Portknocking

AmenRa

AmenRa

Unregistered User
Hiho!

Bin seit einiger Zeit auf der Suche nach einer Portknocking Implementation fuer OpenBSD mit PF. Kennt zufaelligerweise irgendjemand etwas in der Richtung? Google habe ich mittlerweile von vorne bis hinten abgegrast, und ich bin nur mangelhaft fuendig geworden: Es gibt hier eine Umsetzung in Python, die angeblich unter FreeBSD mit ipfw laeuft. Es sollte nicht so das Problem sein, die ipfw Kommandos zum Hinzufuegen und Entfernen neuer Regeln gegen die entsprechenden PF Kommandos auszutauschen, aber bevor ich anfange mir Python reinzuziehen und den ganze Kram portiere wollte ich dann doch noch mal hier fragen :)

Mucias Gracias!
 
...was soll das sein und vor ALLEM wozu braucht man es?
Die pf ist so mächtig das Portknocking überflüssig ist.
Ich würde an Deiner Stelle die Zeit damit verbringen die pf zu lernen und nicht ,,komische Software´´ zu portieren. =)
 
mmh, warum nimmst du nicht authpf? da ist nach außen auch erst mal nix weiter offen als ssh. und wozu sollte das außerdem gut sein?
 
also ich halte das auch fuer ziemlich sinnlos. reicht doch wenn da einer zwischen dem server und client haengt und die sequenz "snifft".
der autor schreibt auf seiner webpage, dass portknocking kein ersatz "for regular security maintenance" ist, aber imho ist es mehr aufwand das portknocking zu installieren/warten etc.pp als es an sicherheit erkauft. (was ich damit sagen will, ist dass ich das portknocking fuer total bescheuerten muell halte).
dann eher ein snort was auf pf draufgehaengt ist.
 
kith schrieb:
das kommt darauf an wie gross die fw sein muss und wieviele sensoren gebraucht werden ;).
Zum Vergrößern anklicken....

mmh, also ich würde 'nen snort nie mit auf die firewall basteln, denn snort selbst ist auch anfällig. und was nützt mir dann 'ne firewall? denkbar wären dann höchstens so sächelchen wie privilege separation. ich würde trotzdem 'ne separate kiste präferieren. aber das tut in dem thread hier wahrscheinlich eher nix zur sache.
 
Wenn der Datenverkehr überwacht werden soll, würde ich auf jeden Fall snort nutzen. Und das muss auf eine extra Maschine. Alles andere ist meiner Meinung nach nix.
Zum Testen geht es bestimmt auch anders.

- Thomas
 
wie ich bereits sagte, abhaengig von der groesse der fw und was der kunde haben will, was er investieren will etc.pp.
manchmal muss so ein ding halt zu mehr als nur zum testen reichen ;)

ps. bleiben wir besser beim thema portknocking... ;)
 
Also, Portknocking scheint ja nicht so beliebt unter den OpenBSD'lern zu sein :( Ich fand die Idee eigentlich ganz lustig und wollte das ganze auf meinem Router noch als I-Tuepfelchen aufsetzen (nicht als "Security through obscurity", sondern einfach damit die Kiste im Netz total versteckt ist), aber nachdem ich mir jetzt authpf nochmal reingezogen habe glaube ich, dass das die bessere und einfacherere Variante ist.
 
AmenRa schrieb:
sondern einfach damit die Kiste im Netz total versteckt ist
Zum Vergrößern anklicken....

Ich behaupte ein ,,Portprobing´´ würde ein ,,Portknocking´´ enttarnen. Einen Rechner zu verstecken verleitet einen potentiellen Angreifer zu agressiveren Untersuchungen.
Ich erlaube daher z.B. einen ,,ping´´ an das äussere Feuerwandbeinchen.
 
Ich behaupte ein ,,Portprobing´´ würde ein ,,Portknocking´´ enttarnen.
Zum Vergrößern anklicken....

Wie das? Die Sache mit dem Ping leuchtet ein, der koennte dann weiter verfuegbar bleiben, aber die Ports waeren trotzdem "unsichtbar".
 
Jeder, der den Verkehr zwischen deinem Router und dir abhoeren kann, (also jeder, der zwischen den beiden sitzt) hat in Nullkommanix die Portsequenz herausgefunden und dein Port ist nicht laenger versteckt.

Man sollte niemals vom DAA (duemmsten anzunehmenden Angreifer) ausgehen, sondern von sehr cleveren Angreifern!
 
MrFixit schrieb:
Jeder, der den Verkehr zwischen deinem Router und dir abhoeren kann, (also jeder, der zwischen den beiden sitzt) hat in Nullkommanix die Portsequenz herausgefunden und dein Port ist nicht laenger versteckt.

Man sollte niemals vom DAA (duemmsten anzunehmenden Angreifer) ausgehen, sondern von sehr cleveren Angreifern!
Zum Vergrößern anklicken....

Ja, schon klar. Vielleicht sollte ich nochmal meiner Idee etwas Ausdruck verleihen das es sich nur um das I-Tuepfelchen und nicht um einen Ersatz fuer pf und authpf handelt! :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben