Diferència entre revisions de la pàgina «Port Knocking a Ubuntu 16.04»
Línia 6: | Línia 6: | ||
[[Fitxer:portknock1.jpg||thumb|500px|centre|Si tot ha anat bé hauriem de veure quelcom així.]] | [[Fitxer:portknock1.jpg||thumb|500px|centre|Si tot ha anat bé hauriem de veure quelcom així.]] | ||
+ | === Configuració al servidor === | ||
Seguidament editem el fitxer '''/etc/knockd.conf''' | Seguidament editem el fitxer '''/etc/knockd.conf''' | ||
▪ logFile = /directori/on/guardem/log | ▪ logFile = /directori/on/guardem/log | ||
Línia 24: | Línia 25: | ||
[[Fitxer:portknock5.jpg||thumb|500px|centre|Comprovem que las iptables funcionan.]] | [[Fitxer:portknock5.jpg||thumb|500px|centre|Comprovem que las iptables funcionan.]] | ||
+ | |||
== Comprovació des d'un client == | == Comprovació des d'un client == | ||
Escanejem el port 22 amb la comanda '''nmap''' | Escanejem el port 22 amb la comanda '''nmap''' |
Revisió del 16:16, 27 maig 2017
Port Knocking és un mètode que consisteix en afegir una seqüència de peticions previa a la demanada a priori amb el fi d'assegurar l'accés a un servei.
Instal·lació
Necessitarem instal·lar el paquet knockd per configurar port knocking.
Configuració al servidor
Seguidament editem el fitxer /etc/knockd.conf
▪ logFile = /directori/on/guardem/log ▪ sequence: seqüència de ports per obrir o tancar "la porta". ▪ seq_timeout: Interval de temps per ficar la seqüència correctament. ▪ command: comanda linux que executarà si la seqüència es valida. ▪ tcpflags: bit de control dins del segment TCP.
Un cop tenim el la configuració amb la seqüència dels ports, editem el fitxer /etc/default/knockd amb els següents paràmetres:
▪ START_KNOCKD: Per inicialitzar el servei juntament amb el servidor quan s'encèn. 0 = off, 1 = on. ▪ KNOCD_OPTS: Interfície per on actuarà el servei.
El servei precisa de iptables per acceptar el tràfic estipulat com "ESTABLISHED" i dropejem totes les peticions pel port 22 de qualsevol origen.
Comprovació des d'un client
Escanejem el port 22 amb la comanda nmap
Ho podem instal·lar amb #apt install nmap #nmap -p22 ip_server_knock
Ara fem un ssh per a comprovar que podem accedir:
Tornem a escanejar el port 22 i...
Per últim tanquem el servei amb la mateixa comanda d'abans però amb la seqüència de tancament.
Documentació i referències
https://www.digitalocean.com/community/tutorials/how-to-use-port-knocking-to-hide-your-ssh-daemon-from-attackers-on-ubuntu http://www.zeroflux.org/projects/knock