Port knocking para SSH rápido e fácil com iptables
Port knocking funciona como um cadeado de segredo para ter acesso ao servidor, onde o usuário ou invasor terá que "bater" em um determinado número de portas com um limite de tempo também determinado para fazer a sequência para só assim liberar o ip que ele estiver usando também por um determinado tempo. O acesso a porta que queremos aqui no caso é a 22 (ssh).
Vamos construir um cenário onde você queira primeiro liberar o acesso direto a alguns IPs sem precisar passar pelo segredo das portas, depois liberaremos todos os IPs (ou alguma rede específica) somente se acertarem a sequência das portas e por último bloquearemos todo o resto.
A configuração a seguir pode ser adicionada a seu script de firewall.
Como este é o primeiro tutorial que escrevo, tentarei ser o mais claro possível (espero que me perdoem se não conseguir):
####### Libera ssh para um determinado ip sem precisar passar pelo segredo ############## ####### xxx.xxx.xxx.xxx = IP que deseja liberar#######################
####### A rede que você quer que tenha acesso ao segredo (aqui no caso está para qualquer uma)
HOST_IP="0.0.0.0/0.0.0.0"
####### Fases do Segredo ##################################
/sbin/iptables -N INTO-FASE2
/sbin/iptables -A INTO-FASE2 -m recent --name FASE1 --remove
/sbin/iptables -A INTO-FASE2 -m recent --name FASE2 --set
/sbin/iptables -A INTO-FASE2 -j LOG --log-prefix "INTO FASE2: "
/sbin/iptables -N INTO-FASE3
/sbin/iptables -A INTO-FASE3 -m recent --name FASE2 --remove
/sbin/iptables -A INTO-FASE3 -m recent --name FASE3 --set
/sbin/iptables -A INTO-FASE3 -j LOG --log-prefix "INTO FASE3: "
/sbin/iptables -N INTO-FASE4
/sbin/iptables -A INTO-FASE4 -m recent --name FASE3 --remove
/sbin/iptables -A INTO-FASE4 -m recent --name FASE4 --set
/sbin/iptables -A INTO-FASE4 -j LOG --log-prefix "INTO FASE4: "
/sbin/iptables -A INPUT -m recent --update --name FASE1
####### Aqui você determina o número das portas e o tempo que o ip ficará em cada uma das fazes aguardando a próxima porta ser digitada. Por ex.: Você terá 15 segundos para passar de cada fase, se o tempo se expirar na fase 3 terá que começar da fase1 novamente. ########### ####### Dica: não é aconselhável utilizar portas em sequências crescentes ou decrescentes como neste exemplo (100, 200, 300, 400) e sim intercalando os valores uma mais alta e uma mais baixa para evitar que algum scan consiga adivinhar a sequência. #######
####### Aqui chegamos a FASE4, que é a última deste exemplo, onde será liberada a conexão com a porta 22 (ssh). O tempo aqui está setado para 3600 segundos (1 hora). Depois disso será fechada novamente para o ip em questão, lembrando que se ele ainda estiver logado não fará diferença, será fechada mesmo assim. Então aumente o tempo conforme desejado.####
[3] Comentário enviado por dimasdaros em 24/01/2012 - 10:11h
Dando vida para este tópico, digamos, antigo...
Estou tentando criar um script para usar na minha máquina, para executar este processo de forma digamos automática, para não ficarem sabendo quais portas são utilizadas pelo port knock, quem estiver ao meu redor.
Queria colocar uma senha para executar este aplicativo também hehe