blog.telpl.de

Mit Knockd kann man Ports nach erfolgreichem Klopfzeichen öffnen und automatisch schliessen. Knockd fügt hierfür neue Iptables-Regeln ein. Es ist auch möglich per Knockd einzelne Dienste zu starten / stoppen. Knockd arbeitet sehr ressourcenschonen, nicht zuletzt weil das Binary nur wenige Bytes gross ist.

Die Konfiguration erfolgt ausschliesslich in der knockd.conf und ist sehr einfach gehalten. Das Beispiel zeigt die Konfiguration für SSH und der dazugehörigen Firewall Regel.

[options]
logfile = /var/log/knockd.log

[SSH]
sequence = 1234,56,78
seq_timeout = 15
tcpflags = syn,ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --syn --dport 22 -j ACCEPT
cmd_timeout = 10
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --syn --dport 22 -j ACCEPT


Um Knockd noch sicherer zu machen, empfehle ich die Kombination mit Fail2Ban. Dadurch wird sichergestellt das ein Angreifer nicht permanent anklopft und versucht die Sequenz zu “erraten”. Stattdessen wird er zB nach 3 Klopfversuchen für 24 Stunden komplett gesperrt.

Beitrag zu Fail2Ban

Tweet This Post

Other Posts

• July 21, 2009 -- OpenSSH – Exploit wird veröffentlicht ? (0)
• October 26, 2009 -- Microsoft Windows 7 Werbespots (0)
• June 25, 2009 -- Eclipse Galileo veröffentlicht (0)
• May 8, 2009 -- Chkrootkit – Der Rootkit Scanner (0)
• May 26, 2009 -- Icinga v0.8.0 Beta Release (0)
• April 29, 2009 -- Geflext durch Intel Modular Server (0)
• May 10, 2009 -- Sles 10 SP2 Ethernet Bonding mit Xen (1)
• May 22, 2009 -- Dell – 12 Server in 2 HE (0)
• May 5, 2009 -- Bruteforce Killer Fail2Ban (3)
• July 14, 2009 -- UPDATE: OpenSSH – Gerüchte um erneute Sicherheitslücke (0)