Repository 32bit  Forum
Repository 64bit  Wiki

Problema con il port knocking [RISOLTO]

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Problema con il port knocking [RISOLTO]

Messaggioda Burroughs » ven ott 12, 2007 15:53

Sul mio serverino domestico, su cui eseguo una Slackware 11, ho voluto provare il port knocking, seguendo la bella guida pubblicata presso Sistemisti Indipendenti.
Preciso che sul router la porta 22 è aperta ed ho già abilitato il port forwarding, sempre sulla porta medesima.
Sul server carico anche un'ulteriore configurazione di sicurezza, all'interno del file /etc/rc.d/rc.firewall.
Eccola:
Codice: Seleziona tutto
INTERFACE="eth0"
IPTABLES="`which iptables`"

# Impostazioni di default
$IPTABLES -F
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

# Abilitazione dell'interfaccia di loopback
$IPTABLES -A INPUT -i lo -j ACCEPT

# Regole anti-spoofing
$IPTABLES -A INPUT -s 10.0.0.0/8 -i $INTERFACE -j DROP
$IPTABLES -A INPUT -s 172.16.0.0/12 -i $INTERFACE -j DROP

# Regola per abilitare il traffico sulla subnet 192.168.1.0
$IPTABLES -A INPUT -s 192.168.1.0/24 -i $INTERFACE -j ACCEPT

# Regola di stateful inspection
$IPTABLES -A INPUT -i $INTERFACE -m state --state ESTABLISHED,RELATED -j ACCEPT

# Regole riguardanti il PING
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 2/s -j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j DROP

# Abilitazione del forwarding
echo 1 >/proc/sys/net/ipv4/ip_forward

# Abilitazione del traffico sul device tun0
$IPTABLES -A INPUT -i tun0 -j ACCEPT

# Apertura delle porte per FTP, Webmin e DNS
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 20 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 21 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1025 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1026 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1027 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1028 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1029 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 1030 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 10000 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 53 -j ACCEPT

# Apertura delle porte per SMTP e POP3
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 25 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 110 -j ACCEPT

# Apertura delle porte 1194 e 8859
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 1194 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 8859 -j ACCEPT

# Apertura delle porte per Apache, Spamassassin, DCC e rblsd
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 783 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 784 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 6277 -j ACCEPT

# Apertura delle porte per Samba
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 137 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 138 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 139 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INTERFACE --dport 445 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 137 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 138 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 139 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $INTERFACE --dport 445 -j ACCEPT

Bene, dopo aver provveduto ad installare knock, lo configuro in questo modo:
Codice: Seleziona tutto
[options]
logfile = /var/log/knockd.log

[openSSH]
sequence = 7000,8000,9000
seq_timeout = 5
command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn

[closeSSH]
sequence = 9000,8000,7000
seq_timeout = 5
command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
tcpflags = syn

Avvio il demone, tutto sembra ok, ma quando dal client faccio per connettermi con un
Codice: Seleziona tutto
knock ip_pubblico_del_server 7000 8000 9000 -v

la connessione (o il tentativo di connessione, per essere più precisi) va in timeout.
Il syslog mi dice:
Codice: Seleziona tutto
Oct 12 15:03:59 lago sshd[2462]: error: Bind to port 22 on 0.0.0.0 failed: Address already in use.

Qualche indicazione su dove sbaglio?

Burroughs.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe" (Albert Einstein)
Avatar utente
Burroughs
Linux 2.6
Linux 2.6
 
Messaggi: 968
Iscritto il: mer dic 15, 2004 0:00
Località: Lago Patria (NA)
Nome Cognome: Andrea Lutri
Kernel: 3.16.0
Desktop: KDE SC 4.13.3
Distribuzione: Arch Linux

Messaggioda Burroughs » ven ott 12, 2007 20:08

Mi rispondo da solo: nella fretta avevo dimenticato di aprire le porte che vengono utilizzate da knockd.

Burroughs.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe" (Albert Einstein)
Avatar utente
Burroughs
Linux 2.6
Linux 2.6
 
Messaggi: 968
Iscritto il: mer dic 15, 2004 0:00
Località: Lago Patria (NA)
Nome Cognome: Andrea Lutri
Kernel: 3.16.0
Desktop: KDE SC 4.13.3
Distribuzione: Arch Linux


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Yahoo [Bot] e 1 ospite