पोर्ट खटखटाना या ssh द्वारा खुद को पाशविकता से कैसे बचाएं

हम कष्टप्रद क्रूरता और पोर्ट स्कैनर के खिलाफ लड़ाई के बारे में बात करेंगे, जो हर संभव तरीके से सर्वर तक पहुंच प्राप्त करने का प्रयास करते हैं। लेख पोर्ट नॉकिंग तकनीक के बारे में बात करेगा, जो आपको बंदरगाहों को छिपाकर सर्वर तक सुरक्षित पहुंचने की अनुमति देता है।

तकनीक के बारे में थोड़ा सा

पोर्ट नॉकिंग में एक दिलचस्प विशेषता है। यह बंद बंदरगाहों से जुड़ने के कई प्रयास करता है। आप पूछते हैं: "यह क्यों आवश्यक है?" आइए कल्पना करें कि आप पहुंच नियंत्रण के साथ किसी संगठन में साक्षात्कार के लिए आए थे। सबसे पहले आप (1) सुरक्षा पद पर पहुँचते हैं, जहाँ एक पास आपको लिखा जाता है, फिर (2) आपको कार्मिक विभाग में ले जाता है, जहाँ आप प्रश्नावली भरते हैं और आपसे बात करते हैं, और अंततः (3) आप प्रबंधक के कार्यालय में पहुँचते हैं, जो अंतिम कार्य करता है। बातचीत और एक निर्णय करता है। अब सोचिए कि अगर हर कोई सीधे मैनेजर के पास जाना चाहे तो क्या होगा?

पोर्ट नॉकिंग तकनीक बंद बंदरगाहों से जुड़ने के प्रयासों की एक श्रृंखला बनाती है। सभी पोर्ट बंद होने के बावजूद, आप फ़ायरवॉल की लॉग फ़ाइलों में सभी कनेक्शन प्रयासों को ट्रैक कर सकते हैं। सर्वर, सबसे अधिक बार, किसी भी तरह से इन कनेक्शनों का जवाब नहीं देता है, लेकिन यह उन्हें पढ़ता है और संसाधित करता है। लेकिन अगर कनेक्शन की श्रृंखला पहले उपयोगकर्ता द्वारा निर्दिष्ट की गई थी, तो एक निश्चित कार्रवाई की जाएगी। एक उदाहरण के रूप में, पोर्ट 22 पर एक एसएसएच सेवा से कनेक्ट करना। पोर्ट नॉकिंग आपको केवल इस कार्रवाई से अधिक प्रदर्शन करने की अनुमति देता है। एक ट्रिगर आपको अन्य कार्यों (जैसे, पावर ऑफ, सिस्टम रिबूट, आदि) करने की अनुमति देता है।

FreeBSD पर स्थापना

रिमोट मशीन पर, हमारे पास FreeBSD 9.1 है
पोर्ट नॉकिंग में दो कार्यक्रम होते हैं:
- सर्वर (नॉक)
- ग्राहक (दस्तक)

मैं सर्वर साइड कॉन्फ़िगरेशन का एक उदाहरण दूंगा।

# cd /usr/ports/ # make search key=knocking Port: doorman-0.81_1 Path: /usr/ports/security/doorman Info: Port knocking implementation, both daemon and client Maint: lupe@lupe-christoph.de B-deps: lsof-4.88.d,8 R-deps: lsof-4.88.d,8 WWW: http://doorman.sourceforge.net/ Port: knock-0.5_1,1 Path: /usr/ports/security/knock Info: Flexible port-knocking server and client Maint: sbz@FreeBSD.org B-deps: R-deps: WWW: http://www.zeroflux.org/projects/knock 

पोर्ट के साथ डायरेक्टरी पर जाएं और कॉन्फ़िगर करें।

 cd /usr/ports/security/knock make config 

हम सर्वर साइड पर एक मार्कर रखते हैं, और फिर हम पैकेज को इकट्ठा करते हैं और स्थापित करते हैं।

विन्यास

अब इसे स्थापित करने के लिए नीचे उतरें।
सबसे पहले, config की प्रतिलिपि बनाएँ।

 # cd /usr/local/etc/ # cp knockd.conf.sample knockd.conf 

नेटवर्क पर कॉन्फ़िगरेशन सेटिंग्स की कई विविधताएं हैं, मैं अपना खुद का पता लगाऊंगा।
knockd.conf

 [options] logfile = /var/log/knockd.log interface = em0 [opencloseSSH] sequence = 7000:udp,7007:tcp,7777:udp seq_timeout = 5 tcpflags = syn start_command = /sbin/pfctl -t good_hosts -T add %IP% cmd_timeout = 10 stop_command = /sbin/pfctl -t good_hosts -T delete %IP% [open22] sequence = 7134:tcp,7675:tcp,7253:udp seq_timeout = 5 tcpflags = syn command = /sbin/pfctl -t good_hosts -T add %IP% [close22] sequence = 7253:udp,7675:tcp,7134:tcp seq_timeout = 5 tcpflags = syn command = /sbin/pfctl -t good_hosts -T delete %IP% 

हम कॉन्फ़िगरेशन को सहेजते हैं, इसे ऑटोरन में जोड़ते हैं और सेवा शुरू करते हैं।

 # cd /usr/local/etc/rc.d/ # echo knockd_enable=\"YES\" >> /etc/rc.conf # service knockd start 

फ़ायरवॉल सेटअप

यदि आपके पास यह अक्षम है, तो सबसे पहले, फ़ायरवॉल समर्थन को सक्षम करें (जैसा कि मेरे मामले में था)

 echo pf=\"YES\" >> /etc/rc.conf 

मैं इस प्रक्रिया को दूरस्थ रूप से करने की सलाह नहीं देता, क्योंकि हम ssh के माध्यम से सभी कनेक्शन और एक्सेस प्राप्त नहीं करेंगे।
नोट: यदि आपने इसका पालन नहीं किया और इस कार्रवाई को दूरस्थ रूप से किया, तो समस्या को sshhd-config में रूट लॉगिन सहित हल किया जा सकता है।

/etc/pf.conf

 ext_if="rl0" table <good_hosts> persist block in on $ext_if all pass in on $ext_if inet proto tcp from <good_hosts> \ to $ext_if port 22 keep state 

हम फ़ायरवॉल सेटिंग्स में नियम बनाते हैं

 /sbin/ipfw add 100 allow tcp from %IP% to me 22 keep-state /sbin/ipfw delete 100 

रीबूट।

दस्तक

कनेक्ट करने के लिए, मैंने MacOS के लिए एक तृतीय-पक्ष क्लाइंट का उपयोग किया - हिपिंग।

 # knock -v *e*m*o*c*.ru 7000:udp,7007:tcp,7777:udp hitting udp *1.*0*.*3*.*0:7000 hitting tcp *1.*0*.*3*.*0:7007 hitting udp *1.*0*.*3*.*0:7777 # ssh *e*m*o*c*.ru -l root Password: Last login: Thu May 9 11:30:40 2013 from ***** FreeBSD 9.1-RELEASE-p3 (GENERIC) #0: Mon Apr 29 18:11:52 UTC 2013 root@*e*m*o*c*:/root #