Il s'agit de la commande knockd qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
knockd - serveur de port-knock
SYNOPSIS
cogné [choix]
DESCRIPTION
cogné est une port-cogner serveur. Il écoute tout le trafic sur un ethernet (ou PPP)
l'interface, à la recherche de séquences spéciales de "coups" de port-hits. Un client fait ces port-
hits en envoyant un paquet TCP (ou UDP) à un port du serveur. Ce port n'a pas besoin d'être ouvert
-- puisque knockd écoute au niveau de la couche liaison, il voit tout le trafic même s'il est destiné
pour un port fermé. Lorsque le serveur détecte une séquence spécifique d'accès aux ports, il exécute un
commande définie dans son fichier de configuration. Cela peut être utilisé pour ouvrir des trous dans un
pare-feu pour un accès rapide.
LIGNE DE COMMANDE OPTIONS
-je, --interface
Spécifiez une interface sur laquelle écouter. La valeur par défaut est eth0.
-ré, --démon
Devenez un démon. Ceci est généralement souhaité pour un fonctionnement normal de type serveur.
-c, --config
Spécifiez un autre emplacement pour le fichier de configuration. La valeur par défaut est /etc/knockd.conf.
-RÉ, --déboguer
Messages de débogage de sortie.
-l, --chercher
Recherchez les noms DNS pour les entrées de journal. Cela peut être un risque pour la sécurité ! Voir section SÛRETÉ
NOTES.
-dans, --verbeux
Afficher des messages d'état détaillés.
-V, --version
Afficher la version.
-h, --Aidez-moi
Aide à la syntaxe.
CONFIGURATION
knockd lit tous les ensembles knock/event à partir d'un fichier de configuration. Chaque coup/événement commence par
un marqueur de titre, sous la forme [Nom], Où prénom est le nom de l'événement qui apparaîtra
dans le journal. Un marqueur spécial, [choix], est utilisé pour définir des options globales.
Exemple # 1:
Cet exemple utilise deux coups. Le premier permettra au heurtoir d'accéder au port 22
(SSH), et le second fermera le port lorsque le heurtoir sera terminé. Comme tu peux
voir, cela pourrait être utile si vous exécutez un pare-feu très restrictif (politique DENY) et
souhaite y accéder discrètement.
[choix]
fichier journal = /var/log/knockd.log
[ouvrirSSH]
séquence = 7000,8000,9000
seq_timeout = 10
tcpflags = syn
commande = /sbin/iptables -A ENTRÉE -s %IP% -j ACCEPTER
[fermer SSH]
séquence = 9000,8000,7000
seq_timeout = 10
tcpflags = syn
commande = /sbin/iptables -D ENTRÉE -s %IP% -j ACCEPTER
Exemple # 2:
Cet exemple utilise un seul coup pour contrôler l'accès au port 22 (SSH). Après
recevant un coup réussi, le démon exécutera le commande_démarrage, attends le
l'heure indiquée dans cmd_timeout, puis exécutez le stop_commande. Ceci est utile pour
fermer automatiquement la porte derrière un heurtoir. La séquence de frappe utilise à la fois UDP
et ports TCP.
[choix]
fichier journal = /var/log/knockd.log
[ouvrirfermerSSH]
séquence = 2222:udp,3333:tcp,4444:udp
seq_timeout = 15
tcpflags = syn, ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --syn -j ACCEPTER
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --syn -j ACCEPTER
Exemple # 3:
Cet exemple n'utilise pas une seule séquence de frappe fixe pour déclencher un événement, mais un
ensemble de séquences extraites d'un fichier de séquence (séquences uniques), spécifié par le
one_time_sequences directif. Après chaque coup réussi, la séquence utilisée sera
être invalidé et la séquence suivante du fichier de séquence doit être utilisée pour un
coup réussi. Cela empêche un attaquant de faire une attaque par rejeu après
avoir découvert une séquence (par exemple, en reniflant le réseau).
[choix]
fichier journal = /var/log/knockd.log
[ouvrirfermerSMTP]
one_time_sequences = /etc/knockd/smtp_sequences
seq_timeout = 15
tcpflags = fin,!ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 25 -j ACCEPTER
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 25 -j ACCEPTER
CONFIGURATION: GLOBAL DIRECTIVES
UtiliserSyslog
Consignez les messages d'action via syslog(). Cela insérera des entrées de journal dans votre
/var/log/messages ou équivalent.
Fichier journal = /chemin/vers/fichier
Enregistrez les actions directement dans un fichier, généralement /var/log/knockd.log.
Fichier Pid = /chemin/vers/fichier
Pidfile à utiliser en mode démon, par défaut : /var/run/knockd.pid.
Interfaces =
Interface réseau pour écouter. Seul son nom doit être donné, pas le chemin vers le
périphérique (par exemple, "eth0" et non "/dev/eth0"). Par défaut : eth0.
CONFIGURATION: FRAPPE/ÉVÉNEMENT DIRECTIVES
Séquence = [: ][, [: ] ...]
Spécifiez la séquence des ports dans le coup spécial. Si un mauvais port avec le même
flags est reçu, le coup est rejeté. En option, vous pouvez définir le protocole
à utiliser port par port (la valeur par défaut est TCP).
One_Time_Sequences = /chemin/vers/one_time_sequences_file
Fichier contenant les séquences uniques à utiliser. Au lieu d'utiliser un fixe
séquence, knockd lira la séquence à utiliser à partir de ce fichier. Après chaque
tentative de frappe réussie, cette séquence sera désactivée en écrivant un caractère '#'
à la première position de la ligne contenant la séquence utilisée. Cette séquence utilisée
sera alors remplacé par la prochaine séquence valide du fichier.
Étant donné que le premier caractère est remplacé par un '#', il est recommandé de laisser
un espace au début de chaque ligne. Sinon le premier chiffre de ton coup
La séquence sera écrasée par un '#' après avoir été utilisée.
Chaque ligne du fichier de séquences uniques contient exactement une séquence et a le
même format que celui du Séquence directif. Lignes commençant par un '#'
caractère sera ignoré.
Notes: ne modifiez pas le fichier pendant que knockd est en cours d'exécution !
Seq_Timeout =
Temps d'attente pour qu'une séquence se termine en secondes. Si le temps s'écoule avant la
le coup est terminé, il est défaussé.
Indicateurs TCP = fin|syn|rst|psh|ack|urg
Ne faites attention qu'aux paquets pour lesquels cet indicateur est défini. Lors de l'utilisation des indicateurs TCP,
knockd IGNORE les paquets TCP qui ne correspondent pas aux drapeaux. Ceci est différent de
le comportement normal, où un paquet incorrect invaliderait le coup entier,
obligeant le client à recommencer. L'utilisation de "TCPFlags = syn" est utile si vous êtes
tester sur une connexion SSH, car le trafic SSH interfère généralement avec (et
donc invalider) le coup.
Séparez plusieurs drapeaux par des virgules (par exemple, TCPFlags = syn,ack,urg). Les drapeaux peuvent être
explicitement exclu par un "!" (par exemple, TCPFlags = syn,!ack).
Start_Command =
Spécifiez la commande à exécuter lorsqu'un client effectue le port-knock correct. Tous
instances de %IP% sera remplacé par l'adresse IP du heurtoir. Les Command
directive est un alias pour Start_Command.
Cmd_Timeout =
Temps d'attente entre Start_Command ainsi que Arrêt_Commande en secondes. Cette directive est
facultatif, requis uniquement si Arrêt_Commande est utilisé.
Arrêt_Commande =
Spécifiez la commande à exécuter lorsque Cmd_Timeout secondes se sont écoulées depuis
Start_Command a été exécuté. Toutes les instances de %IP% sera remplacé par le
l'adresse IP du heurtoir. Cette directive est facultative.
SÛRETÉ NOTES
Le -l or --chercher l'option de ligne de commande pour résoudre les noms DNS pour les entrées de journal peut être un
risque de sécurité! Un attaquant peut découvrir le premier port d'une séquence s'il peut surveiller
le trafic DNS de l'hôte exécutant knockd. Également un hôte censé être furtif (par exemple,
laisser tomber des paquets sur des ports TCP fermés au lieu de répondre avec un paquet ACK+RST) peut donner
en résolvant un nom DNS si un attaquant parvient à atteindre le premier port (inconnu)
d'une séquence.
Utilisez knockd en ligne en utilisant les services onworks.net
