Re: Настройка "проброса" порта через IPtables

Прикольно, читал про port knocking, но ни разу не сталкивался с его реализацией.

lester_dev (26.02.2009 9:40:29)

Re: Настройка "проброса" порта через IPtables

Не то это все. Измените параметры Token* со значений 10, 20, 30 и 40 на любые другие числа не более 1024. Рассматривайте эту комбинацию чисел как ваш код доступа, п

И нафига это ( knockd рулез. Там можно выставить числа и выше 1024 Но самое важное интервал опроса портов , за определенное количество времени.

Re: Настройка "проброса" порта через IPtables

Ну это же костылище. Чем же ssh не угодил?

AVL2 (26.02.2009 10:56:19)

Re: Настройка "проброса" порта через IPtables

>Там можно выставить числа и выше 1024

я так понимаю, что имеется в виду тот факт, что порты выше 1024 может открыть любой процесс, поэтому предлагается оставаться в пространстве, контролируемом рутом, а все железно остальное прикрыть.

AVL2 (26.02.2009 11:06:14)

Re: Настройка "проброса" порта через IPtables

iptables на селе

behek (26.02.2009 11:06:55)

Re: Настройка "проброса" порта через IPtables

>Ну это же костылище. Чем же ssh не угодил?

ну так я так понял, порт ssh открывается только после "тоукенов".

madcore (26.02.2009 12:16:49)

Re: Настройка "проброса" порта через IPtables

писец, и в чом новость?

Somewho (26.02.2009 12:21:16)

Re: Настройка "проброса" порта через IPtables

Чем это лучше knockd?

Re: Настройка "проброса" порта через IPtables

Интересная статья. Паранойя++.

fractaler (26.02.2009 12:29:50)

Re: Настройка "проброса" порта через IPtables

жесть, какое извращение

PayableOnDeath (26.02.2009 12:33:29)

Re: Настройка "проброса" порта через IPtables

>ну так я так понял, порт ssh открывается только после "тоукенов".

А смысл? Кроме геморроя с тем, что сам забываешь эту последовательность? Если адоедают строчки в логах, ну перемести ssh на нестандартный порт и народ не будет ломиться.

Эта псевдозащита только расслабляет и провоцирует реальные взломы.

AVL2 (26.02.2009 12:33:34)

Re: Настройка "проброса" порта через IPtables

Интересная сама идея.

iZEN (26.02.2009 12:36:28)

Re: Настройка "проброса" порта через IPtables

>А смысл? Кроме геморроя с тем, что сам забываешь эту последовательность?

А пароль на рута ты не боишься забыть?

>Если адоедают строчки в логах, ну перемести ssh на нестандартный порт и народ не будет ломиться.

Так можт мне надо доступ не к ссш, а к более нежному сервису.

>Эта псевдозащита только расслабляет и провоцирует реальные взломы.

Если ограничиваться 4-мя тоукенами по 1024, это уже соответствует 10-символьному паролю - у многих и такого нет :)

Но вообще, кнокд наверное проще.

madcore (26.02.2009 13:00:09)

Re: Настройка "проброса" порта через IPtables

> А смысл? Кроме геморроя с тем, что сам забываешь эту последовательность? Если адоедают строчки в логах, ну перемести ssh на нестандартный порт и народ не будет ломиться.

Еще запретить вход по ssh под root-ом. И самого root переименовать.

Re: Настройка "проброса" порта через IPtables

>И самого root переименовать.

Что это даёд?

madcore (26.02.2009 13:28:02)

Re: Настройка "проброса" порта через IPtables

Концептуально -- fwknop покруче будет (http://cipherdyne.org/fwknop/).

snp (26.02.2009 14:05:17)

Re: Настройка "проброса" порта через IPtables

>А пароль на рута ты не боишься забыть?

пароль рута нужен постоянно, а тут - редко. К тому же имеет смысл наоборот, закрыть доступ по паролю и ходить по ключам.

>Так можт мне надо доступ не к ссш, а к более нежному сервису.

Тем более. Оставить только ssh, а к остальным заход только с локалхоста через ssh тунель.

>Если ограничиваться 4-мя тоукенами по 1024, это уже соответствует 10-символьному паролю - у многих и такого нет :)

Вот именно про это я и говорил. Эта штука аналогична 10-символьному паролю в telnet.

AVL2 (26.02.2009 14:20:19)

Re: Настройка "проброса" порта через IPtables

>Что это даёд?

тоже самое, что и простукивание портов.

Для тинейджера - систему без рута.

Для админа - лишнюю головную боль.

Для хакера - ничего.

AVL2 (26.02.2009 14:21:59)

Re: Настройка "проброса" порта через IPtables

>>А пароль на рута ты не боишься забыть?

>пароль рута нужен постоянно, а тут - редко.

Если я логинюсь по ссш - то явно не под рутом.

>К тому же имеет смысл наоборот, закрыть доступ по паролю и ходить по ключам.

В идеале и то и другое, но таскать с собой ключи не всегда возможно.

>Тем более. Оставить только ssh, а к остальным заход только с локалхоста через ssh тунель.

Так в статье как раз это и рассматривается. При этом скрывается порт ssh. Т.е. взломщик не может узнать, есть ли у тебя вообще открытые порты.

>Вот именно про это я и говорил. Эта штука аналогична 10-символьному паролю в telnet.

Во-первых, потом еще надо угадать, на каком порту висит ssh. Потом логин/пароль уже к непосредственно ssh(ключ по вкусу). Ну и дипазоном и количеством тоукенов необязательно так ограничиваться.

madcore (26.02.2009 14:41:22)

Re: Настройка "проброса" порта через IPtables

Какой-то косячный метод. Снифится на раз-два. SSH/VPN -- наше все.

Re: Настройка "проброса" порта через IPtables

>Какой-то косячный метод. Снифится на раз-два. SSH/VPN -- наше все.

Странные вы люди. Вам про то, как не светить SSH/VPN, а вы - что SSH/VPN лучше, непонятно чего.

madcore (26.02.2009 14:48:14)

Re: Настройка "проброса" порта через IPtables

>Так в статье как раз это и рассматривается. При этом скрывается порт ssh. Т.е. взломщик не может узнать, есть ли у тебя вообще открытые порты.

так и нечего тогда говорить про "нежные" сервисы.

>Если я логинюсь по ссш - то явно не под рутом.

тогда настрой себе sudo.

>Во-первых, потом еще надо угадать, на каком порту висит ssh.

Вот именно про это и разговор. Уже второй раз говорится, что порт или последовательность портов нужно угадать. Все это нужно только до тех пор, пока не узнал, что такое tcpdump или wireshark.

Это все равно, что переставить ручку от двери чуть в сторону. Да, это хорошо спасает от роботов, обстукивающих хосты. Но в том-то и беда, что админ настроив это поделие начинает думать, что он в безопасности и вполне можно поставить пароль root/root.

При этом его производительность страдает, поскольку все эти костыли делают системы неединообразными. Много раз наблюдал, как админ навтыкав таких костылей в виде переименованных рутов, переумучаных правил iptables, виртуальных машин и хитрых заходов в них, сам потом отказывался их сопровождать просто потому что геморно.

AVL2 (26.02.2009 15:05:09)

Re: Настройка "проброса" порта через IPtables

А зачем его не светить? Что это дает? Указанный эффект легко достигается простым переносом порта. По желанию на порт другого сервиса, чтобы уж совсем обмануть.

AVL2 (26.02.2009 15:07:28)

Re: Настройка "проброса" порта через IPtables

>А зачем его не светить? Что это дает?

То что существование открытого сервиса просто не заметят.

>Указанный эффект легко достигается простым переносом порта. По желанию на порт другого сервиса, чтобы уж совсем обмануть.

Кого это обманет? Есть большая разница, когда есть какой-то открытый порт, и нужно угадать что на нем висит, и когда открытых портов просто нет.

madcore (26.02.2009 15:21:45)

Re: Настройка "проброса" порта через IPtables

Мдааа. А завтра появятся новости: "Как открыть порт в Линукс", а послезавтра: "Как закрыть порт в Линукс".

З.Ы: нафиг оно нужно, если можно реализовать все намного проще через IPT recent?

iron (26.02.2009 15:26:23)

Re: Настройка "проброса" порта через IPtables

>>Если я логинюсь по ссш - то явно не под рутом.

>тогда настрой себе sudo.

При чем тут? Ты говорил про то, что обычно помнишь только рутовский пароль и не запомнишь лишних циферок, а я тебе, что логиниться все равно не под рутом.

>Вот именно про это и разговор. Уже второй раз говорится, что порт или последовательность портов нужно угадать.

Еще надо угадать, что есть что угадывать.

>Все это нужно только до тех пор, пока не узнал, что такое tcpdump или wireshark.

Как они угадают, в какой последовательности нужно потыкаться в несколько портов, чтобы открылся другой порт? Если при этом реализовать таймауты, то сканить ты будешь миллиард лет.
И напомню, что при этом ты даже не можешь быть уверен, что машина вообще есть в сети.

>Да, это хорошо спасает от роботов, обстукивающих хосты. Но в том-то и беда, что админ настроив это поделие начинает думать, что он в безопасности и вполне можно поставить пароль root/root.

Это уже из разряда ССЗБ. Такие меры дополняют безопасность, а не делают абсолютной.

madcore (26.02.2009 15:31:34)

Re: Настройка "проброса" порта через IPtables

>При чем тут? Ты говорил про то, что обычно помнишь только рутовский пароль и не запомнишь лишних циферок, а я тебе, что логиниться все равно не под рутом.

При том, что если ты залогинен под простым пользователем, то благодаря sudo тебе рутовый пароль будет не нужен.

>Еще надо угадать, что есть что угадывать.

Зачем? Если кто-то коннектится, значит есть и порты.

>Как они угадают, в какой последовательности нужно потыкаться в несколько портов, чтобы открылся другой порт?

значит я угадал насчет пионерского незнания. почитай что такое tcpdump или wireshark. Все там прописано. А пока используй телнет. Откуда враги узнают твой пароль? Он на экране не отображается.

>И напомню, что при этом ты даже не можешь быть уверен, что машина вообще есть в сети.

Угу, а потом прибегает юзер - не работает твой сервер и админ сам не знает, работает он или нет...

Еще раз. Если хочешь усложнить жизнь ботам - просто переставь порты. Это сразу многократно увеличит нагрузку на них и сделает их работу крайне неэффективной. А если хочешь избежать адресной атаки - пользуйся методами повышающими безопасность, а не имитирующими ее.

AVL2 (26.02.2009 16:48:48)

Re: Настройка "проброса" порта через IPtables

>При том, что если ты залогинен под простым пользователем, то благодаря sudo тебе рутовый пароль будет не нужен.

Предпочитаю, когда пароль на судо есть.

>значит я угадал насчет пионерского незнания. почитай что такое tcpdump или wireshark. Все там прописано. А пока используй телнет. Откуда враги узнают твой пароль? Он на экране не отображается.

Ты видимо шлангуешь. Для этого надо целенаправлено прослушивать трафик, находясь при этом где-то по-пути. А вот тыща китайцев просто не заметит моего сервака и не станет его дрочить.

>Угу, а потом прибегает юзер - не работает твой сервер и админ сам не знает, работает он или нет...

У тебя наверное, и пароль на все серваки одинаковый, из мотивации, чтоб юзера вдруг не обламывать?

>Еще раз. Если хочешь усложнить жизнь ботам - просто переставь порты.

Еще раз. Это оставит открытый порт, за который есть возможность зацепиться. Отсутсвие открытого порта в 99% сделает твою машину незамеченной, если атака изначально не целенаправлена.

madcore (26.02.2009 17:26:25)

Re: Настройка "проброса" порта через IPtables

>Предпочитаю, когда пароль на судо есть.

блин, да ты и про судо не в курсе. оно никогда рутовый пароль не спросит...

>А вот тыща китайцев просто не заметит моего сервака и не станет его дрочить.

да они и нестандартные порты тоже сканировать не будут.

>У тебя наверное, и пароль на все серваки одинаковый, из мотивации, чтоб юзера вдруг не обламывать?

ключами обхожусь. И юзер здесь не причем. Вероятность, что хост упал из за проблем с железом/электричеством и т.д. на порядки выше, чем вероятность его взлома через пинг или ssh.

>Еще раз. Это оставит открытый порт, за который есть возможность зацепиться. Отсутсвие открытого порта в 99% сделает твою машину незамеченной, если атака изначально не целенаправлена.

а толку? что, кроме ssh можно так прикрыть? апач? имап? днс? А ssh и так хорошо защищен. Уж если ssh надо так прикрывать, значит нужно просто выдергивать шнурок из эзернета и просить вставить его по телефону...

AVL2 (26.02.2009 18:40:19)

Re: Настройка "проброса" порта через IPtables

>>Предпочитаю, когда пароль на судо есть.

>блин, да ты и про судо не в курсе. оно никогда рутовый пароль не спросит...

Ололо, убонтоед?

>да они и нестандартные порты тоже сканировать не будут.

Смотря какой кулхацкер попадется.

>А ssh и так хорошо защищен.

Ну ведь зачем-то его любят флудить?

madcore (26.02.2009 18:57:04)

Re: Настройка "проброса" порта через IPtables

>Ололо, убонтоед?

чурбан. судо _никогда_ не спрашивает пароль рута.

>Смотря какой кулхацкер попадется.

в том суть защиты. Вместо миллиарда китайских какеров получить десяток "каких" кульхацкеров.

>Ну ведь зачем-то его любят флудить?

даже не знаю, зачем. с момента последнего эксплойта ssh1 прошло уже столько времени...

AVL2 (26.02.2009 21:11:34)

Re: Настройка "проброса" порта через IPtables

>А вот тыща китайцев просто не заметит моего сервака и не станет его дрочить.

хехе. да ты у нас просто Неуловимый Джо-2.

>Отсутсвие открытого порта в 99% сделает твою машину незамеченной

чудные люди. шифрованный ssh боятся выставлять, а обычные MTA, httpd, dns - нет

ты с теорией и практикой защиты информации знаком? что такое ценность информации и стоимость взлома знаешь?

зы: да, и свой открытый ключ тоже не публикуй, а то мало ли, подумают что ты тероррист раз ключ имеешь

зыы: а ты не бздун часом? у них тоже много разного шаманства, заманух и суеверий вместо знаний

black7 (26.02.2009 22:01:09)

Re: Настройка "проброса" порта через IPtables

>даже не знаю, зачем. с момента последнего эксплойта ssh1 прошло уже столько времени...

бывают попытки взлома по словарю. это уж не знаю на каких дураков расчитано. на бзуднов и вантузятников наверное.

достаточно выставить задержку вменяемую - и нагрузки нет и переборы до ж%пы

black7 (26.02.2009 22:04:56)

Re: Настройка "проброса" порта через IPtables

>чурбан. судо _никогда_ не спрашивает пароль рута.

Подумай хорошенько над этими двумя предложениями.

madcore (26.02.2009 22:36:02)

Re: Настройка "проброса" порта через IPtables

> чурбан. судо _никогда_ не спрашивает пароль рута. 

херь пишешь, это зависит от настроек, man sudoers:

       rootpw          If set, sudo will prompt for the root password instead of the password of the invoking user.  This
                       flag is off by default.

       runaspw         If set, sudo will prompt for the password of the user defined by the runas_default option
                       (defaults to root) instead of the password of the invoking user.  This flag is off by default.

Eshkin_kot (26.02.2009 23:53:39)

Re: Настройка "проброса" порта через IPtables

Ну наконец-то дошли до сути :) В очередной раз кто-то сел в лужу :)

BaT (27.02.2009 5:13:35)

Re: Настройка "проброса" порта через IPtables

Честно говоря, даже не знал, что sudo можно заставить справшивать пароль рута или другого пользователя.

В одном случае он вырождается со своими оговорками в обычный su, а в другом, наверное, применим ля гостевых логинов, что в общем, тоже сильно специальный случай.

заметь, оба флага по умолчанию отключены.

AVL2 (27.02.2009 14:56:06)

Re: Настройка "проброса" порта через IPtables

> А зачем его не светить? Что это дает? Указанный эффект легко достигается простым переносом порта.

Это дает дополнительную защиту к переносу портов. По моему очевидно. Параною еще никто не отменял.

d9d9 (27.02.2009 17:00:22)

Re: Настройка "проброса" порта через IPtables

>Это дает дополнительную защиту к переносу портов. По моему очевидно. Параною еще никто не отменял.

Каждый элемент системы безопасности должен иметь свое обоснование.

Например, перенос порта не является элементом безопасности вообще. Это защита от спама (мусорного трафика). И применяется только в том случае, когда есть существенный объем такого трафика.

Бессмысленное "дополнительное" усложнение системы безопасности неизбежно ведет к дырам в оной.

AVL2 (27.02.2009 18:04:41)

Re: Настройка "проброса" порта через IPtables

>заметь, оба флага по умолчанию отключены.

Тебя дальше мокать?
Ты кроме одного дистрибутива на локалхосте в виртуалке что-нибудь видел? :)

madcore (27.02.2009 18:46:19)

Re: Настройка "проброса" порта через IPtables

> Например, перенос порта не является элементом безопасности вообще.

Каждый волен трактовать по своему. Вы не хотите чтобы перенос портов назывался частью системы безопасности - ваши личные проблемы, но это пароль с 65к вариантами как ни крути.

> Бессмысленное "дополнительное" усложнение системы безопасности неизбежно ведет к дырам в оной.

Это единственно что система безопасности делает - усложняет доступ к содержимому, но не гарантирует ничего. А по вашему получается что второй замок на дверях всегда лишний.

d9d9 (28.02.2009 0:50:41)

Re: Настройка "проброса" порта через IPtables

>это пароль с 65к вариантами как ни крути.

Это открытый пароль, который ловится простейшим автоматическим алгоритмом. поэтому и не является элементом безопасности.

поскольку сам ssh использует гораздо более защищеный механизм защиты, данная мера его не усилит. Это все равно, что на сейф сверху еще шпингалет приварить и надеяться, что злоумышленник откроет все замки, а его не заметит.

>Это единственно что система безопасности делает - усложняет доступ к содержимому, но не гарантирует ничего. А по вашему получается что второй замок на дверях всегда лишний.

Помимо бессмысленности шпингалетов снаружи есть еще и социальный фактор. Народ в повседневной жизни пользуется чем-то одним и это будет именно шпингалет, а не надежный замок. Просто потому что так проще, а злоумышленники нападают крайне редко.

AVL2 (28.02.2009 15:45:58)

Re: Настройка "проброса" порта через IPtables

Вообще-то я уже признал, что с судо можно извратиться, чтобы потребовался рутовый пароль. Непонятно зачем, но можно. Осталось только выяснить, какой дистрибутив это использует? Неужто бздя?!

AVL2 (28.02.2009 15:48:38)

Re: Настройка "проброса" порта через IPtables

>Помимо бессмысленности шпингалетов снаружи есть еще и социальный фактор.

Вот как раз про социальный фактор. Ты на общедоступных ресурсах щасто видел открытые порты, кроме тех, что положены?

madcore (28.02.2009 16:27:21)

Re: Настройка "проброса" порта через IPtables

>Вообще-то я уже признал, что с судо можно извратиться, чтобы потребовался рутовый пароль.

Ты забыл признать, что "чурбан" в данном случае относится к тебе, а не ко мне. И вообще извиниться за свою слабость с переходом на личности и другими попытками оскарбить.

>Непонятно зачем, но можно. Осталось только выяснить, какой дистрибутив это использует? Неужто бздя?!

Т.е., редхат или сусе это хрены с горы?
Да, в *бсд-системах по умолчанию рутовый пароль для судо, думаю. И вообще авантюры с паролем юзера редко где можно увидеть.

madcore (28.02.2009 16:40:04)

Re: Настройка "проброса" порта через IPtables

>Ты забыл признать, что "чурбан" в данном случае относится к тебе, а не ко мне.

Похоже, не совсем.

>Т.е., редхат или сусе это хрены с горы?

И тот и другой требуют ввода пароля самого пользователя, который вызывает sudo.

Использовать пароль рута в судо практически бессмысленно, поскольку в судо принято ограничивать список запускаемых программ и их аргументов, а зная пароль рута ничто не мешает использовать его в su или сразу залогиниться под рутом...

AVL2 (28.02.2009 19:45:40)

Re: Настройка "проброса" порта через IPtables

>>Непонятно зачем, но можно. Осталось только выяснить, какой дистрибутив это использует? Неужто бздя?!

>Т.е., редхат или сусе это хрены с горы?
Да, в *бсд-системах по умолчанию рутовый пароль для судо, думаю. И вообще авантюры с паролем юзера редко где можно увидеть.

=======================

Какие-то ламеры собрались и не понятно о чем спорят ...

По умолчанию настройки:

CentOS 5.2 (как и RHEL видимо)
Через ssh можно зайти под root-ом (на мой взгляд это косяк)
sudo требует пароль пользователя (а не root)

Графические утилиты требующие повышенных прав просят пароль именно root, а не самого пользователя.


FreeBSD 7.1
Через ssh вход под root-ом запрещен
sudo требует пароль пользователя

odip (01.03.2009 10:08:58)

Re: Настройка "проброса" порта через IPtables

>Какие-то ламеры собрались и не понятно о чем спорят ... Ну какая "защита", такие и спорщики. :^)