Klepanie portov na Debiane

Pravdepodobne ste už zmenili predvolený port SSH. Napriek tomu môžu hackeri ľahko skenovať rozsahy portov, aby našli tento port - ale pomocou klepania portov môžete oklamať skenery portov. Funguje to tak, že váš klient SSH sa pokúša pripojiť k sekvencii portov, z ktorých všetky odmietnu vaše pripojenie, ale odomknú špecifikovaný port, ktorý vaše pripojenie umožňuje. Veľmi bezpečné a jednoduché na inštaláciu. Klepanie portov je jedným z najlepších spôsobov, ako chrániť váš server pred neoprávnenými pokusmi o pripojenie SSH.

Tento článok vás naučí, ako nastaviť klepanie portov. Bol napísaný pre Debian 7 (Wheezy), ale môže fungovať aj na iných verziách Debianu a Ubuntu.

Krok 1: Inštalácia požadovaných balíkov

Predpokladám, že už máte nainštalovaný SSH server. Ak nie, spustite nasledujúce príkazy ako root:

apt-get update
apt-get install openssh-server
apt-get install knockd

Potom nainštalujte iptables.

apt-get install iptables

Nie je potrebné inštalovať veľa balíčkov – práve preto je ideálnym riešením na ochranu pred pokusmi o hrubú silu a zároveň sa jednoducho nastavuje.

Krok 2: Konfigurácia iptables na používanie tejto funkcie

Pretože sa váš port SSH po pripojení zatvorí, musíme sa uistiť, že vám server umožňuje zostať pripojený a zároveň blokovať ďalšie pokusy o pripojenie. Vykonajte tieto príkazy na svojom serveri ako root.

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
apt-get install iptables-persistent
iptables-save

To umožní, aby existujúce pripojenia zostali, ale blokovali čokoľvek iné k vášmu portu SSH.

Teraz nakonfigurujme knockd.

Tu sa stane kúzlo - budete si môcť vybrať, ktoré porty bude potrebné najskôr zaklepať. Otvorte textový editor súboru /etc/knockd.conf.

nano /etc/knockd.conf

Bude tam sekcia, ktorá vyzerá ako nasledujúci blok.

[openSSH]
    sequence    = 7000,8000,9000
    seq_timeout = 5
    command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

V tejto časti budete môcť zmeniť poradie portov, ktoré je potrebné zaklopať. Zatiaľ zostaneme pri portoch 7000, 8000 a 9000. Zmeňte seq_timeout = 5na seq_timeout = 10a pre closeSSHsekciu urobte to isté pre seq_timeoutlinku. V closeSSHsekcii je tiež sekvenčný riadok , ktorý musíte tiež upraviť.

Musíme povoliť knockd, takže znova otvorte editor ako root.

nano /etc/default/knockd

Zmeňte 0 v sekcii START_KNOCKDna 1, potom uložte a ukončite.

Teraz začnite klopať:

service knockd start

skvelé! Všetko je nainštalované. Ak sa odpojíte od servera, budete musieť zaklopať porty 7000, 8000 a 9000, aby ste sa znova pripojili.

Krok 3: Poďme to vyskúšať

Ak bolo všetko nainštalované správne, nemali by ste byť schopní pripojiť sa k serveru SSH.

Klopanie portov môžete otestovať pomocou klienta telnet.

Používatelia systému Windows môžu spustiť telnet z príkazového riadka. Ak telnet nie je nainštalovaný, prejdite do časti „Programy“ ovládacieho panela a vyhľadajte „Zapnúť alebo vypnúť funkcie systému Windows“. Na paneli funkcií nájdite "Telnet Client" a povoľte ho.

Vo svojom termináli/príkazovom riadku zadajte:

telnet youripaddress 7000
telnet youripaddress 8000
telnet youripaddress 9000

Urobte to všetko za desať sekúnd, pretože to je limit stanovený v konfigurácii. Teraz sa pokúste pripojiť k serveru cez SSH. Bude prístupný.

Ak chcete zatvoriť server SSH, spustite príkazy v opačnom poradí.

telnet youripaddress 9000
telnet youripaddress 8000
telnet youripaddress 7000

Záver

Najlepšie na používaní klepania portov je, že ak je nakonfigurované spolu s autentifikáciou súkromným kľúčom, nie je prakticky žiadna šanca, že by sa tam mohol dostať niekto iný, pokiaľ niekto nepozná porty a súkromný kľúč.