Dit is de opdracht knockd die kan worden uitgevoerd in de gratis hostingprovider van OnWorks met behulp van een van onze meerdere gratis online werkstations zoals Ubuntu Online, Fedora Online, Windows online emulator of MAC OS online emulator
PROGRAMMA:
NAAM
knockd - port-knock-server
KORTE INHOUD
klopte [Opties]
PRODUCTBESCHRIJVING
klopte is een poort-klop server. Het luistert naar al het verkeer op een ethernet (of PPP)
interface, op zoek naar speciale "klop"-reeksen van port-hits. Een klant maakt deze port-
hits door een TCP- (of UDP-)pakket naar een poort op de server te sturen. Deze poort hoeft niet open te zijn
-- aangezien knockd op het niveau van de linklaag luistert, ziet het al het verkeer, zelfs als het voorbestemd is
voor een gesloten haven. Wanneer de server een specifieke reeks poorthits detecteert, voert deze een
opdracht gedefinieerd in het configuratiebestand. Dit kan worden gebruikt om gaten in een
firewall voor snelle toegang.
OPDRACHTREGEL OPTIES
-l, --koppel
Geef een interface op om naar te luisteren. De standaardwaarde is eth0.
-NS, --demon
Word een daemon. Dit is meestal gewenst voor normaal serverachtig gebruik.
-C, --config
Geef een alternatieve locatie op voor het configuratiebestand. Standaard is /etc/knockd.conf.
-NS, --debuggen
Voer foutopsporingsberichten uit.
-ik, --opzoeken
DNS-namen opzoeken voor logboekvermeldingen. Dit kan een veiligheidsrisico vormen! Zie sectie VEILIGHEID
OPMERKINGEN.
-in, --uitgebreid
Voer uitgebreide statusberichten uit.
-V, --versie
Geef de versie weer.
-H, --help
Hulp bij syntaxis.
CONFIGURATIE
knockd leest alle knock/event-sets uit een configuratiebestand. Elke klop/gebeurtenis begint met
een titelmarkering, in het formulier [naam], Waar naam is de naam van de gebeurtenis die zal verschijnen
in het logboek. Een speciale markering, [Opties], wordt gebruikt om globale opties te definiëren.
Voorbeeld # 1:
In dit voorbeeld worden twee slagen gebruikt. Met de eerste krijgt de klopper toegang tot poort 22
(SSH), en de tweede sluit de poort wanneer de klopper voltooid is. Als je kan
Zie je, dit kan handig zijn als je een zeer restrictieve (DENY-beleid) firewall gebruikt en
Ik wil er graag discreet toegang toe hebben.
[Opties]
logbestand = /var/log/knockd.log
[OpenSSH]
reeks = 7000,8000,9000
seq_timeout = 10
tcpflags = syn
commando = /sbin/iptables -A INPUT -s %IP% -j ACCEPTEREN
[sluitenSSH]
reeks = 9000,8000,7000
seq_timeout = 10
tcpflags = syn
commando = /sbin/iptables -D INPUT -s %IP% -j ACCEPTEREN
Voorbeeld # 2:
In dit voorbeeld wordt een enkele klop gebruikt om de toegang tot poort 22 (SSH) te controleren. Na
Als hij een succesvolle klop krijgt, zal de daemon de start_opdracht, wacht op de
tijd aangegeven in cmd_time-outen voer vervolgens de stop_commando. Dit is handig om
sluit de deur automatisch achter een klopper. De klopreeks gebruikt zowel UDP
en TCP-poorten.
[Opties]
logbestand = /var/log/knockd.log
[opencloseSSH]
reeks = 2222:udp,3333:tcp,4444:udp
seq_timeout = 15
tcpflags = syn, ak
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --syn -j ACCEPTEREN
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --syn -j ACCEPTEREN
Voorbeeld # 3:
In dit voorbeeld wordt niet één enkele, vaste klopreeks gebruikt om een gebeurtenis te activeren, maar a
een reeks reeksen uit een reeksbestand (eenmalige reeksen), gespecificeerd door de
eenmalige_reeksen richtlijn. Na elke succesvolle klop zal de gebruikte reeks volgen
ongeldig worden gemaakt en moet de volgende reeks uit het reeksbestand worden gebruikt voor a
succesvolle klop. Dit voorkomt dat een aanvaller daarna een replay-aanval uitvoert
nadat u een reeks hebt ontdekt (bijvoorbeeld tijdens het snuiven van het netwerk).
[Opties]
logbestand = /var/log/knockd.log
[opencloseSMTP]
one_time_sequences = /etc/knockd/smtp_sequences
seq_timeout = 15
tcpflags = fin,!ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 25 -j ACCEPTEREN
cmd_timeout = 5
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 25 -j ACCEPTEREN
CONFIGURATIE: GLOBAL RICHTLIJNEN
UseSyslog
Registreer actieberichten via syslog(). Hierdoor worden loggegevens in uw
/var/log/messages of gelijkwaardig.
Logbestand = /pad/naar/bestand
Log acties rechtstreeks naar een bestand, meestal /var/log/knockd.log.
PidBestand = /pad/naar/bestand
Pid-bestand dat moet worden gebruikt in de daemonmodus, standaard: /var/run/knockd.pid.
Interface =
Netwerkinterface om naar te luisteren. Alleen de naam moet worden opgegeven, niet het pad naar de
apparaat (bijvoorbeeld "eth0" en niet "/dev/eth0"). Standaard: eth0.
CONFIGURATIE: KLOP/EVENEMENT RICHTLIJNEN
Volgorde = [: ][, [: ]
Geef de volgorde van de poorten op in de speciale klop. Als een verkeerde poort met hetzelfde
vlaggen worden ontvangen, wordt de klop weggegooid. Optioneel kunt u het protocol definiëren
te gebruiken per poort (standaard is TCP).
Eén_tijdreeksen = /pad/naar/one_time_sequences_file
Bestand met de eenmalige reeksen die moeten worden gebruikt. In plaats van een vast
reeks, zal knockd de te gebruiken reeks uit dat bestand lezen. Na elke
succesvolle kloppoging. Deze reeks wordt uitgeschakeld door een '#'-teken te schrijven
op de eerste positie van de regel die de gebruikte reeks bevat. Dat gebruikte volgorde
wordt dan vervangen door de volgende geldige reeks uit het bestand.
Omdat het eerste teken wordt vervangen door een '#', wordt aanbevolen dat u weggaat
een spatie aan het begin van elke regel. Anders het eerste cijfer van je klop
De reeks wordt na gebruik overschreven met een '#'.
Elke regel in het bestand met eenmalige reeksen bevat precies één reeks en heeft de extensie
hetzelfde formaat als dat voor de Volgorde richtlijn. Regels die beginnen met een '#'
karakter zal worden genegeerd.
Note: Bewerk het bestand niet terwijl knockd actief is!
Seq_Time-out =
Tijd om te wachten tot een reeks binnen enkele seconden is voltooid. Als de tijd verstrijkt voordat de
de klop is voltooid, wordt weggegooid.
TCPFlags = fin|syn|eerst|psh|ack|urg
Let alleen op pakketten waarvoor deze vlag is ingesteld. Wanneer u TCP-vlaggen gebruikt,
knockd negeert tcp-pakketten die niet overeenkomen met de vlaggen. Dit is anders dan
het normale gedrag, waarbij een onjuist pakket de hele klop ongeldig zou maken,
dwingt de cliënt om opnieuw te beginnen. Het gebruik van "TCPFlags = syn" is handig als dat zo is
testen via een SSH-verbinding, omdat het SSH-verkeer doorgaans interfereert met (en
dus ongeldig maken) de klop.
Scheid meerdere vlaggen met komma's (bijvoorbeeld TCPFlags = syn,ack,urg). Vlaggen kunnen
expliciet uitgesloten door een "!" (bijvoorbeeld TCPFlags = syn,!ack).
Start_Commando =
Geef de opdracht op die moet worden uitgevoerd wanneer een client de juiste poortklop maakt. Alle
Instanties van %IK P% zal worden vervangen door het IP-adres van de klopper. De commando
richtlijn is een alias voor Start_Commando.
Cmd_Time-out =
Tijd om tussendoor te wachten Start_Commando en Stop_Command in seconden. Deze richtlijn is
optioneel, alleen vereist als Stop_Command is gebruikt.
Stop_Command =
Geef de opdracht op die wanneer moet worden uitgevoerd Cmd_Time-out seconden zijn sindsdien verstreken
Start_Commando is geëxecuteerd. Alle exemplaren van %IK P% wordt vervangen door de
het IP-adres van knocker. Deze richtlijn is optioneel.
VEILIGHEID OPMERKINGEN
De -l or --opzoeken opdrachtregeloptie om DNS-namen voor logboekvermeldingen om te zetten kan een
veiligheidsrisico! Een aanvaller kan de eerste poort van een reeks achterhalen als hij kan monitoren
het DNS-verkeer van de host waarop knockd draait. Ook een host die stealth moet zijn (bijv.
het laten vallen van pakketten naar gesloten TCP-poorten in plaats van te antwoorden met een ACK+RST-pakket) kan dit opleveren
zichzelf weg door een DNS-naam om te zetten als een aanvaller erin slaagt de eerste (onbekende) poort te raken
van een reeks.
Gebruik knockd online met behulp van onworks.net-services
