Bonjour,
Je viens d'installer knockd un obturateur de port sur mon serveur pour masquer mon port ssh. Ca marche très bien en IPv4. J'utilise knock sur le serveur pour frapper à la "port" et il s'ouvre.
J'ai donc voulu faire pareil en IPv6. knockd ne pose pas de problème car il écoute les log. J'ai juste un doute sur la récupération de l'adresse du demandeur en IPv6. Par contre pour frapper à la porte en IPv6, pas moyen de trouver un client semblable à knock qui envoie simplement de paquets sur un port en IPv6.
knock domaine.com 1234:tcp 5678:udp 9012:tcp suffit en IPv4
# Rien à voir mais...
Posté par Graveen . Évalué à 5.
… je ne connaissais pas knockd (et n'avais même pas conscience de l'obturation de port en général).
Donc merci. You make my day !
[^] # Re: Rien à voir mais...
Posté par Grunt . Évalué à 2.
Ça peut faire un bon anti-spam.
"Veuillez frapper aux ports 2525 et 60250 avant d'envoyer un mail".
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
# Comment fonctionne knock ?
Posté par Grunt . Évalué à 2.
As-tu essayé de forcer knock à utiliser un NDD en IPv6 uniquement ? Tu peux le tester sur "puddipuddi.grunt.fdn.fr" avec la séquence de ton choix. S'il renvoie un message d'erreur ça pourrait aider à comprendre comment il gère IPv6.
Sinon, as-tu lu la doc de knock ? Elle dit quoi à ce sujet ?
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Comment fonctionne knock ?
Posté par mazarini . Évalué à 3.
J'ai essayer de mettre une adresse IPv6 en paramètre de knock, manifestement, il ne la reconnait pas.
J'ai lu le man, mais pas de paramètre analogue à "ssh -6"
J'ai essayé hping3 et recherché d'autres utilitaires, mais je manque de connaissance pour les critères de recherche
Pour info, pour me connecter en ssh, je fais maintenant :
knock domaine.com 1232 3214:udp 4322 && ssh moi@domaine.com
ou
knock domaine.com 1232 3214:udp 4322 && ssh -6 moi@domaine.com
La seul contrainte est d'avoir 2 séquences différentes pour IPv4 et IPv6 et d'ouvrir toutes les sources en IPv6 au lieu d'une seule IP en IPv4.
Mon problème est justement pour ouvrir 1 seule IP, mais pas sur que knockd reconnaisse l'IPv6. La première étape est de savoir "knocker" en IPv6.
Le principe est d'associer une commande à une séquence et éventuellement une seconde commande X secondes après la première.
Pour l'obturation, on lance une commande ip[6]tables d'ouverture suivi d'une autre de fermeture. Les règles doivent autoriser les connexions établies pour continuer à faire du ssh après la fermeture du port.
On pourrait aussi déclencher l'envoi d'un mail ou tout autre action.
Au niveau de la sécurité, ce n'est pas absolu. Si on recherche le nom de l'appelant, l'attaquant peut repéré les envois qui déclenche une requête DNS pour reconstituer la séquence port par port. Il est également possible de trouver la séquence en écoutant la ligne. On doit éviter pas mal d'attaque.
[^] # Re: Comment fonctionne knock ?
Posté par Sytoka Modon (site web personnel) . Évalué à 3.
Max 2 à 3 nouvelles connexion par minutes + fail2ban = 1 à 2 attaques max par jour sur des machines en frontales sur Renater (donc connecté au giga).
Bref, juste pour dire qu'une solution très simple est déjà très très efficace contre les attaques. Je cherche juste à centraliser les fail2ban : une IP bannie sur 3 machines différentes en moins d'une heure -> bannissement pour 72h sur tout le réseau !
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.