knockd – Online in der Cloud

PROGRAMM:

NAME/FUNKTION

knockd – Port-Knock-Server

ZUSAMMENFASSUNG

geklopft [Optionen]

BESCHREIBUNG

geklopft ist eine Hafenklopfen Server. Es überwacht den gesamten Datenverkehr über ein Ethernet (oder PPP).
Schnittstelle, die nach speziellen „Knock“-Sequenzen von Port-Hits sucht. Ein Kunde erstellt diese Port-
Treffer durch Senden eines TCP- (oder UDP-)Pakets an einen Port auf dem Server. Dieser Port muss nicht geöffnet sein
– Da knockd auf Link-Layer-Ebene lauscht, sieht es den gesamten Datenverkehr, auch wenn er bestimmt ist
für einen geschlossenen Hafen. Wenn der Server eine bestimmte Folge von Port-Hits erkennt, führt er Folgendes aus:
Befehl, der in seiner Konfigurationsdatei definiert ist. Dies kann zum Öffnen von Löchern in einem verwendet werden
Firewall für schnellen Zugriff.

BEFEHLSZEILE OPTIONAL

-ich, --Schnittstelle
Geben Sie eine Schnittstelle zum Abhören an. Die Standardeinstellung ist eth0.

-D, --dämon
Werde ein Dämon. Dies ist in der Regel für den normalen serverähnlichen Betrieb erwünscht.

-C, --config
Geben Sie einen alternativen Speicherort für die Konfigurationsdatei an. Standard ist /etc/knockd.conf.

-D, --debuggen
Debugging-Meldungen ausgeben.

- l, --Schau hoch
Suchen Sie nach DNS-Namen für Protokolleinträge. Dies kann ein Sicherheitsrisiko darstellen! Siehe Sektion SICHERHEIT
ANMERKUNG.

-in, - ausführlich
Ausführliche Statusmeldungen ausgeben.

-V, --Version
Zeigen Sie die Version an.

-H, --help
Syntaxhilfe.

CONFIGURATION

knockd liest alle Klopf-/Ereignissätze aus einer Konfigurationsdatei. Jedes Klopfen/Ereignis beginnt mit
eine Titelmarkierung im Formular [Name], Wobei Name ist der Name des Ereignisses, das angezeigt wird
im Protokoll. Ein besonderer Marker, [Optionen], wird zum Definieren globaler Optionen verwendet.

Beispiel # 1:
In diesem Beispiel werden zwei Schläge verwendet. Der erste ermöglicht dem Klopfer den Zugriff auf Port 22
(SSH) und der zweite schließt den Port, wenn der Klopfvorgang abgeschlossen ist. Wie du kannst
Sehen Sie, dies könnte nützlich sein, wenn Sie eine sehr restriktive Firewall (DENY-Richtlinie) betreiben und
möchte diskret darauf zugreifen.

[Optionen]
logfile = /var/log/knockd.log

[openSSH]
Sequenz = 7000,8000,9000
seq_timeout = 10
tcpflags = syn
Befehl = /sbin/iptables -A INPUT -s %IP% -j AKZEPTIEREN

[closeSSH]
Sequenz = 9000,8000,7000
seq_timeout = 10
tcpflags = syn
Befehl = /sbin/iptables -D INPUT -s %IP% -j AKZEPTIEREN

Beispiel # 2:
In diesem Beispiel wird ein einzelner Klopf verwendet, um den Zugriff auf Port 22 (SSH) zu steuern. Nach
Nach einem erfolgreichen Klopfen führt der Daemon Folgendes aus start_command, warte auf die
Zeit angegeben in cmd_timeout, dann führen Sie die aus stop_command. Dies ist nützlich für
automatisch die Tür hinter einem Klopfer schließen. Die Klopfsequenz verwendet beide UDP
und TCP-Ports.

[Optionen]
logfile = /var/log/knockd.log

[opencloseSSH]
Sequenz = 2222:udp,3333:tcp,4444:udp
seq_timeout = 15
tcpflags = syn,ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --syn -j ACCEPT
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --syn -j ACCEPT

Beispiel # 3:
In diesem Beispiel wird nicht eine einzelne, feste Klopfsequenz zum Auslösen eines Ereignisses verwendet, sondern a
Satz von Sequenzen aus einer Sequenzdatei (einmalige Sequenzen), angegeben durch die
one_time_sequences Richtlinie. Nach jedem erfolgreichen Klopfen wird die verwendete Sequenz angezeigt
ungültig gemacht werden und die nächste Sequenz aus der Sequenzdatei muss für a verwendet werden
erfolgreicher Schlag. Dadurch wird verhindert, dass ein Angreifer danach einen Wiederholungsangriff durchführt
eine Sequenz entdeckt haben (z. B. beim Ausspionieren des Netzwerks).

[Optionen]
logfile = /var/log/knockd.log

[opencloseSMTP]
one_time_sequences = /etc/knockd/smtp_sequences
seq_timeout = 15
tcpflags = fin,!ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 25 -j ACCEPT
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 25 -j ACCEPT

CONFIGURATION: GLOBAL Richtlinien

BenutzeSyslog
Aktionsmeldungen über syslog() protokollieren. Dadurch werden Protokolleinträge in Ihr Verzeichnis eingefügt
/var/log/messages oder gleichwertig.

Logdatei = /Pfad/zu/Datei
Protokollieren Sie Aktionen direkt in einer Datei, normalerweise /var/log/knockd.log.

PidFile = /Pfad/zu/Datei
Pidfile zur Verwendung im Daemon-Modus, Standard: /var/run/knockd.pid.

Schnittstelle =
Netzwerkschnittstelle zum Abhören. Es muss nur der Name angegeben werden, nicht der Pfad zum
Gerät (z. B. „eth0“ und nicht „/dev/eth0“). Standard: eth0.

CONFIGURATION: Klopfen/Ereignis Richtlinien

Reihenfolge = [: ][, [: ] ...]
Geben Sie die Reihenfolge der Ports im speziellen Knock an. Wenn ein falscher Port mit dem gleichen
Flags empfangen wird, wird der Klopf verworfen. Optional können Sie das Protokoll definieren
zur Verwendung pro Port (Standard ist TCP).

One_Time_Sequences = /path/to/one_time_sequences_file
Datei, die die zu verwendenden Einmalsequenzen enthält. Anstatt ein festes zu verwenden
Wenn Sie eine Sequenz verwenden, liest knockd die zu verwendende Sequenz aus dieser Datei. Nach jedem
Bei einem erfolgreichen Klopfversuch wird diese Sequenz durch Schreiben eines „#“-Zeichens deaktiviert
an der ersten Position der Zeile, die die verwendete Sequenz enthält. Diese verwendete Reihenfolge
wird dann durch die nächste gültige Sequenz aus der Datei ersetzt.

Da das erste Zeichen durch ein „#“ ersetzt wird, wird empfohlen, es zu verlassen
ein Leerzeichen am Anfang jeder Zeile. Ansonsten die erste Ziffer in Ihrem Klopfen
Die Sequenz wird nach ihrer Verwendung mit einem „#“ überschrieben.

Jede Zeile in der Datei mit einmaligen Sequenzen enthält genau eine Sequenz und hat die
gleiches Format wie das für Reihenfolge Richtlinie. Zeilen, die mit einem „#“ beginnen
Zeichen wird ignoriert.

Note: Bearbeiten Sie die Datei nicht, während knockd ausgeführt wird!

Seq_Timeout =
Wartezeit in Sekunden, bis eine Sequenz abgeschlossen ist. Wenn die Zeit bis zum
Wenn das Klopfen abgeschlossen ist, wird es verworfen.

TCPFlags = fin|syn|rst|psh|ack|urg
Achten Sie nur auf Pakete, bei denen dieses Flag gesetzt ist. Bei Verwendung von TCP-Flags
knockd IGNORIERT TCP-Pakete, die nicht mit den Flags übereinstimmen. Das ist anders als
das normale Verhalten, bei dem ein falsches Paket den gesamten Klopfvorgang ungültig machen würde,
den Klienten zwingen, von vorne zu beginnen. Die Verwendung von „TCPFlags = syn“ ist in diesem Fall hilfreich
Testen über eine SSH-Verbindung, da der SSH-Verkehr normalerweise stört (und
Dadurch wird das Klopfen ungültig.

Trennen Sie mehrere Flags durch Kommas (z. B. TCPFlags = syn,ack,urg). Flaggen können sein
durch ein „!“ explizit ausgeschlossen. (z. B. TCPFlags = syn,!ack).

Start_Befehl =
Geben Sie den Befehl an, der ausgeführt werden soll, wenn ein Client den richtigen Port-Knock durchführt. Alle
Instanzen von %IP% wird durch die IP-Adresse des Klopfers ersetzt. Der Befehl
Direktive ist ein Alias ​​für Start_Befehl.

Cmd_Timeout =
Zeit zum Warten dazwischen Start_Befehl und Stop_Command in Sekunden. Diese Richtlinie ist
optional, nur erforderlich, wenn Stop_Command wird eingesetzt.

Stop_Command =
Geben Sie den Befehl an, der wann ausgeführt werden soll Cmd_Timeout Seitdem sind Sekunden vergangen
Start_Befehl wurde ausgeführt. Alle Instanzen von %IP% wird ersetzt durch die
IP-Adresse des Klopfers. Diese Anweisung ist optional.

SICHERHEIT ANMERKUNG

Verwendung der -l or --Schau hoch Die Befehlszeilenoption zum Auflösen von DNS-Namen für Protokolleinträge kann a sein
Sicherheitsrisiko! Ein Angreifer kann den ersten Port einer Sequenz herausfinden, wenn er ihn überwachen kann
der DNS-Verkehr des Hosts, auf dem knockd ausgeführt wird. Auch ein Host, der getarnt sein soll (z. B.
Das Abwerfen von Paketen an geschlossene TCP-Ports statt der Antwort mit einem ACK+RST-Paket kann zu Problemen führen
indem es einen DNS-Namen auflöst, wenn es einem Angreifer gelingt, den ersten (unbekannten) Port zu erreichen
einer Folge.

Nutzen Sie knockd online über die Dienste von onworks.net