Повышения безопасности при Порт стучать
В области ИТ-систем безопасности, понятие “порт стучать” является сравнительно новым. Однако с течением времени, она становится популярной с каждым днем между системой безопасности и администраторов.
Порт стучать является методом внешнего открытии портов в брандмауэре образующими соединения покушение на множестве заранее оговоренного закрыты порты. После того, как правильная последовательность соединения попытки получения брандмауэр правил динамически изменить, чтобы хост, который послал связи попытки подключить за указанный порт (ы ).
Основная цель порт стучать заключается в том, чтобы предотвратить взлом сканирование системы потенциально эксплуатационные услуги, делая сканирования портов. До правильно стучать последовательность использования защищенных портов появится закрытых тем нападавших не сможет провести атаки на эти порты.
В частности, в порту стучать работает на идею о том, что пользователи, желающие приложить к сети служба должна начать заранее последовательности порт соединения или передать уникальную строку байтов до удаленный клиент может подключиться к возможному службы.
Для примера, предположим, что удаленный клиент хочет подключиться к FTP сервер. Администратор настраивает порта стучать требования заблаговременно, требующие, чтобы подключения удаленных клиентов первом подключении к портам 2000, 4000 и 7107 перед подключением к окончательному порт назначения, 21 на FTP-сервере.
Администратор сообщает всем законных клиентов по поводу правильного “сочетания” от ударов с портом стучать демона, работающего на FTP-сервер и, следовательно, если они хотят установить соединение с FTP службу, они просто направить эти стучит на сервер, а затем начать использовать FTP сервис.
Вопрос возникнет то, что является основным преимуществом этого дополнительного шага направления ударов, а затем подключиться к службе FTP? Ответ прост: FTP услуга не всегда работает на сервере, он будет запущен только в случае правильного порта стучит отправляются на сервер, и он будет закрыт после того, как он получит еще заранее последовательности порта стучит.
( #) потенциал бэкдор для критически важных бизнес-услуг только будет открыта в течение короткого времени, когда это требуется. После того, как услуга не нужна, она вновь закрыт, уменьшения уязвимости для атаки.
Одним из главных преимуществ использования порта стучать в том, что она является платформой, сервис, а также применение агностиком. Любая операционная система с правильным клиентом и сервером программного обеспечения могут воспользоваться преимуществами порта стучать. Если вам нужна помощь в поиске инструмента, вы можете найти список портов стучать реализаций
здесь
. На сайте списки клиентов и демонов для почти любой платформы, нужно помощь в использовании. Я выбрал
knockd
, который считается одним из самых известных и надежных осуществления портовых стучать Механизм для Linux и UNIX. В этой статье я буду охватывают создание порта стучать на Red Hat Enterprise Linux (RHEL) сервера, используя knockd , популярного открытого источника порта стучать инструмент. Самое главное, я буду пытаться распространить идею порта стучали за рамки простого брандмауэра изменения в более сложных задач системного администрирования. Имейте в виду, что
knockd
доступен для других систем, так что если вы И rsquo ; используете Debian, Ubuntu, Mac OS X, или даже Windows, вы должны быть в состоянии следовать вместе с большинством рекомендаций здесь для обеспечения вашей системе knockd .
Недостатки в Порт стучать
Важно также помнить о том, что порт стучать только один компонент успешной стратегии безопасности. Вам нужно разместить безопасности других механизмов, с тем, что, если злоумышленник является успешным в обеспечении правильной последовательности, они по-прежнему сталкивается с аутентификации и другие заграждения перед подключением к услуге.
Порт стучит: A Базовый обзор
Для начала, давайте взглянем на основные функциональные возможности порта стучаться сервера.
Knockd
является демоном, которая выполняется на сервере, пассивное прослушивание сетевого трафика. Настроить knockd , с последовательностью порты, продолжительность времени между попытками соединения, тип пакета, который будет направлен, и команду, которую надо запускать при правильной последовательности дается. (# ) После того, как knockd
“видит” в порт последовательность она была настроена на признание, она будет работать в команде он был настроен на запуск. Заметим, что вы можете использовать TCP, UDP, или сочетание того и другого. Обычно действие будет
iptables команду, но не всегда. Итак, для осуществления порт стучать, мы начнем с установки knockd
и запустить его в фон. (Или план, если вы хотите, но мы, как правило, требуется запустить в фоновом режиме .)
обеспечение базы данных MySQL с удаленного подключения порта стучит
Теперь, когда мы знаем, что порт является стучать давайте его использовать. В этом случае, у меня есть бизнес-критических MySQL-приложения, работающего на RHEL. Иногда мне нужно разрешить удаленные соединения с DBA, кто выполняет основные мероприятия по обслуживанию базы данных.
Однако, по причинам безопасности, мы не хотим, чтобы база данных удаленного соединения в любое время и из любой IP-адрес . Потому что мы хотели ужесточению контроля над удаленными подключениями, мы решили изучить порт стучит так, что удаленные соединения будут открыты на ограниченное время и только с определенного IP-адреса.
Начнем с брандмауэром правило, просто Если Вы еще не брандмауэр мастера. Чтобы добавить правило, к одному из “сети”, вы будете использовать
-A
вариант. В
-I параметр рассказывает iptables , чтобы вставить правило в определенной позиции в цепочке. Это важно потому, что вы хотите конкретные правила, которые должны обрабатываться в первую очередь. Убедитесь, что вы даете ей правило номер. Теперь, для обеспечения соединения с MySQL базы данных сервера (172.16.2.183) я заблокировал сетевого трафика на сервере MySQL порта (по умолчанию 3306), идущие от всех адресов. Для этой цели, я выполнена следующая команда:
iptables-A INPUT-P TCP-е
0
/
0 -D 172.16 (# ) .2 .183 - dport 3306 -J REJECT Вы не хотите быть переиздание команду каждый раз при перезагрузке компьютера, так вы хотите, чтобы сохранить постоянное правило, с использованием iptables-сохраните .
Получение и настройки knockd
Следующий шаг состоит в том, чтобы установить на knockd на сервере системы вы хотите использовать его. Вы можете получить RPM из RHEL сети.
После установки knockd настало время для настройки конфигурации. В
knockd
конфигурационный файл находится в / ETC / knockd.conf [ варианты
]
файл_журнала = / ( #) VAR / журнал / knockd. журнал [ DB2clientopen ] (# ) последовательность = 7050 , 8050 , 9050 seq_timeout = 10 = tcpflags син команда = / sbin / iptables-I INPUT 1 TCP-п-ы 192,168 .2 .201 - спорт 1024 : 65535 -D 172,16 .2 .183 - dport 3306 -м государством - государством NEW , созданный -J ACCEPT [ DB2clientclose ] последовательность = 9050 , 8050 , 7000 seq_timeout = 10 ( #) = tcpflags син команда = / sbin / iptables-D INPUT 1 Давайте взглянем на формат. Синтаксис очень прост, вы даете knockd вариант / стоимость пары, разделенные = и номера портов, разделенных запятыми в порядке, вы хотите, "стучит", который будет получен. Не забудьте указать лог-файл, вы, возможно, потребуется рассмотреть его позже!
Это должно быть очевидно, от
knockd.conf пример того, что она состоит из двух видов действий, которые могут быть выполнены в демона, в зависимости от последовательности, которую он получает. Во-первых, если он получает син-пакеты на порт 7050, 8050 и 9050, knockd
будет вставить первый iptables правило, как правило номер 1 в
INPUT цепи. Это позволит открыть порт MySQL базу данных, поэтому удаленного соединения могут быть изготовлены из 192.168.2.201
, – и только в том, что IP-адрес. Это хорошая идея указать IP-адрес, когда это возможно, так что, если злоумышленник пытается подключиться хотя порт открыт, они все равно будет отклонено.
С другой стороны, если сервер получает стучите Последовательность 9050, 8050 и 7000, она будет удалять правила так, что все удаленные соединения с базой данных будут закрыты снова. Я уверен, что MySQL будет узнать адрес моего СБЗ бы из, так что я добавил моего компьютера IP-адрес сервера / ETC / хосты файл и создана база данных под названием испытаний test1
, и создал пользователя призвал test1, а с соответствующими предоставлять льготы .
Во-первых, запустим в MySQL клиента с
MySQL-У-П корень test1 и введите следующие команды: MySQL> создавать пользовательские испытания; MySQL> предоставить все льготы по *.* на ‘тест @ dbawin’
, определенные
‘polanipass’ с субсидию вариант
Далее перезапустите
knockd в качестве демон. / USR / sbin / knockd-D
Следует отметить, что, по умолчанию,
knockd начнется прослушивания на eth0
. Если вам нужно запустить на другой интерфейс, вы можете настроить его, сделать это, используя
-I
вариант. Например, для начала
knockd в качестве демона на wlan0 нужно использовать / USR / sbin / knockd-я wlan0 . Если вы всегда собирается запустить knockd на другой интерфейс, вы можете добавить в ваш knockd.conf : [ варианты ] = интерфейс wlan0
Knock, Knock, It’s Me!
Сейчас, knockd не очень полезна без клиента, так что давайте клиенту поговорить с knockd
. Я выбрал Windows базе Cygwin клиента, но вы можете найти клиента лишь о любом клиенте ОС на реализаций странице говорилось выше.
Для использования Windows клиент, вы открываете командной строки и запустить то подобное этой команды:
C: KNOCKKNOCKWINDOWS> knock.exe 172,16 .2
.183
9050 8050 7000 Разумеется, IP-адрес и порт будет меняться. После того, как "стучать" выдается, то стучите демон будет выполнять команду iptables, перечисленные в соответствии с [DB2clientopen] раздела knockd.conf и добавлять правила в цепочке INPUT, чтобы DB2 ПК для подключения к базе данных, работающего на сервер. Теперь Вы можете подключиться к вашей базе данных MySQL с любимыми клиентами и делать все, что нужно делать. После того как вы закончили, пора закрыть дверь.
Если вы послали закрыть ударов последовательности, в данном случае
син пакет направлен на порты 9050, 8050, а затем 7000, с MySQL порт будет закрыт, а все соединения будут прекращены. При попытке повторно подключиться к серверу, ваш MySQL клиент будет время, и вы будете видеть в конечном итоге выход ошибка. Это будет иметь место до тех пор, пока вы послали надлежащей последовательности вновь открыть порт.
Итак, теперь вы видите, как вы можете использовать порт стучать по повышению безопасности для удаленных соединений MySQL. Конечно, это действительно данных (и приложения) независимая, так что вы можете использовать порт стучать обеспечить какие-либо базы данных или приложений Вы хотите подключиться к удаленной.
Если ее слишком много хлопот, чтобы открыть и закрыть соединение каждый раз, когда вам нужно подключить к базе данных, будет разумнее установить его так, что порт открыт в течение конкретного часа. Например, если ваша база данных гуру работает с 10 утра до 7 часов вечера, вы можете создать сценарий для открытия порта, чуть позже 10 часов утра, и закрытие портов немного после 7 часов вечера
Это не так безопасности, но это не означает, что порт не будет открыт 24 / 7, поэтому он может блокировать некоторые автоматизированные и случайных (т.е. не нацелены) нападения. Кроме того, если в порту стучать сцеплен только позволило соединения с конкретным IP-адресов или диапазонов IP-адрес, то у вас есть дополнительный уровень безопасности.
Выполнение других задач системного администрирования с стучит
Но подождите, это еще не все! Порт стучать могут быть использованы для более, чем набор правил iptables. После настройки
knockd
играть швейцар, я решил изучить эту функцию и посмотреть, если я могу использовать его, чтобы моя жизнь легче и в других направлениях.
Я решил, я хотел бы иметь возможность перезагружать моя система дистанционно, просто “стучать” в правильном порядке. Я также настроен
knockd
для начала моих резервных копий на ленте, так что я даже не нужно войти в систему для запуска резервного копирования, просто отправить коротких пакетов, а также свои данные безопасно другой день. ( #)
Вот моя / ETC / knockd.conf :
[ варианты
]
файл_журнала =/ VAR /
журнал / knockd. журнал [ systemreboot ] последовательность = 7050 , 8050 , 9050 seq_timeout = 10 = tcpflags син команда = / USR / BIN / перезагрузки [ systembackup ] последовательность = 9050 , 8050 , 7000 seq_timeout = 10 = tcpflags син команда = / USR / бин / тар-CF / dev/rmt0 / главная / корневой / Вы можете воспользоваться этой много дальше, и установите его так, что другие администраторы (скажем, младший администратор, который надежной, но все еще немного зеленый) может выполнять сложные действия только с помощью ударов клиенту, или даже просто запустить скрипт, передает пакеты. Резюме Порт стучать является очень полезным инструментом для систем безопасности. Именно благодаря своей эффективности и надежности, что количество внедрений, и пользователей, растет быстрыми темпами. Если вы можете открыть дверь в закрытом черный ящик для того, чтобы выполнить некоторые задачи системного администрирования, даже без необходимости входа в систему, это может быть очень идеально подходит для многих сред. И наконец, это всегда хорошо Идея дальнейшего обеспечения вашей системы путем изменения последовательности ударов часто, или с помощью генератора случайных семян создать порт случайных ударов.
Хуррам Ширазе
является старшим системным администратором в KMEFIC, Кувейт. В восемь лет опыта, он работал в основном с IBM технологий и продуктов, особенно в AIX, HACMP Кластеризация, Tivoli и IBM SAN / NAS Хранения. Он также работал с IBM комплексная технического обслуживания группы. Его область знаний включает в себя разработку и внедрение высокой доступности, безопасности и DR решения, основанные на AIX, Linux, Windows и инфраструктуры. С ним можно связаться по телефону
aix_tiger@yahoo.com
.
linuxexposed.com
Комментарии
Комментировать