завершена.

в) если не сбрасывать вводимую последовательность при прилёте левых пакетов - атакующий просто генерит несколько волн пакетов, проходясь по 1-65535, "подбирая" ключ.

а вот GET со спец. урлом телнетом ввести как раз можно.

Как правильно сказали, всё это на серьёзную криптографию нисколько не годится, так, для защиты от червей и скрипт-кидди.

//Losiki

вообще ни на что не годится. в локалке еще как-то заработает , а в реальной сети достаточно потерять пол-стука ;) и звездец.

> Если закладываться на то, что пользователь делает это руками, то > а) период, в течение которого магическая последовательность стуков может быть введена - десятки секунд.

Это верно

> б) если сбрасывать последовательность при прилёте левых пакетов - возможен DOS, машина атакующего будет раз в секунду посылать пакет на случайный порт атакуемой, в результате последовательность ввода никогда не будет завершена.

А это не совсем верно. Можно разделять приходящие пакеты по ip источника. Тогда для проведения DOS атакующему нужно будет узнать, с какого ip пытаются "стучать", и флудить подделывая обратный ip.

> в) если не сбрасывать вводимую последовательность при прилёте левых пакетов - атакующий просто генерит несколько волн пакетов, проходясь по 1-65535, "подбирая" ключ.

Значит "сбрасывать" надо обязательно.

Получается что от DOSа никак не отвертеться.

> а вот GET со спец. урлом телнетом ввести как раз можно.

Но это будет уже на уровне веб-сервера. Потенциально через дыру веб-сервера можно подсмотреть скрипт, запускающий ssh.

по этой теме еще в прошлом году шелл скрипт сваять попытался :) http://www.opennet.ru/base/sec/port_knocking.txt.html посмотрите мож кому пригодится работает нормально, тока завязан на совпадении часов клиента и сервера с некоторой точностью

>А в качестве кандидата на первое апреля предлагаю протокол передачи данных, в котором биты будут передаваться icmp-пакетами с двух ip-адресов. С первого - 1, с нулевого - соответственно.

кстати реально есть прога, заюзывающая этот принцип передачи данных. loki называется :-)

Эта технология авторизации - жопа. Конец обсуждений.

пожалуй в качестве "способа авторизации" идея действительно попахивает бредом..
но вот как метод позволяющий скрыть некий сервис (читай - троянца) от сканирования - очень даже ничего..
интересно, а можно реализовать "простукивание портов" ТОЛЬКО с помощью правил ipfw?
или он не настолько развит как мне кажется? вроде - почти что язык программиравания..
было бы любопытно узнать мнение тех, кто еще не помер от смеха