|
Dimensione: 7261
Commento:
|
← Versione 65 del 14/03/2011 12.53.08 ⇥
Dimensione: 7595
Commento: converted to 1.6 markup
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 6: | Linea 6: |
| [[BR]] [[Indice()]] [[VersioniSupportate(hardy intrepid)]] |
<<BR>> <<Indice>> <<Informazioni(rilasci="8.04")>> |
| Linea 13: | Linea 13: |
| Se s'inviano dei pacchetti a delle porte prestabilite sulle quali un demone è in ascolto e nel caso la sequenza sia corretta, questi attiverà un comando che potrà eseguire delle regole di [:Sicurezza/Iptables:iptables] che apriranno le porte necessarie alla connessione. Il vantaggio è notevole in quanto il server potrebbe rimanere sempre in ''stealth'' e aprire le porte per un determinato servizio solo in caso di necessità. | Se s'inviano dei pacchetti a delle porte prestabilite sulle quali il demone è in ascolto e nel caso la sequenza sia corretta, questi attiverà un comando che potrà eseguire delle regole di [[Sicurezza/Iptables|iptables]] che apriranno le porte necessarie alla connessione. Il vantaggio è notevole in quanto il server potrebbe rimanere sempre in ''stealth'' e aprire le porte per un determinato servizio solo in caso di necessità. |
| Linea 17: | Linea 17: |
| È necessario che il firewall [:Sicurezza/Iptables: iptables] sia configurato e attivo. | È necessario che il firewall [[Sicurezza/Iptables| iptables]] sia configurato e attivo. |
| Linea 21: | Linea 21: |
| Per utilizzare le tecniche di '''Port knocking''' è necessario [:AmministrazioneSistema/InstallareProgrammi:installare] il pacchetto ''knockd'', reperibile dal [:Repository/Componenti:componente] '''universe''' dei [:Repository:repository ufficiali]. | Per utilizzare le tecniche di '''Port knocking''' è necessario [[AmministrazioneSistema/InstallareProgrammi|installare]] il pacchetto ''knockd'', reperibile dal [[Repository/Componenti|componente]] '''universe''' dei [[Repository|repository ufficiali]]. |
| Linea 24: | Linea 24: |
| 0. Per fare in modo che il demone parta all'avvio del computer modificare con un [:Ufficio/EditorDiTesto:editor di testo] e con i [:AmministrazioneSistema/Sudo:privilegi di amministrazione] il file `/etc/default/knockd` in questo modo:{{{ | 0. Per fare in modo che il demone parta all'avvio del computer modificare con un [[Ufficio/EditorDiTesto|editor di testo]] e con i [[AmministrazioneSistema/Sudo|privilegi di amministrazione]] il file `/etc/default/knockd` in questo modo:{{{ |
| Linea 28: | Linea 29: |
| 0. Sempre nel medesimo file `/etc/default/knockd` modificare con un [:Ufficio/EditorDiTesto:editor di testo] e con i [:AmministrazioneSistema/Sudo:privilegi di amministrazione] impostando su quale interfaccia il demone dovrà rimanere in ascolto:{{{ | 0. Sempre nel medesimo file `/etc/default/knockd` modificare con un [[Ufficio/EditorDiTesto|editor di testo]] e con i [[AmministrazioneSistema/Sudo|privilegi di amministrazione]] indicando su quale interfaccia il demone dovrà rimanere in ascolto:{{{ |
| Linea 32: | Linea 33: |
| = Configurazione per l'apertura di una sola porta = | = Configurazione knockd.conf per l'apertura di una sola porta = |
| Linea 34: | Linea 35: |
| 0. Modificare con un [:Ufficio/EditorDiTesto:editor di testo] e con i [:AmministrazioneSistema/Sudo:privilegi di amministrazione] il file `/etc/knockd.conf` impostandolo come segue:{{{ | Modificare con un [[Ufficio/EditorDiTesto|editor di testo]] e con i [[AmministrazioneSistema/Sudo|privilegi di amministrazione]] il file `/etc/knockd.conf` impostandolo come segue:{{{ |
| Linea 42: | Linea 43: |
| Linea 54: | Linea 56: |
| Linea 58: | Linea 59: |
| Linea 59: | Linea 61: |
| Linea 61: | Linea 64: |
| Linea 62: | Linea 66: |
| # Ulteriore filtro, sul tipo di flag del pacchetto iviato alla sequenza di porte. | |
| Linea 64: | Linea 69: |
| Si noti la variabile "%IP%": questa passa alla regola di iptables l'indirizzo che ha effettuato la giusta "bussata". In questo caso viene creata una regola che permette l'apertura della porta SSH discriminando solo l'ip validato. | La variabile «%IP%» passa alla regola di iptables l'indirizzo che ha effettuato la richiesta di connessione, in questo caso verrà permessa l'apertura della porta SSH discriminando solo l'IP validato. |
| Linea 66: | Linea 71: |
| = Configurazione per l'apertura di più porte = | = Configurazione knockd.conf per l'apertura di più porte = |
| Linea 68: | Linea 73: |
| Nell'esempio sopra esposto si è visto come aprire una sola porta, quella SSH. Se l'esigenza fosse però di aprire più porte potremmo procedere nel creare tante sessioni [open...] e [close...] quante servono. Questo sistema risulta però scomodo per ovvi motivi. E' possibile però usare gli script:{{{ | Nell'esempio sopra esposto si è visto come aprire una sola porta. Se l'esigenza fosse però quella di aprirne di più procedere creando più sessioni «[openServizio]» e «[closeServizio]». Questo sistema risulta però scomodo per ovvi motivi, per ottenere lo stesso risultato è consigliato usare degli script. |
| Linea 70: | Linea 75: |
| Modificare con un [[Ufficio/EditorDiTesto|editor di testo]] e con i [[AmministrazioneSistema/Sudo|privilegi di amministrazione]] il file `/etc/knockd.conf` impostandolo come segue:{{{ | |
| Linea 87: | Linea 93: |
| In questo caso invece di eseguire direttamente iptables si richiamano due script passando il parametro "%IP%". Per esempio: | In questo caso invece di eseguire direttamente iptables si richiamano due script passando il parametro «%IP%» alla variabile speciale «$1». |
| Linea 89: | Linea 95: |
| == Esempio di script: open_ports == {{{ |
== Esempio di script open_ports == Modificare con un [[Ufficio/EditorDiTesto|editor di testo]] e con i [[AmministrazioneSistema/Sudo|privilegi di amministrazione]] il file `/etc/open_ports` impostandolo come segue:{{{ |
| Linea 103: | Linea 108: |
| == Esempio di script: close_ports == {{{ |
== Esempio di script close_ports == Modificare con un [[Ufficio/EditorDiTesto|editor di testo]] e con i [[AmministrazioneSistema/Sudo|privilegi di amministrazione]] il file `/etc/close_ports` impostandolo come segue:{{{ |
| Linea 119: | Linea 123: |
| In realtà potrebbe essere sufficiente telnet o netcat ma sono comodi i client che si trovano sul sito di zeroflux. La sintassi corretta con i client di zeroflux è: == Esempio di comando client == - [[Anchor(comando_client)]] {{{ knock -v ip_host port1 port2 port3 port... }}} |
Di seguito viene mostrato come configurare i client a dipendenza del sistema operativo utilizzato. |
| Linea 132: | Linea 127: |
| Scaricare i sorgenti "Debian Package" da [http://www.zeroflux.org/cgi-bin/cvstrac.cgi/knock/wiki], scompattarli in una directory, entrare nella directory `knock-0.x/src` e digitare {{{ |
Scaricare i sorgenti da [[http://www.zeroflux.org/cgi-bin/cvstrac.cgi/knock/wiki|questo indirizzo]] all'interno della propria '''Home''' e [[AmministrazioneSistema/FormatiDiCompressione| scompattarli]], entrare nella cartella `knock-0.x/src` e digitare all'interno di una finestra di terminale il seguente comando:{{{ |
| Linea 138: | Linea 131: |
| A questo punto aprire una sessione del terminale e digitare il comando come da [#comando_client Esempio di comando client] |
Sempre da una finestra di terminale digitare il [[#comando_client|comando per la connessione]]. |
| Linea 143: | Linea 135: |
| Scaricare il precompilato: [http://www.zeroflux.org/knock/files/knock.exe] Lanciare da una sessione DOS come da [#comando_client Esempio di comando client]. |
Scaricare da [[http://www.zeroflux.org/knock/files/knock.exe|questo indirizzo]] e digitare all'interno di una finestra DOS il [[#comando_client|comando per la connessione]] tralasciando la prima parte «./» |
| Linea 149: | Linea 139: |
| Vedi MacOS Client da [http://www.zeroflux.org/cgi-bin/cvstrac.cgi/knock/wiki] | Consultare la [[http://www.zeroflux.org/cgi-bin/cvstrac.cgi/knock/wiki|relativa pagina]]. |
| Linea 151: | Linea 141: |
| = Note = | <<Anchor(comando_client)>> |
| Linea 153: | Linea 143: |
| Si consiglia vivamente di non mantenere le porte di default. Queste possono essere a scelta tra 0 e 65535, preferibilmente non usare porte occupate. Si può configurare anche una chiusura temporizzata delle porte oppure usare sequenze progressive programmate valide solo una volta. Per questi ed altri parametri controllare il wiki di zeroflux che si trova nei riferimenti. Esistono altre soluzioni per il port knocking, vedere la sezione riferimenti. |
= Connessione = Per effettuare la connessione digitare il seguente comando all'interno di una finestra di terminale:{{{ ./knock -v ip_host port1 port2 port3 port... }}} Nel caso una porta sia configurata tramite il protocollo UDP, usare la sintassi «port:udp» |
| Linea 160: | Linea 153: |
| Port knocking in perl: | |
| Linea 162: | Linea 154: |
| [http://www.portknocking.org/] Il progetto trattato in questa sede è stato creato da Judd Vinet e il wiki con i link ai vari client si può trovare qui: [http://www.zeroflux.org/cgi-bin/cvstrac.cgi/knock/wiki] The PortKnockO Project [http://portknocko.berlios.de/] TCP Flags [http://www.openskill.info/infobox.php?ID=694] Bash e script [http://wiki.ubuntu-it.org/Programmazione/LinguaggioBash] |
* [[http://www.zeroflux.org/cgi-bin/cvstrac.cgi/knock/wiki|Sito ufficiale del progetto]] * [[http://www.portknocking.org/|Port knocking in perl]] * [[http://portknocko.berlios.de/|Sito ufficiale del progetto PortKnockO]] * [[http://www.openskill.info/infobox.php?ID=694|Documentazione sui TCP Flag ]] |
Introduzione
Le tecniche di Port knocking permettono di aumentare considerevolmente la sicurezza di un server che deve garantire alcuni servizi non permanenti attraverso IP pubblici. Se s'inviano dei pacchetti a delle porte prestabilite sulle quali il demone è in ascolto e nel caso la sequenza sia corretta, questi attiverà un comando che potrà eseguire delle regole di iptables che apriranno le porte necessarie alla connessione. Il vantaggio è notevole in quanto il server potrebbe rimanere sempre in stealth e aprire le porte per un determinato servizio solo in caso di necessità.
Preparativi
È necessario che il firewall iptables sia configurato e attivo.
Installazione
Per utilizzare le tecniche di Port knocking è necessario installare il pacchetto knockd, reperibile dal componente universe dei repository ufficiali.
Configurazione knockd
Per fare in modo che il demone parta all'avvio del computer modificare con un editor di testo e con i privilegi di amministrazione il file /etc/default/knockd in questo modo:
START_KNOCKD=1
Sempre nel medesimo file /etc/default/knockd modificare con un editor di testo e con i privilegi di amministrazione indicando su quale interfaccia il demone dovrà rimanere in ascolto:
KNOCKD_OPTS="-i eth0"
Configurazione knockd.conf per l'apertura di una sola porta
Modificare con un editor di testo e con i privilegi di amministrazione il file /etc/knockd.conf impostandolo come segue:
[options]
logfile = /var/log/knockd.log
[openSSH]
sequence = 7000,8000,9000
# Questa è la sequenza delle porte sulle quali knockd rimarrà in ascolto. Di default il protocollo è TCP.
# Quali e quante porte usare è discrezionale.
# sequence = 7000:udp,8000:tcp,9000:udp
# Esempio con sequenza con porte miste udp/tcp
seq_timeout = 30
#Tempo di attesa massimo per completare la sequenza.
command = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
# Quando la sequenza verrà accettata verrà inserita una regola che aprirà la porta SSH standard.
tcpflags = syn
# Ulteriore filtro, sul tipo di flag del pacchetto iviato alla sequenza di porte.
[closeSSH]
sequence = 9000,8000,7000
# Questa è un'altra sequenza di porte sulle quali knockd rimarrà in ascolto.
seq_timeout = 30
command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
# Quando la sequenza verrà accettata verrà inserita una regola che cancellerà quella creata in precedenza.
tcpflags = syn
# Ulteriore filtro, sul tipo di flag del pacchetto iviato alla sequenza di porte.La variabile «%IP%» passa alla regola di iptables l'indirizzo che ha effettuato la richiesta di connessione, in questo caso verrà permessa l'apertura della porta SSH discriminando solo l'IP validato.
Configurazione knockd.conf per l'apertura di più porte
Nell'esempio sopra esposto si è visto come aprire una sola porta. Se l'esigenza fosse però quella di aprirne di più procedere creando più sessioni «[openServizio]» e «[closeServizio]». Questo sistema risulta però scomodo per ovvi motivi, per ottenere lo stesso risultato è consigliato usare degli script.
Modificare con un editor di testo e con i privilegi di amministrazione il file /etc/knockd.conf impostandolo come segue:
[options]
logfile = /var/log/knockd.log
[open]
sequence = 7000,8000,9000
seq_timeout = 30
tcpflags = syn
command = sh /etc/open_ports %IP%
[close]
sequence = 9000,8000,7000
seq_timeout = 30
tcpflags = syn
command = sh /etc/close_ports %IP%In questo caso invece di eseguire direttamente iptables si richiamano due script passando il parametro «%IP%» alla variabile speciale «$1».
Esempio di script open_ports
Modificare con un editor di testo e con i privilegi di amministrazione il file /etc/open_ports impostandolo come segue:
iptables -A INPUT -s $1 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s $1 -p tcp --dport 21 -j ACCEPT iptables -A INPUT -s $1 -p tcp --dport 631 -j ACCEPT iptables -A INPUT -s $1 -p tcp --dport 5125 -j ACCEPT iptables -A INPUT -s $1 -p tcp --dport 5126 -j ACCEPT iptables -A INPUT -s $1 -p tcp --dport 8888 -j ACCEPT iptables -A INPUT -s $1 -p tcp --dport 10000 -j ACCEPT iptables -A INPUT -s $1 -p tcp --dport 81 -j ACCEPT
Esempio di script close_ports
Modificare con un editor di testo e con i privilegi di amministrazione il file /etc/close_ports impostandolo come segue:
iptables -D INPUT -s $1 -p tcp --dport 22 -j ACCEPT iptables -D INPUT -s $1 -p tcp --dport 21 -j ACCEPT iptables -D INPUT -s $1 -p tcp --dport 631 -j ACCEPT iptables -D INPUT -s $1 -p tcp --dport 5125 -j ACCEPT iptables -D INPUT -s $1 -p tcp --dport 5126 -j ACCEPT iptables -D INPUT -s $1 -p tcp --dport 8888 -j ACCEPT iptables -D INPUT -s $1 -p tcp --dport 10000 -j ACCEPT iptables -D INPUT -s $1 -p tcp --dport 81 -j ACCEPT
Client
Di seguito viene mostrato come configurare i client a dipendenza del sistema operativo utilizzato.
Linux
Scaricare i sorgenti da questo indirizzo all'interno della propria Home e scompattarli, entrare nella cartella knock-0.x/src e digitare all'interno di una finestra di terminale il seguente comando:
gcc -o knock knock.c
Sempre da una finestra di terminale digitare il comando per la connessione.
Windows
Scaricare da questo indirizzo e digitare all'interno di una finestra DOS il comando per la connessione tralasciando la prima parte «./»
OSX
Consultare la relativa pagina.
Connessione
Per effettuare la connessione digitare il seguente comando all'interno di una finestra di terminale:
./knock -v ip_host port1 port2 port3 port...
Nel caso una porta sia configurata tramite il protocollo UDP, usare la sintassi «port:udp»
