форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обзор инструментов 'Port knocking'"	+/–
Сообщение от opennews (??) on 30-Янв-13, 20:11
Опубликована серия статей (http://blogerator.ru/page/pozadi-zakrytyh-dverej-port-knocki...) о возможностях и доступном  ПО для реализации  техники port knoсking (http://en.wikipedia.org/wiki/Port_knocking), позволяющей инициировать на межсетевом экране временное открытие заданного сетевого порта, только после предварительного обращения к определённой последовательности портов (например, доступ к порту SSH может быть открыт для текущего хоста после попытки соединения к 1563, 1418 и 1275 портам). В статьях рассмотрены: -  Часть 1 (http://blogerator.ru/page/pozadi-zakrytyh-dverej-port-knocki...) - общие концепции "Port knocking" и пакет knockd (http://www.zeroflux.org/projects/knock) (traditional port knocking, TPK); -  Часть 2 (http://blogerator.ru/page/pozadi-dverej-port-knosking-skryty...) - Cerberus (http://silverstr.ufies.org/blog/archives/000625.html) (авторизация с одноразовым паролем (OTP)), Sig^2 (http://www.security.org.sg/code/portknock1.html) (двунаправленная система port knocking'a), Fwknop (http://www.cipherdyne.org/fwknop/docs/SPA.html) (Single Packet Authorization, SPA); -  Часть 3 (http://blogerator.ru/page/pozadi-dverej-port-knocking-securi...) - Tariq (http://code.google.com/p/tariq/) (гибридный port-knocking, HPK). URL: http://blogerator.ru/page/pozadi-zakrytyh-dverej-port-knocki... Новость: https://www.opennet.ru/opennews/art.shtml?num=35968
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Обзор инструментов Port knocking"	+/–
Сообщение от Аноним (??) on 30-Янв-13, 20:11
А не лучше ли сделать доступ к SSH только из I2P?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Обзор инструментов Port knocking"	+/–
	Сообщение от Аноним (??) on 30-Янв-13, 20:18
	Зачем? И, самое главное, как?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	4. "Обзор инструментов Port knocking"	+/–
	Сообщение от Аноним (??) on 30-Янв-13, 21:36
	>Зачем? Чтобы посторонние не могли подключиться. Или даже не узнали о существовании. >как? Точно так же, как и eepsite, невидимый из интернета, только порт другой.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	9. "Обзор инструментов Port knocking"	+/–
	Сообщение от Stax (ok) on 30-Янв-13, 22:05
	Так подключаться как - всюду ставить i2p? А если мне с телефона нужно заходить, например? Уж лучше (если есть возможность в тех местах, куда заходишь, что-то ставить) ставить vpn-клиент, или использовать имеющийся. Поднять дома какой-нибудь vpn и пускать в ssh только для подключившихся. Больше ничего из vpn делать не давать, разумеется. А при риске компрометации достаточно убрать очередной логин или ключ из vpn и начать использовать новый.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	11. "Обзор инструментов Port knocking"	+/–
	Сообщение от Аноним (??) on 30-Янв-13, 22:13
	SSH это уже какбы TELNET внутри VPN. Достаточно хороший в плане безопасности. Тут идея не добавить слой шифрования, а спрятать. Причём, несколько более надёжно, нежели в новости.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	21. "Обзор инструментов Port knocking"	+/–
	Сообщение от Дум Дум on 31-Янв-13, 09:17
	Так i2p и knocking прячут немного разные вещи, нет?
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	24. "Обзор инструментов Port knocking"	+/–
	Сообщение от анноним on 02-Фев-13, 19:40
	Если речь о надежности, то не вполне понятно, зачем вообще что-то прятать при наличии шифрования (в т.ч. адекватного пароля)? Или важно именно утаить наличие ssh, но зачем?
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	25. "Обзор инструментов Port knocking"	+/–
	Сообщение от анноним on 02-Фев-13, 19:47
	Эх, уже сам прочитал на википедии. Да, может быть полезным в отдельных случаях..
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	12. "Обзор инструментов Port knocking"	+/–
	Сообщение от Аноним (??) on 30-Янв-13, 22:18
	А не лучше ли скрестить верблюда с муравьем?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	13. "Обзор инструментов Port knocking"	+1 +/–
	Сообщение от Аноним (??) on 30-Янв-13, 23:51
	> А не лучше ли сделать доступ к SSH только из I2P? И потом наслаждаться эхом в 5 секунд, пока оно ползет через перегруженные узлы на тормозной яве...
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	16. "Обзор инструментов Port knocking"	+/–
	Сообщение от Xasd (ok) on 31-Янв-13, 03:05
	> И потом наслаждаться эхом в 5 секунд, пока оно ползет через перегруженные узлы на тормозной яве... а разве в i2p -- происходит постоянно то запуск то снова отключение JVM? я наблюдал что проблемы производительности Java (JVM) ведь в: 1. долго стартуется. 2. много жрёт памяти. я спрашиваю потому что ещё не использовал ни разу i2p, но вроде бы не слышал чтобы Java медленно выполняла бы программный код.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	20. "Обзор инструментов Port knocking"	+/–
	Сообщение от Аноним (??) on 31-Янв-13, 08:10
	>> И потом наслаждаться эхом в 5 секунд, пока оно ползет через перегруженные узлы на тормозной яве... > а разве в i2p -- происходит постоянно то запуск то снова отключение > JVM? нет, но при чем это тут?
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

3. "Обзор инструментов Port knocking"	+/–
Сообщение от Alexvk (ok) on 30-Янв-13, 21:31
Хм, забавная идея, изящненько
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Обзор инструментов Port knocking"	+3 +/–
	Сообщение от pavlinux (ok) on 30-Янв-13, 21:49
	Баян великий! Из серии: Cебе жизнь засрал, а пароль всё равно "123qwerty"
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	17. "Обзор инструментов Port knocking"	+/–
	Сообщение от Аноним (??) on 31-Янв-13, 03:11
	за ssh-пароли нужно расстреливать на месте
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	18. "Обзор инструментов Port knocking"	+5 +/–
	Сообщение от Батяня Комбат on 31-Янв-13, 05:08
	Салага дочитал до главы про авторизацию по ключам? :-) Похвально.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	22. "Обзор инструментов Port knocking"	+/–
	Сообщение от pavlinux (ok) on 31-Янв-13, 16:29
	> за ssh-пароли нужно расстреливать на месте А давай я продолжу и ты сам повесишься! :) Четвертовать, делать лоботомию, ректальное шунтирование, 10000-вольтную мезотерапию,... за: - одинаковый SSH ключ ко всем 50 серверам; - одинаковый логин на 50 серверах; - генерацию SSH ключа с использованием не сертифицированного ГСЧ; - хранение SSH ключей в не зашифрованном виде;   - хранение SSH ключей на не шифрованной файловой системе; - использование одного и того же компьютера для доступа в интернет и хранения ключей; - использование проводов периферийных устройств с повышенным ЭМИ. - расположение монитора в менее, чем 90° к плоскости окна. - расположение рабочего места в прямой видимости к траектории спутников! - работа с ключами в помещении не оборудованном ГБШ - работа с ключами в помещении имеющими толщину стен менее 50 см. - работа в помещении без акта проверки на отсутствие передающих устройств. ....
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	19. "Обзор инструментов Port knocking"	+/–
	Сообщение от Аноним (??) on 31-Янв-13, 07:21
	Гммм. Для защиты от replay-атаки тут предлагается использовать одинаковые секретные списки knock-последовательностей на сервере и клиенте. Значит, эти секретные списки заранее нужно создавать, копировать надёжным способом с сервера на клиент (или наоборот) и пополнять. Если речь идёт о такой хлопотной процедуре, может тогда не стесняться и сразу реализовать для обмена данными шифрование с бесконечным ключом?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Обзор инструментов Port knocking"	–1 +/–
Сообщение от Аноним (??) on 30-Янв-13, 21:57
вот спасибо авторам, за то что вкусно пишут нам! а для тех кто не читал - штатный ssh (клиент) умеет port knocking? ну чтоб telnet/nc не заморачиваться. Али может тулзы какие специальные?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Обзор инструментов Port knocking"	+1 +/–
	Сообщение от Alexvk (ok) on 30-Янв-13, 22:00
	> а для тех кто не читал - штатный ssh (клиент) умеет port > knocking? ну чтоб telnet/nc не заморачиваться. Али может тулзы какие специальные? специальная тулза: $nmap -sS -T Polite -p<port1>,<port2>,<portN>... <target>
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Обзор инструментов Port knocking"	+/–
	Сообщение от Аноним (??) on 30-Янв-13, 22:02
	ясно, в общем без алиасов не обойтись. спасибо, мил человек, уважил дедушку-анонимуса
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	14. "Обзор инструментов Port knocking"	+/–
	Сообщение от Аноним (??) on 30-Янв-13, 23:52
	> специальная тулза: Неткат/телнет/вгет/... :)
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "Обзор инструментов Port knocking"	+1 +/–
	Сообщение от pavlinux (ok) on 30-Янв-13, 22:10
	> вот спасибо авторам, за то что вкусно пишут нам! > а для тех кто не читал - штатный ssh (клиент) умеет port > knocking? ну чтоб telnet/nc не заморачиваться. Али может тулзы какие специальные? http://roland.entierement.nu/blog/2008/08/19/netfilter-based... --- Где-то тут на форуме я скриптик писал, который раз в час генерит новые порты для простука отсылает почту с уведомлением о доставке и только тогда меняет порты. :)
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	15. "Обзор инструментов Port knocking"	+/–
	Сообщение от Аноним (??) on 30-Янв-13, 23:54
	> http://roland.entierement.nu/blog/2008/08/19/netfilter-based... Годно. Кому не лень - добавьте в новость.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	23. "Обзор инструментов Port knocking"	+/–
	Сообщение от Andrey Mitrofanov on 31-Янв-13, 19:34
	>> вот спасибо авторам, за то что вкусно пишут нам! >> а для тех кто не читал - штатный ssh (клиент) умеет port >> knocking? ну чтоб telnet/nc не заморачиваться. ProxyCommand в ~/.ssh/config + netcat и, таки да, как бы скрипт. >> Али может тулзы какие специальные? Конечно! Ищите knocking в ближайшем к Вам app-store. > http://roland.entierement.nu/blog/2008/08/19/netfilter-based... Я себе ноком повесил один пинг _размером NMYZ байт. Одна строчка с -m recent. Всё лучше, чем перевешивание sshd на другой порт. Вписал ping в ~/.ssh/config. Да, netcat нужен, но без скриптов обошёлся. > --- > Где-то тут на форуме я скриптик писал, который раз в час генерит http://www.google.com/search?q=iptables+knock+site:opennet.ru и там же //knock скрипт pavlinux > отсылает почту с уведомлением о доставке и только тогда меняет порты. :) И ждёт, и читает это уведомление?B-O
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	26. "Обзор инструментов Port knocking"	+/–
	Сообщение от pavlinux (ok) on 02-Фев-13, 22:18
	> И ждёт, и читает это уведомление?B-O Да уже выкинул давно всё это, от скан-ботов - смены порта хватает, от бутфорса - генератор паролей и 5 соединений в сек., больше - бан на три минуты. и к тому же есть PAM с белым списком.
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема