Port Knocking v Debianu

Do zdaj ste verjetno spremenili privzeta vrata SSH. Kljub temu lahko hekerji zlahka pregledajo obsege vrat, da odkrijejo ta vrata - vendar s trkanjem vrat lahko preslepite skenerje vrat. Deluje tako, da se vaš odjemalec SSH poskuša povezati z zaporedjem vrat, ki bodo vsa zavrnila vašo povezavo, vendar odklenila določena vrata, ki omogočajo vašo povezavo. Zelo varen in enostaven za namestitev. Trkanje vrat je eden najboljših načinov za zaščito vašega strežnika pred nepooblaščenimi poskusi povezave SSH.

Ta članek vas bo naučil, kako nastaviti trkanje vrat. Napisan je bil za Debian 7 (Wheezy), lahko pa deluje tudi na drugih različicah Debiana in Ubuntuja.

1. korak: Namestitev zahtevanih paketov

Predvidevam, da ste že namestili strežnik SSH. Če še niste, zaženite naslednje ukaze kot root:

apt-get update
apt-get install openssh-server
apt-get install knockd

Nato namestite iptables.

apt-get install iptables

Paketov za namestitev ni veliko – zaradi tega je popolna rešitev za zaščito pred poskusi surove sile, hkrati pa je enostavna za nastavitev.

2. korak: Konfiguriranje iptables za uporabo te funkcije

Ker se bodo vaša vrata SSH po vzpostavitvi povezave zaprla, se moramo prepričati, da vam strežnik omogoča, da ostanete povezani, medtem ko blokiramo druge poskuse povezave. Izvedite te ukaze na svojem strežniku kot root.

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
apt-get install iptables-persistent
iptables-save

To bo omogočilo, da obstoječe povezave ostanejo, vendar blokirate karkoli drugega do vaših vrat SSH.

Zdaj pa konfigurirajmo knockd.

Tu se zgodi čarovnija – lahko boste izbrali, katera vrata boste morali najprej prekiniti. Odprite urejevalnik besedil za datoteko /etc/knockd.conf.

nano /etc/knockd.conf

Na voljo bo razdelek, ki je videti kot naslednji blok.

[openSSH]
    sequence    = 7000,8000,9000
    seq_timeout = 5
    command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

V tem razdelku boste lahko spremenili zaporedje vrat, ki jih je treba prekiniti. Za zdaj, bomo ostali v pristaniščih 7000, 8000 in 9000. Spremenite seq_timeout = 5da seq_timeout = 10, in na closeSSHoddelku, storijo enako za seq_timeoutlinijo. V closeSSHrazdelku je tudi vrstica zaporedja, ki jo morate spremeniti.

Omogočiti moramo knockd, zato znova odprite urejevalnik kot root.

nano /etc/default/knockd

Spremenite 0 v razdelku START_KNOCKDna 1, nato shranite in zapustite.

Zdaj pa začni trkati:

service knockd start

Super! Vse je nameščeno. Če prekinete povezavo s strežnikom, boste morali prekiniti vrata 7000, 8000 in 9000, da se znova povežete.

3. korak: poskusimo

Če je bilo vse pravilno nameščeno, se ne bi smeli povezati s strežnikom SSH.

Trkanje vrat lahko preizkusite z odjemalcem telnet.

Uporabniki sistema Windows lahko zaženejo telnet iz ukaznega poziva. Če telnet ni nameščen, odprite razdelek »Programi« na nadzorni plošči in poiščite »Vklop ali izklop funkcij sistema Windows«. Na plošči s funkcijami poiščite "Odjemalec Telnet" in ga omogočite.

V terminalu/ukaznem pozivu vnesite:

telnet youripaddress 7000
telnet youripaddress 8000
telnet youripaddress 9000

Vse to naredite v desetih sekundah, saj je to meja, določena v konfiguraciji. Zdaj se poskusite povezati s strežnikom prek SSH. Dostopno bo.

Če želite zapreti strežnik SSH, zaženite ukaze v obratnem vrstnem redu.

telnet youripaddress 9000
telnet youripaddress 8000
telnet youripaddress 7000

Zaključek

Najboljši del uporabe port knocking je, da če je konfiguriran poleg preverjanja pristnosti zasebnega ključa, praktično ni možnosti, da bi kdo drug prišel, razen če nekdo pozna vrata in zasebni ključ.