Опубликована серия статей (http://blogerator.ru/page/pozadi-zakrytyh-dverej-port-knocki... о возможностях и доступном ПО для реализации техники port knoсking (http://en.wikipedia.org/wiki/Port_knocking), позволяющей инициировать на межсетевом экране временное открытие заданного сетевого порта, только после предварительного обращения к определённой последовательности портов (например, доступ к порту SSH может быть открыт для текущего хоста после попытки соединения к 1563, 1418 и 1275 портам).В статьях рассмотрены:
- Часть 1 (http://blogerator.ru/page/pozadi-zakrytyh-dverej-port-knocki... - общие концепции "Port knocking" и пакет knockd (http://www.zeroflux.org/projects/knock) (traditional port knocking, TPK);
- Часть 2 (http://blogerator.ru/page/pozadi-dverej-port-knosking-skryty... - Cerberus (http://silverstr.ufies.org/blog/archives/000625.html) (авторизация с одноразовым паролем (OTP)), Sig^2 (http://www.security.org.sg/code/portknock1.html) (двунаправленная система port knocking'a), Fwknop (http://www.cipherdyne.org/fwknop/docs/SPA.html) (Single Packet Authorization, SPA);
- Часть 3 (http://blogerator.ru/page/pozadi-dverej-port-knocking-securi... - Tariq (http://code.google.com/p/tariq/) (гибридный port-knocking, HPK).URL: http://blogerator.ru/page/pozadi-zakrytyh-dverej-port-knocki...
Новость: http://www.opennet.me/opennews/art.shtml?num=35968
А не лучше ли сделать доступ к SSH только из I2P?
Зачем? И, самое главное, как?
>Зачем?Чтобы посторонние не могли подключиться. Или даже не узнали о существовании.
>как?
Точно так же, как и eepsite, невидимый из интернета, только порт другой.
Так подключаться как - всюду ставить i2p? А если мне с телефона нужно заходить, например?
Уж лучше (если есть возможность в тех местах, куда заходишь, что-то ставить) ставить vpn-клиент, или использовать имеющийся. Поднять дома какой-нибудь vpn и пускать в ssh только для подключившихся. Больше ничего из vpn делать не давать, разумеется. А при риске компрометации достаточно убрать очередной логин или ключ из vpn и начать использовать новый.
SSH это уже какбы TELNET внутри VPN. Достаточно хороший в плане безопасности. Тут идея не добавить слой шифрования, а спрятать. Причём, несколько более надёжно, нежели в новости.
Так i2p и knocking прячут немного разные вещи, нет?
Если речь о надежности, то не вполне понятно, зачем вообще что-то прятать при наличии шифрования (в т.ч. адекватного пароля)? Или важно именно утаить наличие ssh, но зачем?
Эх, уже сам прочитал на википедии. Да, может быть полезным в отдельных случаях..
А не лучше ли скрестить верблюда с муравьем?
> А не лучше ли сделать доступ к SSH только из I2P?И потом наслаждаться эхом в 5 секунд, пока оно ползет через перегруженные узлы на тормозной яве...
> И потом наслаждаться эхом в 5 секунд, пока оно ползет через перегруженные узлы на тормозной яве...а разве в i2p -- происходит постоянно то запуск то снова отключение JVM?
я наблюдал что проблемы производительности Java (JVM) ведь в:
1. долго стартуется.
2. много жрёт памяти.
я спрашиваю потому что ещё не использовал ни разу i2p, но вроде бы не слышал чтобы Java медленно выполняла бы программный код.
>> И потом наслаждаться эхом в 5 секунд, пока оно ползет через перегруженные узлы на тормозной яве...
> а разве в i2p -- происходит постоянно то запуск то снова отключение
> JVM?нет, но при чем это тут?
Хм, забавная идея, изящненько
Баян великий! Из серии: Cебе жизнь засрал, а пароль всё равно "123qwerty"
за ssh-пароли нужно расстреливать на месте
Салага дочитал до главы про авторизацию по ключам? :-) Похвально.
> за ssh-пароли нужно расстреливать на местеА давай я продолжу и ты сам повесишься! :)
Четвертовать, делать лоботомию, ректальное шунтирование, 10000-вольтную мезотерапию,... за:
- одинаковый SSH ключ ко всем 50 серверам;
- одинаковый логин на 50 серверах;
- генерацию SSH ключа с использованием не сертифицированного ГСЧ;
- хранение SSH ключей в не зашифрованном виде;
- хранение SSH ключей на не шифрованной файловой системе;
- использование одного и того же компьютера для доступа в интернет и хранения ключей;
- использование проводов периферийных устройств с повышенным ЭМИ.
- расположение монитора в менее, чем 90° к плоскости окна.
- расположение рабочего места в прямой видимости к траектории спутников!
- работа с ключами в помещении не оборудованном ГБШ
- работа с ключами в помещении имеющими толщину стен менее 50 см.
- работа в помещении без акта проверки на отсутствие передающих устройств.
....
Гммм. Для защиты от replay-атаки тут предлагается использовать одинаковые секретные списки knock-последовательностей на сервере и клиенте. Значит, эти секретные списки заранее нужно создавать, копировать надёжным способом с сервера на клиент (или наоборот) и пополнять. Если речь идёт о такой хлопотной процедуре, может тогда не стесняться и сразу реализовать для обмена данными шифрование с бесконечным ключом?
вот спасибо авторам, за то что вкусно пишут нам!а для тех кто не читал - штатный ssh (клиент) умеет port knocking? ну чтоб telnet/nc не заморачиваться. Али может тулзы какие специальные?
> а для тех кто не читал - штатный ssh (клиент) умеет port
> knocking? ну чтоб telnet/nc не заморачиваться. Али может тулзы какие специальные?специальная тулза:
$nmap -sS -T Polite -p<port1>,<port2>,<portN>... <target>
ясно, в общем без алиасов не обойтись. спасибо, мил человек, уважил дедушку-анонимуса
> специальная тулза:Неткат/телнет/вгет/... :)
> вот спасибо авторам, за то что вкусно пишут нам!
> а для тех кто не читал - штатный ssh (клиент) умеет port
> knocking? ну чтоб telnet/nc не заморачиваться. Али может тулзы какие специальные?http://roland.entierement.nu/blog/2008/08/19/netfilter-based...
---
Где-то тут на форуме я скриптик писал, который раз в час генерит новые порты для простука
отсылает почту с уведомлением о доставке и только тогда меняет порты. :)
> http://roland.entierement.nu/blog/2008/08/19/netfilter-based...Годно. Кому не лень - добавьте в новость.
>> вот спасибо авторам, за то что вкусно пишут нам!
>> а для тех кто не читал - штатный ssh (клиент) умеет port
>> knocking? ну чтоб telnet/nc не заморачиваться.ProxyCommand в ~/.ssh/config + netcat и, таки да, как бы скрипт.
>> Али может тулзы какие специальные?
Конечно! Ищите knocking в ближайшем к Вам app-store.
> http://roland.entierement.nu/blog/2008/08/19/netfilter-based...
Я себе ноком повесил один пинг _размером NMYZ байт. Одна строчка с -m recent. Всё лучше, чем перевешивание sshd на другой порт. Вписал ping в ~/.ssh/config. Да, netcat нужен, но без скриптов обошёлся.
> ---
> Где-то тут на форуме я скриптик писал, который раз в час генеритhttp://www.google.com/search?q=iptables+knock+site:opennet.ru
и там же //knock скрипт pavlinux> отсылает почту с уведомлением о доставке и только тогда меняет порты. :)
И ждёт, и читает это уведомление?B-O
> И ждёт, и читает это уведомление?B-OДа уже выкинул давно всё это, от скан-ботов - смены порта хватает,
от бутфорса - генератор паролей и 5 соединений в сек., больше - бан на три минуты.
и к тому же есть PAM с белым списком.