[Linuxtrent] Re: Proteggere SSH
- From: vivaldi@xxxxxxxxxxxxxxxxxxxxxxxx
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Tue, 28 Dec 2004 13:59:07 +0100 (CET)
>
> Filippo Moser ha scritto:
>> Il giorno mar, 28-12-2004 alle 10:08 +0100, Giuliano Natali (el Diaolin)
>> ha scritto:
>>
>>> Conosco la cosa ma da un punto di vista prettamente tecnico:
>>> se usi un netcat o un telnet per fare il knock
>>> chi mi dice che non sia un port scanner???
>>>
>>
>> peggio ancora, qualcuno che conosce la sequenza di knock...
>>
>
> alt, meglio questo che altro.
> in ogni caso apre una possibilità di connessione, non de tutto de piu'
>
Ovviamente knockd non e' la soluzione a tutti i mali... ma diciamo che ti
togli dai piedi il 99% dei rompiballe (che partono con un bello scan delle
porte aperte e se trovano la 22 iniziano a provare un casino di
combinazioni utente/password)
Inoltre l'implementazione del port knocking che ho postato non risente del
problema dei port scanner (almeno che uno non sia un pirla e mette 3 porte
consecutive per fare la "bussata") infatti leggendo su
http://www.zeroflux.org/knock/ si trova:
TCPFlags = fin|syn|rst|psh|ack|urg
Only pay attention to packets that have this flag set. When using TCP
flags, knockd will IGNORE tcp packets that don't match the flags. This
is different than the normal behavior, where an incorrect packet would
invalidate the entire knock, forcing the client to start over. Using
"TCPFlags = syn" is useful if you are testing over an SSH connection,
as the SSH traffic will usually interfere with (and thus invalidate)
the knock.
quindi se si configura decentemente knockd, anche se si hanno configurate
3 porte in ordine crescente (non consecutive pero') per la bussata, un
port scanner non potrebbe "mai" fare la bussata giusta...
Ciao!
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts:
