Anmelden
Benutzerkonto erstellen
Das setzt aber voraus das der Port geöffnet ist was jedoch ein lohnendes Angriffs ziehl für jeden von uns ist
Was können wir also tun wenn der Port nur Temporär für eine IP geöffnet werden soll?
Das Zauberwort heist KnockD, und hier will ich euch kurz erklären wie ihr es einrichtet.
Folgendes haben wir als ausgangs Situation.
Vorraussetzung für die Umsetzung solch einer Lösung mit knockd ist ein installiertes und konfiguriertes iptables.
Beispielkonfiguration:
#cat ./iptables-rules.sh
iptables --flush
#ssh
iptables -A INPUT -d 85.214.25.36 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
(xxx.xxx.xxx.xxx) steht für eure fixe ip
#Postfix/Sendmail
iptables -A INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 25 -j ACCEPT
#FTP
iptables -A INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 20:21 -j ACCEPT
#passice FTP
iptables -A INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 50000:50050 -j ACCEPT
#HTTP
iptables -A INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 80 -j ACCEPT
#SSL/Apache
iptables -A INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 443 -j ACCEPT
#IMAP
iptables -A INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 143 -j ACCEPT
#IMAPS
iptables -A INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 993 -j ACCEPT
#POP3
iptables -A INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 110 -j ACCEPT
#POP3S
iptables -A INPUT -d xxx.xxx.xxx.xxx -p tcp --dport 995 -j ACCEPT
#any traffic from localhost
iptables -A INPUT -d xxx.xxx.xxx.xxx -s 127.0.0.1 -j ACCEPT
#ICMP
iptables -A INPUT -d xxx.xxx.xxx.xxx -p icmp -j ACCEPT
GLOBAL REJECT
iptables -A INPUT -d xxx.xxx.xxx.xxx -j REJECT
So oder ähnlich wird die iptables Konfiguration auf dem System aussehen.
Im weiteren Vorgehen ist nun der Portknockdaemon zu installieren.
#apt-get install knockd
(Ich liebe debian)
Danach ist dieser in der /etc/default/knockd zu aktivieren und dort wird festgelegt, welche Netzwerkkarte benutzt wird.
#cat /etc/default/knockd
START_KNOCKD=1
KNOCKD_OPTS="-i venet0:0"
Im meinem Beispiel ist es ein VServer und damit die venet0:0 Karte. Woanders vermutlich eth0??¦
Danach muss noch festgelgt werden, welcher Dienst gestartet werden soll und auf welche Anklopfsequenz, der knockd reagieren soll. Hier ist Individualität gefragt, weil dies die Abschirmung überhaupt erst garantiert.
Konfigurationsbeispiel:
#cat /etc/knockd.conf
[options]
logfile = /var/log/knockd.log
[openMySQL]
sequence = 10000,1000
seq_timeout = 5
start_command = /sbin/iptables -I INPUT 1 -s %IP% -p tcp --dport 3306 -j ACCEPT
tcpflags = syn
Cmd_Timeout = 3600
stop_command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 3306 -j ACCEPT
Wichig ist es den knockd nach jeder Änderung neu zu starten. Ich hab Stunden nach dem Fehler gesucht!
#Portknock neu starten
#/etc/init.d/knockd restart
Die Erklärung zur knockd.conf lässt sich gut per man knockd abrufen. Die Dokumentation ist gut gemacht und mit Beispielen versehen. Allgemein lässt sich sagen, dass Portknocking viel mächtiger ist, als ich es hier beschrieben habe. Wie man sehen kann, wird lediglich ein spezifiziertes Kommando ausgeführt und damit ist jede denkbare Aktion möglich (Mails versenden, Server neustarten, etc??¦).
Speziell an meiner knockd.conf ist jedoch, dass ich die neue Regel an den Anfang meiner Firewallkonfiguration schreibe. Dies geschieht über den Parameter I (Insert), weil am Ende meiner Firewallkonfiguration alle unbekannten Pakete verworfen werden. Da wäre eine angehängte Regel wenig nützlich, weil sie nie ausgführt werden würde.
Cmd_Timeout = 3600
bewirkt, dass nach einer Stunde(3600 Sekunden) das Stop_Command ausgeführt wird. Dies ist für faule Nutzer (gibts Andere?) sehr nützlich.
Um im Beispiel zu bleiben:
Die Pakete an Port 3306 werden zwar nicht mehr verworfen, aber trotzdem ignoriert, weil keiner zuhört. Debiantypisch ist MySQL auf 127.0.0.1 eingestellt. Dies muss noch geändert werden:
#vi /etc/mysql/my.cnf
bind-address = xxx.xxx.xxx.xxx
#/etc/init.d/mysql restart
Jetzt ist der mysqld von außen erreichbar. Dank Portknocking nun auch nicht mehr hinter der Firewall versteckt.
Jetzt bleibt noch die Frage:
WIE MACHE ICH DENN NUN PORTKNOCKING VON WINDOWS AUS?
c:\>knock.exe IP SEQUENZ
z.B.:
c:\>knock.exe 85.214.25.36 10000 1000
Jetzt ist dieser Rechner für eine Stunde berechtigt, auf Port 3306 zuzugreifen.
Nach oben
Melden
Tutorial Ecke
Hilfe / Fragen / Unterstützung
Sonstiges
