2009/8/28 Leandro Moreira <lean...@leandromoreira.eti.br>:
> Edson,
> Se for possivel me mande as regras, pois esse conceito de port-knocking e
> bem legal.
>
> Att.
>

(Enviando pra lista, pra compartilhar com todo mundo.)

Vou te passar um exemplo que uso aqui, certo?, comentando o
significado de cada linha. (Repare no uso do módulo recent.)

# Essa regra registra o endereço de origem do pacote que chega à porta "secreta"
$CMD -A INPUT -p tcp -s 0/0 --sport $HPORTS -d $IP_EXT --dport
$KNOCK_PORT -m recent --set --rsource --name SSHKNOCK -j DROP
# As regras a seguir removem esse endereço caso alguém esteja tentando
disparar pacotes para todas as portas, para acertar a certa "no
escuro". Então, removemos a marca para uma porta acima e uma abaixo.
$CMD -A INPUT -p tcp -s 0/0 --sport $HPORTS -d $IP_EXT --dport
$((KNOCK_PORT - 1)) -m recent --remove --rsource --name SSHKNOCK -j
DROP
$CMD -A INPUT -p tcp -s 0/0 --sport $HPORTS -d $IP_EXT --dport
$((KNOCK_PORT + 1)) -m recent --remove --rsource --name SSHKNOCK -j
DROP
# Libera o acesso se o mesmo endereço que bateu na porta "secreta"
agora tenta conectar, num tempo máximo de até tantos segundos
$CMD -A INPUT -p tcp -s 0/0 --sport $HPORTS -d $IP_EXT --dport
$SSHD_PORT -m recent --rcheck --rsource --seconds 20 --name SSHKNOCK
-j ACCEPT

Você pode adaptar isso inclusive para outras chains, basta entender a
lógica. Eu uso para acesso a serviços redirecionados por NAT,
trabalhando com a chain FORWARD também.
Eu considero uma camada de proteção razoável para muitos dos casos.
Como dizem por aqui, segurança é um conceito, não um produto. =) E uma
coisa importante é o custo da segurança pra você e pra quem quer
quebrá-la. Você pode proteger de várias formar, mas quantos mais fizer
isso, mais difícil fica pra vocẽ mesmo usar.

Essa técnica não é perfeita, mas ajuda bem, já.

Tente encontrar o artigo que eu falei. Nele é explicado direitinho o
significado das coisas. Os endereços registrados ficam num arquivo e
tal, é legal saber, e eu mesmo nem me lembro mais.

Boa sorte. =)


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Responder a