SSH absichern und mehr mit knockd

Twitter Timeline

RT @cyman_de: FreeNAS updates to v8.0.3 and is rid of some rubbish and small enough to fit on most usb sticks. netatalk works now with lion1 month ago
Allen Lesern einen guten Rutsch und ein ein frohes neues Jahr. Unser guter Vorsatz: Mehr bloggen!1 month ago
RT @slith76: Vim: revisited http://t.co/GIdKrKMz1 month ago
So sieht es aus, wenn Kunden einen Newsletter rausschicken :) #mailgraph http://t.co/ULg29jon2 months ago
FreeBSD Buchverlosung: http://t.co/a9t1MZO02 months ago
RT @jcfrick: Die Cloud hat halt auch Nachteile ;-) http://t.co/vxqdcl6G2 months ago
Neu im Blog: US-Proxy für YouTube und Co. bei Server4You - das war wohl nix http://t.co/UWow2jzp2 months ago
Neu im Blog: Iphone 4S gestohlen, Telekom hilft nicht http://t.co/r57REuwI2 months ago
Shortcuts zur iPhone Prefpane ... nicht ganz so gut wie mit Jailbreak, aber immerhin. http://t.co/TFyZypE13 months ago
RT @Linux: Fedora 16 "Verne" released! http://t.co/vX7A5Gar #Fedora #Linux3 months ago
Neu im Blog: Schutz bei (D)DOS Angriffen mit Iptables http://t.co/vDeOdt2w3 months ago
RT @nbbilliger: Mozilla Firefox 8.0 erschienen http://t.co/Ecn6h1Mp3 months ago
Fazit nach 2 Tagen iPhone4s: Nett, aber kein Muss, wenn man da 4er hat. Siri ist recht nutzlos atm, Kamera besser. Akku 1:1 bisher. ^rk3 months ago
Das Nginx-Modul "nginx-sticky-module" erfolgeich getestet und im Einsatz. Blogpost folgt bei Gelegenheit :) http://t.co/G1xBhuWX3 months ago
Mehrere Kollegen wurden für das Blog begeistert, mal sehen ob gute Artikel folgen ^^ (rk)3 months ago
Willkommen in der Encoding-Hell: U+C4?U+E4, U+D6?U+F6, U+DC?U+FC, U+DF, U+E4, U+F6, U+FC #german #umlauts3 months ago
Neu im Blog: Top of the Tops http://t.co/DPx5TreY3 months ago
Danke, gerne :-) RT @admn_blog_com: Neu im Blog: Acer EasyStore H341 als NAS für SMB und AFP mit Ubuntu Server http://t.co/BGneIG5Q3 months ago
Neu im Blog: Acer EasyStore H341 als NAS für SMB und AFP mit Ubuntu Server http://t.co/BGneIG5Q3 months ago
RT @Linux: Ubuntu 11.10 "Oneiric Ocelot" released! #Ubuntu #Linux4 months ago
Info: Der calendarserver unter Debian Lenny ist inkompatibel mit iOS5. Unter Squeeze hingegen keine Probleme.4 months ago
Das sind schon ein paar Cores ;-) http://lockerz.com/s/1152337947 months ago
Nettes Nagios-Monitoring-Tool für das iPhone: NagiMon. Hat allerdings Probleme mit Leerzeichen als Services. http://lockerz.com/s/1131691968 months ago
JavaScript PC-Emu bootet Linux: http://bit.ly/iygoXG9 months ago
RT @boeserseo: Mit die beste "How To" Absicherung für Linux Server die ich je gesehen habe! #NSA -> http://klick.es/2z9 months ago

< Zu Verschenken: G DATA Internet Security 2009 | Rechte-Einschränkungen unter XP im Kompatibilitätsmodus umgehen - Bug oder Feauture? >

Wednesday, 21. October 2009

Gelegentlich kommt man in die Verlegenheit dass man daran gebunden ist SSH auf dem Standardport 22 zu betreiben, was sich dann schon nach kurzer Zeit in andauernden Bruteforceattacken niederschlägt. Für diesen Fall ist neben fail2ban oder denyhosts der knockd ein guter Weg den Server gegen unerwünschte Angriffe abzusichern. Doch der Anklopfserver kann noch mehr - er verhindert von vornherein dass Angreifern die Extistenz bestimmter Dienste überhaupt bekannt wird oder kann im Notfall den Webserver neu starten.

Der knockd beobachtet ob auf Bestimmten, vorher festgelegten Ports Pakete in der vorher festgelegten Reihenfolge eintreffen und führt, wenn dies der Fall sein sollte, einen beliebigen Befehl aus. Praktisch nutzt man diese Funktion nun also dazu, das vorher über iptables gesperrte SSH durch das einfügen einer passenden Regel in in die iptables freizuschalten.

Zunächst installiert man den daemon über die Paketverwaltung des Betriebssystems - in diesem Fall Debian (Abwandlungen bei anderen Distributionen sind möglich).

aptitude install knockd Standardmäßig muss der Eintrag START_KNOCKD in der /etc/default/knockd auf 1 angepasst werden damit der Daemon überhaupt startet. Bei Bedarf kann hier auch das Interface angepasst werden, auf dem der Daemon lauscht. Anschließend wird das configfile /etc/knockd.conf angepasst - für SSH könnte das z.B. so aussehen:

[options]
UseSyslog

[opencloseSSH]
sequence = 9000,8000,7000
seq_timeout = 15
tcpflags = syn
start_command = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
cmd_timeout = 10
stop_command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

Durch die Option UseSyslog werden Wichtige Informationen ins Syslog geschrieben. Wenn nun innerhalb des seq_timeout (in Sekunden) nacheinander Pakete mit dem in tcpflags festgelegten Flag an die in sequence festgelgten TCP-Ports gesandt werden wird das start_command ausgeführt. Nach Ablaufen des cmd_timeout wird das stop_command ausgeführt. Hierbei sollte man sequence unbedingt durch eigene Werte ersetzen und dabei auch mehr als nur 3 Ports verwenden (5-8 eignen sich gut).

Nun empfiehlt es sich den daemon nicht gleich zu starten sondern zunächst mit

knockd --debug --verbose

im Debugmode zu schauen ob denn auch alles so läuft wies soll. Ein Beispiel:

server:
$ knockd --debug --verbose
[...]
Local IP: 192.168.0.18
listening on eth0...

client:
$ knock 192.168.0.18 9000 8000 7000

server:
2009-09-21 18:53:32: tcp: 192.168.0.121:49087 -> 192.168.0.18:9000 74 bytes
192.168.0.121: opencloseSSH: Stage 1
2009-09-21 18:53:32: tcp: 192.168.0.121:58850 -> 192.168.0.18:8000 74 bytes
192.168.0.121: opencloseSSH: Stage 2
2009-09-21 18:53:32: tcp: 192.168.0.121:44580 -> 192.168.0.18:7000 74 bytes
192.168.0.121: opencloseSSH: Stage 3
192.168.0.121: opencloseSSH: OPEN SESAME <-- Der Server hat die sequenz erkannt.
opencloseSSH: running command: /sbin/iptables -I INPUT -s 192.168.0.121 -p tcp --dport 22 -j ACCEPT <-- öffnet den Port.
192.168.0.121: opencloseSSH: command timeout <-- 10 Sekunden Später ...
opencloseSSH: running command: /sbin/iptables -D INPUT -s 192.168.0.121 -p tcp --dport 22 -j ACCEPT <-- ... wird der Port wieder geschlossen

Wenn das alles so funktioniert und der Eintrag währen dieser 10 Sekunden auch mit

iptables -L

angezeigt wird. Kann der Daemon über das initscript /etc/init.d/knockd gestartet werden. Allerdings passiert zumindest auf einem Standardsystem hier noch nicht viel, da standardmäßig SSH natürlich nicht gesperrt ist. Dies könnte beispielsweise über

iptables -A INPUT -p tcp --dport 22 --syn -j REJECT

geändert werden. Wie man sieht werden nur syn-Pakete gedropt. Dadurch werden bestehende Verbindungen nicht beeinträchtigt. Sonst würde die frisch hergestellte Verbindung ja binnen 10 Sekunden wieder getrennt werden. Wenn alles funktioniert sollte der Eintrag über die /etc/rc.local übernommen werden damit die Firewall auch bei jedem Neustart wieder angepasst wird.

Wenn das ganze über eine SSH-Verbindung eingerichtet wird sollte diese offen gehalten werden bis alle Tests abgeschlossen sind, wenn was schief geht kommt man sonst womöglich nie wieder an seinen Server . Falls vorher schon eine iptables Konfiguration existiert müssen die Befehle natürlich daran angepasst werden.

Noch eine Beispielkonfiguration wie man openvpn starten und stoppen könnte:

[options]
UseSyslog

[startOpenVPN]
sequence = 7000,8000,9000
seq_timeout = 5
command = /etc/init.d/openvpn start
tcpflags = syn

[stopOpenVPN]
sequence = 9000,8000,7000
seq_timeout = 5
command = /etc/init.d/openvpn stop
tcpflags = syn

knock 192.168.0.18 7000 8000 9000 startet nun openvpn und knock 192.168.0.18 9000 8000 7000 stoppt es.

Geschrieben von fep in Linux um 21:40 | Kommentare (2) | Trackbacks (0)

Trackbacks

Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)

Ich benutze auch seit einiger Zeit den knockd, allerdings sind mir zwei Punkte negativ aufgefallen.
1. Ich kann nicht aus jedem Netzwerk meine Portsequenz absetzen, da bspw. die Firewall der Uni nur Standardports offen lässt.
2. Vor kurzem bin ich auf CentOS gewechselt und konnte dort kein offizielles Paket finden. Falls ich einfach zu blind war, lasse ich mich gerne korrigieren.

#1 krisz am 22.10.2009 18:08 (Antwort)

Hallo krisz,

zu 1.: Wenn man durch solche Systeme eingeschränkt ist verringern sich natürlich die Möglichkeiten. Hier gilt es auszuloten was erlaubt sein könnte. Als Beispiel könnte man eine wirre Kombination aus den Ports 25,80,110 und 443 handeln. Spätestens wenn man hinter einem HTTP-Proxy gefangen ist funktioniert das System natürlich nicht mehr.
zu 2.: Auf der oben hinter dem Namen verlinkten Seite von zeroflux findet man sowohl die Quellen als auch ein SourceRPM, mit denen man natürlich auch ohne Distributionsunterstützung in der Lage ist knockd zu installieren. Dennoch ist es freilich traurig dass eine Serverdistribution wie CentOS dieses Paket nicht im Repository hat.

#1.1 fep am 22.10.2009 19:35 (Antwort)

Kommentar schreiben

Name
E-Mail
Homepage
Antwort zu
Kommentar	Umschließende Sterne heben ein Wort hervor (wort), per _wort_ kann ein Wort unterstrichen werden. Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert. Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet. Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden. Hier die Zeichenfolge der Spamschutz-Grafik eintragen: BBCode-Formatierung erlaubt
	Daten merken? Bei Aktualisierung dieser Kommentare benachrichtigen