SMPFR

Plop à tous les nerds
Voila sur mon lecteur RSS, je suis tombé sur une news expliquant comment via netfilter on pouvait mettre en place du port knocking :
http://fr.wikipedia.org/wiki/Port_knocking
Je n'en n'avais jamais entendu parler, ça me paraît lourd à maintenir en prod; qu'en pensez-vous ?
Merki

ca n'a pas l'air bien compliqué à utiliser:

http://www.debian-administration.org/articles/268

Par contre, ça va être chiant pour l'utilisateur

"bon, alors pour me connecter, faut que je lance le nav avec ip:8543 ensuite ip:12749, ip:18496 et enfin ip:56403 Ca y est je peux me connecter à ssh !

oui, c'est assez simple à mettre en place, mais j'imagine que si tu dois mettre en place un accès pour un prestataire sur le serveur, lui dire qu'il faut prendre le protocole "SFTP" sur son client ok, maintenant lui donner une séquence, ouch...

par contre pour ouvrir le port 22 vers chez toi qui donne acces a tt tes machines et tout
ca peut être super simpa niveau sécurité

Par contre si t'es derrière une connexion qui filtre plein de ports, ben tu peux toujours essayer de knock knock les ports.... (je parle pour un client)

c'est quoi le but ?

c'est quoi le but ?

le but de quoi ?

Port Knocking, j'ai découvert ça dans un MISC l'année dernière et le principe me semblait tout simplement génial, par contre je n'ai jamais pu mettre en oeuvre

Idem, j'ai découvert dans MISC et Linux Mag l'an dernier.

J'avais testé ça avec ce qui était à l'époque le meilleur outil : fwknop.
Son développeur est pas une chèvre qui plus est.

Perso je trouve l'idée géniale, très 'smart & simple is beautiful' !
Par contre elle est un peu lourde en pratique, les séquences de ports et tout...

Passe de suite à l'évolution : le SPA. Ca c'est balèze ! Un paquet et 'coucou'.
fwknop le fait aussi.

Côté usage : clairement ça me paraît un peu 'technique'. Encore que j'avais essayé un début de client graphique qu'un mec avait développé pour toquer chez fwknop.
Par contre pour en avoir parlé avec une team de 3 techs/admin, ils étaient plutôt alléchés à l'idée de pouvoir masquer un point d'entrée SSH de maintenance à distance aux yeux du reste du monde.

ouaip c'est ca l'idée masquer des ports de maintenance ou urgence
qui ne servent quasiment jamais

ca évite de l'exposer inutilement

ah dans ce sens oui ça peut être pas mal, par exemple sur un compte dédié pour de la maintenance, par contre, faut bien noter la séquence, sinon pouet ^^

ouai

Je viens de mettre sur mon serveur pour essayer, si vous avez des questions

ben un tuto le Z

Bon, je vais voir, vu que je me fais chier ça devrait être possible

moi j'ai regardé justement cet pm comment ca marchait au niveau du client
si c'était facile d'utilisation sous win par exemple
si tu as testé pareil je veux bien un tit tuto

vite fait en attendant le tuto, j'ai testé le serveur knockd (dispo sous freebsd dans security/knock)

La config est très simple, on définit une séquence (avec mélange TCP/UDP possible), un certain temps pour la faire (genre 5 ou 10 secondes).

Ensuite, au choix, soit on laisse le soin à l'utilisateur de refermer en faisant une autre séquence (par exemple la même mais en sens inverse), soit on peut laisser ouvert la "porte" pendant un certain temps, ce qui est plus sécurisé si les utilisateurs sont pas très rigoureux mais plus chiant car si on veut rester longtemps connecté, il faudra refaire la séquence régulièrement.

En fait, ça peut servir à autre chose qu'à ouvrir des ports, on associe une commande à une séquence, en l'occurrence (avec PF), on ajoute l'ip qui a réussie à faire la séquence à la liste des utilisateurs autorisés à utiliser le port 22.

Mais on pourrait très bien s'amuser à faire une séquence qui lance ou arrête un service ou je ne sais quoi (passer de la musique/piste suivante /pause ? )


Et pour composer la séquence, ben si c'est sur du tcp, on prend un navigateur internet et on fait rapidement ip:port en changeant le port et on valide , ou un script qui fait une série de connexions avec telnet)

Tuto disponible ici ! (quand le serveur est up ! )

http://home1.zplay.fr/port.pdf

EDIT: il faut que je modifie la partie sur le pare-feu IPTABLES. Lorsque la commande de fin s'enclenche, cela COUPE la connexion SSH. Ce n'est pas le cas chez moi avec PF...