> > Filippo Moser ha scritto: >> Il giorno mar, 28-12-2004 alle 10:08 +0100, Giuliano Natali (el Diaolin) >> ha scritto: >> >>> Conosco la cosa ma da un punto di vista prettamente tecnico: >>> se usi un netcat o un telnet per fare il knock >>> chi mi dice che non sia un port scanner??? >>> >> >> peggio ancora, qualcuno che conosce la sequenza di knock... >> > > alt, meglio questo che altro. > in ogni caso apre una possibilità di connessione, non de tutto de piu' > Ovviamente knockd non e' la soluzione a tutti i mali... ma diciamo che ti togli dai piedi il 99% dei rompiballe (che partono con un bello scan delle porte aperte e se trovano la 22 iniziano a provare un casino di combinazioni utente/password) Inoltre l'implementazione del port knocking che ho postato non risente del problema dei port scanner (almeno che uno non sia un pirla e mette 3 porte consecutive per fare la "bussata") infatti leggendo su http://www.zeroflux.org/knock/ si trova: TCPFlags = fin|syn|rst|psh|ack|urg Only pay attention to packets that have this flag set. When using TCP flags, knockd will IGNORE tcp packets that don't match the flags. This is different than the normal behavior, where an incorrect packet would invalidate the entire knock, forcing the client to start over. Using "TCPFlags = syn" is useful if you are testing over an SSH connection, as the SSH traffic will usually interfere with (and thus invalidate) the knock. quindi se si configura decentemente knockd, anche se si hanno configurate 3 porte in ordine crescente (non consecutive pero') per la bussata, un port scanner non potrebbe "mai" fare la bussata giusta... Ciao! -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx