Port Knocking a Debian

A hores d'ara, probablement heu canviat el vostre port SSH predeterminat. Tot i així, els pirates informàtics poden escanejar fàcilment els intervals de ports per descobrir aquest port, però amb el cop de port, podeu enganyar els escàners de ports. Com funciona és que el vostre client SSH intenta connectar-se a una seqüència de ports, tots els quals rebutjaran la vostra connexió, però desbloquejaran un port especificat que permet la vostra connexió. Molt segur i fàcil d'instal·lar. El cop de port és una de les millors maneres de protegir el vostre servidor dels intents de connexió SSH no autoritzats.

Aquest article us ensenyarà com configurar el toc de port. Va ser escrit per a Debian 7 (Wheezy), però també pot funcionar amb altres versions de Debian i Ubuntu.

Pas 1: instal·lar els paquets necessaris

Suposo que ja heu instal·lat un servidor SSH. Si no ho heu fet, executeu les ordres següents com a root:

apt-get update
apt-get install openssh-server
apt-get install knockd

A continuació, instal·leu iptables.

apt-get install iptables

No hi ha molts paquets per instal·lar, això és el que la converteix en la solució perfecta per protegir-se dels intents de força bruta alhora que és fàcil de configurar.

Pas 2: Configuració d'iptables per utilitzar aquesta funció

Com que el vostre port SSH es tancarà després de connectar-vos, ens hem d'assegurar que el servidor us permeti romandre connectat mentre bloquegeu altres intents de connexió. Executeu aquestes ordres al vostre servidor com a root.

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
apt-get install iptables-persistent
iptables-save

Això permetrà mantenir les connexions existents, però bloquejarà qualsevol altra cosa al vostre port SSH.

Ara, configurem knockd.

Aquí és on succeeix la màgia: podreu triar quins ports haureu de tocar al principi. Obriu un editor de text al fitxer /etc/knockd.conf.

nano /etc/knockd.conf

Hi haurà una secció que semblarà al bloc següent.

[openSSH]
    sequence    = 7000,8000,9000
    seq_timeout = 5
    command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

En aquesta secció, podreu canviar la seqüència de ports que cal tocar. De moment, ens quedarem amb els ports 7000, 8000 i 9000. Canvieu seq_timeout = 5a seq_timeout = 10, i per a la closeSSHsecció, feu el mateix per a la seq_timeoutlínia. També hi ha una línia de seqüència a la closeSSHsecció que també cal modificar.

Hem d'habilitar knockd, així que obriu el vostre editor com a root de nou.

nano /etc/default/knockd

Canvieu el 0 de la secció START_KNOCKDa 1, després deseu i sortiu.

Ara, comença a tocar:

service knockd start

Genial! Tot està instal·lat. Si us desconnecteu del vostre servidor, haureu de tocar els ports 7000, 8000 i 9000 per tornar a connectar-vos.

Pas 3: provem-ho

Si tot s'ha instal·lat correctament, no hauríeu de poder connectar-vos al vostre servidor SSH.

Podeu provar el toc de port amb un client telnet.

Els usuaris de Windows poden iniciar telnet des de l'indicador d'ordres. Si telnet no està instal·lat, accediu a la secció "Programes" del Tauler de control i, a continuació, localitzeu "Activar o desactivar les funcions de Windows". Al tauler de funcions, localitzeu "Client Telnet" i activeu-lo.

Al terminal/indicador d'ordres escriviu:

telnet youripaddress 7000
telnet youripaddress 8000
telnet youripaddress 9000

Feu-ho tot en deu segons, ja que aquest és el límit imposat a la configuració. Ara, intenteu connectar-vos al vostre servidor mitjançant SSH. Serà accessible.

Per tancar el servidor SSH, executeu les ordres en ordre invers.

telnet youripaddress 9000
telnet youripaddress 8000
telnet youripaddress 7000

Conclusió

La millor part d'utilitzar el toc de ports és que si es configura juntament amb l'autenticació de clau privada, pràcticament no hi ha cap possibilitat que algú altre pugui entrar tret que algú conegués els ports i la clau privada.