Forum Linux.debian/ubuntu Problème pour frapper à la porte d'un obturateur en IPv6

Posté par .
Tags : aucun
2
12
sept.
2012

Bonjour,

Je viens d'installer knockd un obturateur de port sur mon serveur pour masquer mon port ssh. Ca marche très bien en IPv4. J'utilise knock sur le serveur pour frapper à la "port" et il s'ouvre.

J'ai donc voulu faire pareil en IPv6. knockd ne pose pas de problème car il écoute les log. J'ai juste un doute sur la récupération de l'adresse du demandeur en IPv6. Par contre pour frapper à la porte en IPv6, pas moyen de trouver un client semblable à knock qui envoie simplement de paquets sur un port en IPv6.

knock domaine.com 1234:tcp 5678:udp 9012:tcp suffit en IPv4

  • # Rien à voir mais...

    Posté par . Évalué à 5.

    … je ne connaissais pas knockd (et n'avais même pas conscience de l'obturation de port en général).

    Donc merci. You make my day !

    • [^] # Re: Rien à voir mais...

      Posté par . Évalué à 2.

      Ça peut faire un bon anti-spam.

      "Veuillez frapper aux ports 2525 et 60250 avant d'envoyer un mail".

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

  • # Comment fonctionne knock ?

    Posté par . Évalué à 2.

    Par contre pour frapper à la porte en IPv6, pas moyen de trouver un client semblable à knock qui envoie simplement de paquets sur un port en IPv6.

    As-tu essayé de forcer knock à utiliser un NDD en IPv6 uniquement ? Tu peux le tester sur "puddipuddi.grunt.fdn.fr" avec la séquence de ton choix. S'il renvoie un message d'erreur ça pourrait aider à comprendre comment il gère IPv6.

    Sinon, as-tu lu la doc de knock ? Elle dit quoi à ce sujet ?

    THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

    • [^] # Re: Comment fonctionne knock ?

      Posté par . Évalué à 3.

      J'ai essayer de mettre une adresse IPv6 en paramètre de knock, manifestement, il ne la reconnait pas.
      J'ai lu le man, mais pas de paramètre analogue à "ssh -6"

      J'ai essayé hping3 et recherché d'autres utilitaires, mais je manque de connaissance pour les critères de recherche

      Pour info, pour me connecter en ssh, je fais maintenant :
      knock domaine.com 1232 3214:udp 4322 && ssh moi@domaine.com
      ou
      knock domaine.com 1232 3214:udp 4322 && ssh -6 moi@domaine.com
      La seul contrainte est d'avoir 2 séquences différentes pour IPv4 et IPv6 et d'ouvrir toutes les sources en IPv6 au lieu d'une seule IP en IPv4.

      Mon problème est justement pour ouvrir 1 seule IP, mais pas sur que knockd reconnaisse l'IPv6. La première étape est de savoir "knocker" en IPv6.

      Le principe est d'associer une commande à une séquence et éventuellement une seconde commande X secondes après la première.

      Pour l'obturation, on lance une commande ip[6]tables d'ouverture suivi d'une autre de fermeture. Les règles doivent autoriser les connexions établies pour continuer à faire du ssh après la fermeture du port.

      On pourrait aussi déclencher l'envoi d'un mail ou tout autre action.

      Au niveau de la sécurité, ce n'est pas absolu. Si on recherche le nom de l'appelant, l'attaquant peut repéré les envois qui déclenche une requête DNS pour reconstituer la séquence port par port. Il est également possible de trouver la séquence en écoutant la ligne. On doit éviter pas mal d'attaque.

      • [^] # Re: Comment fonctionne knock ?

        Posté par (page perso) . Évalué à 3.

        Max 2 à 3 nouvelles connexion par minutes + fail2ban = 1 à 2 attaques max par jour sur des machines en frontales sur Renater (donc connecté au giga).

        Bref, juste pour dire qu'une solution très simple est déjà très très efficace contre les attaques. Je cherche juste à centraliser les fail2ban : une IP bannie sur 3 machines différentes en moins d'une heure -> bannissement pour 72h sur tout le réseau !

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.