Hvordan skjule åpne porter med knockd

Hvordan tilsløre åpne porter med knockd Lær hvordan du kan tilsløre SSH-pålogging med port knocking.

Si at du har Linux-servere i selskapet ditt, og at du trenger tilgang til dem fra enten LAN eller WAN, men du gleder deg over å forlate SSH-portene åpne. Hva gjør du? En måte å sikre disse portene er å skjule dem et verktøy som heter knockd. Knockd jobber med port knocking, som er en metode for dynamisk å åpne nettverksporter ved å koble til via en forhåndsdefinert sekvens. Med knockd definerer du en bankingssekvens som, når den brukes, vil tillate SSH-tilkoblingen gjennom. Det er som å legge til en hemmelig bank som må brukes før SSH lar deg komme inn.

Jeg vil lede deg gjennom installasjonen og bruken av knockd. Jeg skal demonstrere på Ubuntu Server 19.10, men prosessen skal fungere fint på en hvilken som helst Debian- eller Ubuntu-basert server.

Mastermind con man bak Catch Me If You Can snakker cybersecurity (TechRepublic download)

Hva du trenger

Det eneste du trenger for å få dette til å gjøre er:

  • En kjørende forekomst av Ubuntu Server
  • En Linux-klient for å koble seg til serveren
  • En bruker med sudo-rettigheter

Hvordan installere

Det er to programvarestykker som må installeres, som begge finnes i standardlagringsstedene. For å installere disse pakkene, åpner du et terminalvindu på serveren og gir kommandoen:

 sudo apt-get install knockd iptables-persistent 

Det er det for installasjonen på serveren.

Hvordan konfigurere knockd

La oss først ta sikkerhetskopi av den originale knockd-konfigurasjonsfilen med kommandoen:

 sudo mv /etc/knockd.conf /etc/knockd.conf.bak 

Nå, opprett en ny fil med kommandoen:

 sudo nano /etc/knockd.conf 

Lim inn følgende i den filen:

 alternativer UseSyslog Interface = IFACE SSH -sekvens = 1100, 2200, 3300 seq_timeout = 15 tcpflags = syn start_command = / sbin / iptables -I INPUT -s% IP% -p tcp --port 22 -j ACCEPT stop_command = / sbin / iptables -D INPUT -s% IP% -p tcp --port 22 -j ACCEPT cmd_timeout = 20 

Hvor IFACE er navnet på nettverksgrensesnittet på serveren.

Du kan også endre banesekvensen til hva du vil. Lagre og lukk filen.

Neste må vi aktivere knockd. Gi kommandoen:

 sudo nano / etc / default / knockd 

I den filen, endre:

 START_KNOCKD = 0 

Til:

 START_KNOCKD = 1 

Lagre og lukk filen.

Lag en ny systemd-fil med kommandoen:

 sudo nano /etc/systemd/system/knockd.service 

Lim inn følgende i denne filen:

 Enhet Beskrivelse = Port-Knock Daemon After = nettverk.target krever = nettverk.target Dokumentasjon = mann: knockd (1) Service EnvironmentFile = / etc / default / knockd ExecStartPre = / usr / bin / sleep 1 ExecStart = / usr / sbin / knockd $ KNOCKD_OPTS ExecReload = / bin / kill -HUP $ MAINPID KillMode = blandet Restart = alltid SuccessExitStatus = 0 2 15 ProtectSystem = full CapabilityBoundingSet = CAP_NET_RAW CAP_NET_ADMIN Install WantedBy = multi-user.target 

Lagre og lukk filen.

Aktiver og start den nye tjenesten med følgende kommandoer:

 sudo systemctl daemon-reload sudo systemctl enable - nå knockd 

Slik endrer du brannmuren

Deretter må vi endre brannmuren for å nekte tilgang til SSH-port 22. For å gjøre det, utgi følgende kommandoer:

 sudo iptables -A INPUT -m state - state ESTABLISHED, RELATED -j ACCEPT sudo ip6tables -A INPUT -m state - stat ESTABLISHED, RELATED -j ACCEPT sudo iptables -A INPUT -p tcp --destination-port 22 -j DROP sudo ip6tables -A INPUT -p tcp - destinasjonsport 22 -j DROP 

Gjør disse reglene vedvarende mellom omstarter med følgende kommandoer:

 sudo -s sudo iptables-save> /etc/iptables/rules.v4 sudo ip6tables-save> /etc/iptables/rules.v6 exit 

Hvordan teste knockd

For å kunne SSH inn i den knockd-aktiverte serveren, må enhver ekstern klient også ha installert knockd. Logg på den andre Linux-maskinen og gi kommandoen:

 sudo apt-get install knockd-y 

Etter installasjonen, forsøk først å SSH inn på serveren med kommandoen:

 ssh postbeskyttet _IP 

Der USER er det eksterne brukernavnet og SERVER_IP er IP-adressen til den knockd-aktiverte serveren. Du skal ikke kunne logge inn.

Påkall nå knock-sekvensen du konfigurerte i knockd.conf med kommandoen:

 bank SERVER_IP 1100 2200 3300 

Der SERVER_IP er IP-adressen til knockd-serveren og knock-sekvensen samsvarer med den du konfigurerte.

Kommandoen skal ikke returnere noe output.

Hvis du kjører SSH-kommandoen nå, bør du få tilgang.

Og det er alt som er for å skjule portene ved hjelp av knockd.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2021 | mobilegn.com