ssh port knocking

[tib]

.

 

[RvG]

~~~ich sollte lesen lernen~~~

 

[tib]

.

 

[H3LL]

die ssh_config auf dem Client legt die Einstellungen für den SSH Client fest.
die sshd_config auf dem Server legt die Einstellungen für den SSH Server fest.

 

[lars]

Was bringt das eigentlich?

Ist das nicht Security by Obscurity?

Man klopft and die Wand (fw) bis das Schloss (sshd) gefunden wurde und
probiert erst dann alle Schlüssel aus?

Wieso reichen lange komplexe Passwörter oder Schlüssel nicht aus,
um den Zugang zum System zu schützen?

Ist eine ernstgemeinte Frage, soll nicht eine sarkastische Anmache sein.

 

[soul_rebel]

mach doch einfach einen wrapper um ssh rum...

 

[tib]

.

 

[tib]

.

 

[lars]

@tib:
Die Last, die sshd durch von der FW abgefangene Angriffe einspart, geht
doch drauf, indem die FW und ein 'Knock-Daemon' diese Last nun tragen
und dynamisch Firewall-Regeln umschreiben oder generieren.

Hast du das mal nachgemessen?

 

[tib]

.

 

[lars]

Möglich wäre es, ich glaube aber, dass die Zusatzarbeit für die FW, den
'Knockdaemon' und die Regelanpassung mehr kostet, als die Arbeit des sshd.

Aber wir werden ja sehen.

Bin jedenfalls sehr an deinen Resultaten interessiert.

 

[crotchmaster]

Ein bischen Obscurity hat noch nie geschadet

Großes Fragezeichen. Es kann auch dazu beitragen, den Serverbetreiber in falscher Sicherheit zu wiegen.

Ein Angreifer hätte damit schon mal zwei Zeitfenster einzuhalten:
- korrektes Anklopfen
- Interaktion mit dem temporär geöffneten Dienst

Vergiß aber auch nicht, daß durch den knockd eine weitere Angriffsfläche entsteht.

Gruß c.

 

[soul_rebel]

Natürlich kann das programmiert werden, aber die möglichen Situationen sind vielfältig

ja aber ich bin trotzdem der meinung, dass du es ohne probleme in der zeit in der dieser thread schon läuft geschrieben hättest, egal ob in bash python oder c++

ist doch relativ easy, mach ein script das myssh heißt lass das script den ersten parameter ohne '-' oder '--' finden, guck ob ein '@' drin ist, wenn ja alles bis zu dem zeichen inklusive abschneiden, den rest durch ein liste von hosts und/oder ip-adressen laufen lassen, wenn es drin steht, knock client ausführen und danach (ansonsten direkt) ssh mit allen parametern aufrufen...
mit kein guter shell-coder aber in c++ wäre das nur eine arbeit von eine paar minuten.

p.s.: ansonsten bin ich schon der meinung dass der knock-daemon die security erhöht

 

[tib]

.

 

[tib]

.

 

[soul_rebel]

Du hattest das Attachment Deines Source Codes vergessen!

och das kriegst du schon hin

 

[tib]

.

 

[lars]

Lies, Damn Lies and Benchmarks ;-)

Sieht aber nicht schlecht aus, danke für's Nachmessen.

Folgt ein Wiki-Eintrag?