Port Knocking บน Debian

• ขั้นตอนที่ 1: การติดตั้งแพ็คเกจที่จำเป็น
• ขั้นตอนที่ 2: การกำหนดค่า iptables เพื่อใช้คุณสมบัตินี้
• ขั้นตอนที่ 3: ลองทำดู
• ข้อสรุป

ถึงตอนนี้คุณอาจเปลี่ยนพอร์ต SSH เริ่มต้นของคุณ ถึงกระนั้นแฮกเกอร์สามารถสแกนช่วงพอร์ตได้อย่างง่ายดายเพื่อค้นหาพอร์ตนั้น แต่ด้วยการเคาะพอร์ตคุณสามารถหลอกสแกนเนอร์พอร์ตได้ วิธีการทำงานคือไคลเอนต์ SSH ของคุณพยายามเชื่อมต่อกับลำดับของพอร์ตซึ่งทั้งหมดจะปฏิเสธการเชื่อมต่อของคุณ แต่ปลดล็อกพอร์ตที่ระบุที่อนุญาตการเชื่อมต่อของคุณ ปลอดภัยมากและติดตั้งง่าย การเคาะพอร์ตเป็นหนึ่งในวิธีที่ดีที่สุดในการปกป้องเซิร์ฟเวอร์ของคุณจากการพยายามเชื่อมต่อ SSH โดยไม่ได้รับอนุญาต

บทความนี้จะสอนวิธีการตั้งค่าพอร์ตการเคาะ มันถูกเขียนขึ้นสำหรับ Debian 7 (Wheezy) แต่อาจใช้กับ Debian และ Ubuntu รุ่นอื่นได้

ขั้นตอนที่ 1: การติดตั้งแพ็คเกจที่จำเป็น

ฉันสมมติว่าคุณได้ติดตั้งเซิร์ฟเวอร์ SSH แล้ว หากคุณยังไม่มีให้รันคำสั่งต่อไปนี้เป็น root:

apt-get update
apt-get install openssh-server
apt-get install knockd

จากนั้นติดตั้ง iptables

apt-get install iptables

มีแพ็คเกจไม่มากสำหรับการติดตั้ง - นั่นคือสิ่งที่ทำให้เป็นโซลูชั่นที่สมบูรณ์แบบในการป้องกันความพยายามบังคับใช้เดรัจฉานในขณะที่ยังติดตั้งได้ง่าย

ขั้นตอนที่ 2: การกำหนดค่า iptables เพื่อใช้คุณสมบัตินี้

เนื่องจากพอร์ต SSH ของคุณจะปิดหลังจากที่คุณเชื่อมต่อเราจำเป็นต้องตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์อนุญาตให้คุณเชื่อมต่ออยู่ในขณะที่ปิดกั้นการพยายามเชื่อมต่ออื่น ๆ ดำเนินการคำสั่งเหล่านี้บนเซิร์ฟเวอร์ของคุณในฐานะรูท

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j DROP
apt-get install iptables-persistent
iptables-save

วิธีนี้จะช่วยให้การเชื่อมต่อที่มีอยู่ยังคงอยู่ แต่บล็อกสิ่งอื่นใดกับพอร์ต SSH ของคุณ

ตอนนี้เรามากำหนดค่า knockd

นี่คือที่ที่ความมหัศจรรย์เกิดขึ้น - คุณจะสามารถเลือกพอร์ตที่จะต้องกระแทกในตอนแรก /etc/knockd.confเปิดตัวแก้ไขข้อความไปยังแฟ้ม

nano /etc/knockd.conf

จะมีส่วนที่ดูเหมือนบล็อกต่อไปนี้

[openSSH]
    sequence    = 7000,8000,9000
    seq_timeout = 5
    command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

ในส่วนนี้คุณจะสามารถเปลี่ยนลำดับของพอร์ตที่ต้องทำการเคาะ สำหรับตอนนี้เราจะอยู่กับพอร์ต 7000, 8000 และ 9000 เปลี่ยนseq_timeout = 5ไปseq_timeout = 10และสำหรับcloseSSHส่วนทำเช่นเดียวกันสำหรับseq_timeoutบรรทัด นอกจากนี้ยังมีลำดับบรรทัดในcloseSSHส่วนที่คุณต้องแก้ไขเช่นกัน

เราต้องเปิดใช้งาน knockd ดังนั้นให้เปิดโปรแกรมแก้ไขของคุณเป็นรูทอีกครั้ง

nano /etc/default/knockd

เปลี่ยน 0 ในส่วนSTART_KNOCKDเป็น 1 จากนั้นบันทึกและออก

ตอนนี้เริ่มเคาะ

service knockd start

ที่ดี! ทุกอย่างถูกติดตั้ง หากคุณตัดการเชื่อมต่อจากเซิร์ฟเวอร์ของคุณคุณจะต้องเคาะพอร์ต 7000, 8000 และ 9000 เพื่อเชื่อมต่ออีกครั้ง

ขั้นตอนที่ 3: ลองทำดู

หากการติดตั้งทุกอย่างถูกต้องคุณจะไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ SSH ของคุณได้

คุณสามารถทดสอบการเคาะพอร์ตด้วยไคลเอ็นต์เทลเน็ต

ผู้ใช้ Windows สามารถเรียกใช้ telnet ได้จากพรอมต์คำสั่ง หากไม่ได้ติดตั้ง telnet ให้เข้าถึงส่วน "โปรแกรม" ของแผงควบคุมจากนั้นค้นหา "เปิดหรือปิดคุณสมบัติ Windows" บนแผงคุณสมบัติค้นหา "ไคลเอ็นต์ Telnet" และเปิดใช้งาน

ในประเภทพรอมต์คำสั่ง / terminal ของคุณ:

telnet youripaddress 7000
telnet youripaddress 8000
telnet youripaddress 9000

ทำสิ่งนี้ทั้งหมดในสิบวินาทีตามที่กำหนดไว้ในการกำหนดค่า ตอนนี้พยายามเชื่อมต่อกับเซิร์ฟเวอร์ของคุณผ่าน SSH มันจะสามารถเข้าถึงได้

เพื่อปิดเซิร์ฟเวอร์ SSH ให้รันคำสั่งตามลำดับย้อนกลับ

telnet youripaddress 9000
telnet youripaddress 8000
telnet youripaddress 7000

ข้อสรุป

ส่วนที่ดีที่สุดเกี่ยวกับการใช้การเคาะพอร์ตคือถ้ามีการกำหนดค่าควบคู่กับการรับรองความถูกต้องของคีย์ส่วนตัวนั้นแทบไม่มีโอกาสที่คนอื่นจะเข้าไปได้เว้นแต่จะมีคนรู้จักพอร์ตและคีย์ส่วนตัว