Diferència entre revisions de la pàgina «Port Knocking a Ubuntu 16.04»
Salta a la navegació
Salta a la cerca
(Es crea la pàgina amb «|thumb|500px|centre|cacahuete. |thumb|500px|centre|cacahuete. Fitxer:portknock3.jpg||thumb|500px|centre|cacahue...».) |
|||
| (Hi ha 11 revisions intermèdies del mateix usuari que no es mostren) | |||
| Línia 1: | Línia 1: | ||
| − | + | Port Knocking és un mètode que consisteix en afegir una seqüència de peticions previa a la demanada a priori amb el fi d'assegurar l'accés a un servei. | |
| − | [[Fitxer: | + | == Instal·lació == |
| + | Necessitarem instal·lar el paquet '''knockd''' per configurar port knocking. | ||
| + | #apt-get update | ||
| + | #apt-get install knockd | ||
| + | [[Fitxer:portknock1.jpg||thumb|500px|centre|Si tot ha anat bé hauriem de veure quelcom així.]] | ||
| − | [[Fitxer: | + | === Configuració al servidor === |
| + | Seguidament editem el fitxer '''/etc/knockd.conf''' | ||
| + | ▪ logFile = /directori/on/guardem/log | ||
| + | ▪ sequence: seqüència de ports per obrir o tancar "la porta". | ||
| + | ▪ seq_timeout: Interval de temps per ficar la seqüència correctament. | ||
| + | ▪ command: comanda linux que executarà si la seqüència es valida. | ||
| + | ▪ tcpflags: bit de control dins del segment TCP. | ||
| + | [[Fitxer:portknock2.jpg||thumb|500px|centre|Així quedaría finalment el fitxer.]] | ||
| − | + | Un cop tenim el la configuració amb la seqüència dels ports, editem el fitxer '''/etc/default/knockd''' amb els següents paràmetres: | |
| + | ▪ START_KNOCKD: Per inicialitzar el servei juntament amb el servidor quan s'encèn. 0 = off, 1 = on. | ||
| + | ▪ KNOCD_OPTS: Interfície per on actuarà el servei. | ||
| − | [[Fitxer: | + | [[Fitxer:portknock3.jpg||thumb|500px|centre|Configuració final del fitxer '''/etc/default/knockd'''.]] |
| − | [[Fitxer: | + | El servei precisa de iptables per acceptar el tràfic estipulat com "ESTABLISHED" i dropejem totes les peticions pel port 22 de qualsevol origen. |
| + | [[Fitxer:portknock4.jpg||thumb|500px|centre|També podem afegir aquestes regles al final de l'arxiu '''/etc/network/interfaces''' amb la comanda '''post-up''' davant.]] | ||
| − | [[Fitxer: | + | [[Fitxer:portknock5.jpg||thumb|500px|centre|Comprovem que las iptables funcionan.]] |
| − | + | == Comprovació des d'un client ubuntu == | |
| + | Escanejem el port 22 amb la comanda '''nmap''' | ||
| + | Ho podem instal·lar amb | ||
| + | #apt install nmap | ||
| + | #nmap -p22 ip_server_knock | ||
| − | [[Fitxer: | + | [[Fitxer:portknock6.jpg||thumb|500px|centre|Ens mostra el port 22 com ''filtered''.]] |
| − | [[Fitxer: | + | [[Fitxer:portknock7.jpg||thumb|500px|centre|Instal·lem tambè el paquet '''knockd''' al client i fiquem la seqüència de opertura amb la comanda knock -v ip_server_knock port1 port2....]] |
| − | [[Fitxer:portknock11.jpg||thumb|500px|centre| | + | [[Fitxer:portknock8.jpg||thumb|500px|centre|Com la seqüència es valida, s'afegeix una iptable amb la ip de la màquina que ha demanat accès.]] |
| + | |||
| + | Ara fem un ssh per a comprovar que podem accedir: | ||
| + | |||
| + | [[Fitxer:portknock9.jpg||thumb|500px|centre|La sintaxis per accedir per ssh és: <br> ssh user@ip]] | ||
| + | |||
| + | Tornem a escanejar el port 22 i... | ||
| + | [[Fitxer:portknock10.jpg||thumb|500px|centre|..comprovem que s'ha obert desprès d'encertar la seqüència.]] | ||
| + | |||
| + | Per últim tanquem el servei amb la mateixa comanda d'abans però amb la seqüència de tancament. | ||
| + | [[Fitxer:portknock11.jpg||thumb|500px|centre|Afegim la seqüència de tancament i tornem a escanejar els ports per comprovar que està filtered.]] | ||
| + | |||
| + | == Documentació i referències == | ||
| + | https://www.digitalocean.com/community/tutorials/how-to-use-port-knocking-to-hide-your-ssh-daemon-from-attackers-on-ubuntu | ||
| + | http://www.zeroflux.org/projects/knock | ||
| + | Aplicació per fer knocking a Windows | ||
| + | http://gregsowell.com/?p=2020 | ||
Revisió de 23:41, 27 maig 2017
Port Knocking és un mètode que consisteix en afegir una seqüència de peticions previa a la demanada a priori amb el fi d'assegurar l'accés a un servei.
Instal·lació
Necessitarem instal·lar el paquet knockd per configurar port knocking.
#apt-get update #apt-get install knockd
Configuració al servidor
Seguidament editem el fitxer /etc/knockd.conf
▪ logFile = /directori/on/guardem/log ▪ sequence: seqüència de ports per obrir o tancar "la porta". ▪ seq_timeout: Interval de temps per ficar la seqüència correctament. ▪ command: comanda linux que executarà si la seqüència es valida. ▪ tcpflags: bit de control dins del segment TCP.
Un cop tenim el la configuració amb la seqüència dels ports, editem el fitxer /etc/default/knockd amb els següents paràmetres:
▪ START_KNOCKD: Per inicialitzar el servei juntament amb el servidor quan s'encèn. 0 = off, 1 = on. ▪ KNOCD_OPTS: Interfície per on actuarà el servei.
El servei precisa de iptables per acceptar el tràfic estipulat com "ESTABLISHED" i dropejem totes les peticions pel port 22 de qualsevol origen.
Comprovació des d'un client ubuntu
Escanejem el port 22 amb la comanda nmap
Ho podem instal·lar amb #apt install nmap #nmap -p22 ip_server_knock
Ara fem un ssh per a comprovar que podem accedir:
Tornem a escanejar el port 22 i...
Per últim tanquem el servei amb la mateixa comanda d'abans però amb la seqüència de tancament.
Documentació i referències
https://www.digitalocean.com/community/tutorials/how-to-use-port-knocking-to-hide-your-ssh-daemon-from-attackers-on-ubuntu http://www.zeroflux.org/projects/knock
Aplicació per fer knocking a Windows
http://gregsowell.com/?p=2020